Symantec Endpoint Installation - Guide

Gua de instalacin para
Symantec Endpoint
Protection y Symantec
Network Access Control
Gua de instalacin para Symantec Endpoint Protection

y Symantec Network Access Control
El software que se describe en este manual se suministra con contrato de licencia y slo
puede utilizarse segn los trminos de dicho acuerdo.
Versin de la documentacin 11.00.00.00.00
Aviso legal
Copyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el
logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence
Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de
Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros pases. Otros nombres
pueden ser marcas comerciales de sus respectivos propietarios.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE
GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS,
REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE
DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ
LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES
O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE
ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST
SUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentacin con licencia se consideran programas informticos
comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la
Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo
definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas
informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la
Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los
programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso,
modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software
y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar
exclusivamente de acuerdo con los trminos de este acuerdo.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.mx
Soluciones de Servicio y Soporte

Symantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestra
meta es ofrecerle ayuda profesional para la utilizacin de nuestro software y
servicios, cualquiera que sea el lugar del mundo en que se encuentre.
Las soluciones de Soporte tcnico y Servicio al cliente varan segn el pas.
Si tiene alguna pregunta respecto a los servicios que se describen a continuacin,
consulte la seccin "Para contactar el Servicio y Soporte mundial" al final de este
captulo.
Registro y licencias
Si el producto que est implementando requiere ser registrado y/o una clave de
licencia, la manera ms rpida y fcil de registrar su servicio es acceder a nuestro
sitio de registro y programas de licenciamiento en www.symantec.com/certificate.
Tambin puede ir a http://www.symantec.com/techsupp/ent/enterprise.html,
seleccionar el producto que desea registrar y desde la pgina principal del producto,
seleccionar el vnculo Registro y licencias.
Si ha adquirido una suscripcin de soporte, tiene derecho a recibir asistencia
tcnica de Symantec por telfono y por Internet. Cuando se ponga en contacto
con el servicio de soporte por primera vez, tenga a mano el nmero de licencia
que aparece en su Certificado de licencia o el Id de contacto que se genera al
registrar el soporte, para que el personal pueda comprobar su autorizacin de
soporte. Si no ha adquirido una suscripcin de soporte, pngase en contacto con
su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener
informacin sobre cmo adquirir soporte tcnico de Symantec.
Actualizaciones de seguridad
Para obtener la informacin ms reciente sobre las ltimas amenazas de seguridad
y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como
SARC) en:
http://www.symantec.com/region/mx/avcenter/.
Este sitio contiene extensa informacin sobre amenazas de seguridad y de virus,
as como las ltimas definiciones de virus. Las definiciones tambin pueden
descargarse utilizando la funcin LiveUpdate de su producto.
Renovacin de la suscripcin de actualizaciones antivirus

La adquisicin del servicio de mantenimiento de su producto le da derecho a
descargar definiciones de virus gratuitas durante el plazo de validez de su acuerdo
de mantenimiento. Si su acuerdo de mantenimiento ha caducado, pngase en
contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec

para obtener informacin sobre la renovacin del acuerdo.
Los sitios Web de Symantec:

Pgina principal de Symantec (por idioma):
Alemn:
http://www.symantec.de
Espaol:
http://www.symantec.com/region/es
Francs:
http://www.symantec.fr
Ingls:
http://www.symantec.com
Italiano:
http://www.symantec.it
Neerlands:
http:// www.symantec.nl
Portugus:
http://www.symantec.com/br
Symantec Security Response:
http://securityresponse.symantec.com
Pgina de Servicio y Soporte Empresarial de Symantec:
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Boletines de noticias de productos:
EE.UU., Pacfico Asitico / ingls:

http://www.symantec.com/techsupp/bulletin/index.html
Europa, Oriente Medio y frica / ingls:

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
Alemn:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Francs:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Amrica Latina / ingls:

Soporte Tcnico
Nuestro grupo de soporte tcnico global, por ser parte integrante de Symantec
Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro
papel principal es responder a preguntas especficas sobre
caractersticas/funciones de los productos, instalaciones y configuracin, adems
de elaborar el contenido de nuestra Base de conocimientos accesible por Internet.
Trabajamos en colaboracin con las otras reas funcionales de Symantec para
responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniera
de productos, as como con nuestros Centros de Investigacin de Seguridad para
suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando
hay ataques de virus y alertas de seguridad. Nuestros servicios ms importantes
incluyen:
Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar

la amplitud de servicio necesaria para una organizacin de cualquier tamao.
Componentes de soporte telefnico y de Web que le proporcionan respuestas

rpidas y la informacin ms reciente.
Actualizaciones de producto que proporcionan proteccin automtica y

actualizada de software.
Actualizaciones de contenido para definiciones de virus y firmas de seguridad

que le garantizan el ms alto nivel de proteccin.
Soporte global de los expertos de Symantec Security Response, disponible las

24 horas del da, 7 das por semana, en todo el mundo, en varios idiomas.
Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de

Administrador de cuentas tcnico que suministran respuestas mejoradas y
soporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener informacin actualizada sobre los
programas de soporte.
Para contactarnos
Los clientes que tienen un acuerdo de soporte vlido pueden ponerse en contacto
con el equipo de Soporte Tcnico por telfono, a travs de la Web en la direccin
URL a continuacin o utilizando los sitios de soporte regionales que se indican
ms adelante en este documento.
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Cuando se ponga en contacto con el personal de Soporte Tcnico, asegrese de
tener a mano la siguiente informacin:
Nmero de versin del producto
Informacin del hardware
Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz

de red)
Sistema operativo
Versin y nivel de parche
Topologa de la red
Router, gateway y direccin IP
Descripcin del problema
Mensajes de error/archivos de registro
Soluciones intentadas antes de ponerse en contacto con Symantec
Cambios recientes en la configuracin del software y/o cambios en la red
Servicio de Atencin al Cliente de Symantec

El Centro de Servicio de Atencin al Cliente de Symantec puede prestarle ayuda
en asuntos no tcnicos, tales como:
Informacin general sobre productos (caractersticas, idiomas disponibles,

distribuidores en su rea, etc.).
Solucin de problemas bsicos, tales como comprobar el nmero de versin

del producto.
Informacin ms reciente sobre actualizaciones y nuevas versiones de

productos.
Cmo actualizar su producto.
Cmo registrar su producto y/o licencias.
Informacin sobre los programas de licenciamiento de Symantec.
Informacin sobre seguros de actualizacin y contratos de mantenimiento.
Reemplazo de CD y manuales.
Actualizacin de su registro de producto para reflejar un cambio de nombre o

direccin.
Consejos sobre las opciones de soporte tcnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de

servicio al cliente. Esta informacin tambin se puede obtener llamando al Centro
de Servicio al cliente de Symantec. Consulte la seccin "Para contactar el Servicio
y Soporte mundial", que aparece al final de este captulo, para obtener el nmero
y las direcciones Web del Servicio al cliente de su rea.
Para contactar el Servicio y Soporte mundial

En Europa, Oriente Medio, frica y Amrica Latina.
Sitios Web de Servicio y Soporte de Symantec
Alemn:
www.symantec.de/desupport/
Espaol:
www.symantec.com/region/mx/techsupp/
Francs:
www.symantec.fr/frsupport/
Ingls:
www.symantec.com/eusupport/
Italiano:
www.symantec.it/itsupport/
Neerlands:
www.symantec.nl/nlsupport/
Portugus:
www.symantec.com/region/br/techsupp/
Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas

y los ltimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener informacin

tcnica y no tcnica sobre su producto.
Symantec Security Response :
http://www.symantec.com/region/mx/avcenter/
Boletines de noticias de productos:
EE.UU. / ingls:
Europa, Oriente Medio, frica y Amrica Latina / ingls:

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
Alemn:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
Francs:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
Amrica Latina / ingls:

Servicio de Atencin al Cliente de Symantec

Proporciona informacin y consejos no tcnicos por telfono en los siguientes
idiomas: ingls, alemn, francs, italiano y espaol.
Alemania
+ (49) 69 6641 0315
Austria
+ (43) 1 50 137 5030
Blgica
+ (32) 2 2750173
Dinamarca
+ (45) 35 44 57 04
Espaa
+ (34) 91 7456467
Finlandia
+ (358) 9 22 906003
Francia
+ (33) 1 70 20 00 00
Holanda
+ (31) 20 5040698
Irlanda
+ (353) 1 811 8093
Italia
+ (39) 02 48270040
Luxemburgo
+ (352) 29 84 79 50 30
Noruega
+ (47) 23 05 33 05
Sudfrica
+ (27) 11 797 6639
Suecia
+ (46) 8 579 29007
Suiza
+ (41) 2 23110001
RU
+ (44) 20 7744 0367
Otros pases
+ (353) 1 811 8093 (slo en ingls)
Servicio de Atencin al Cliente de Symantec Direccin postal
Symantec Ltd
Customer Service Centre
Europa, Oriente Medio y frica (EMEA)
PO Box 5689
Dubln 15
Irlanda
En Amrica Latina
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo
el mundo. Los servicios varan segn los pases e incluyen socios internacionales,
representantes de Symantec en las zonas en que Symantec no tiene una oficina.
Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte
Symantec de su regin.
Argentina
Pte. Roque Saenz Pea 832 - Piso 6

C1035AAQ,
Ciudad de Buenos Aires
Argentina
Central telefnica: +54 (11) 5811-3225
Sitio Web: http://www.service.symantec.com/mx
Soporte Gold: 0800-333-0306
Venezuela
Avenida Francisco de Miranda. Centro Lido

Torre D. Piso 4, Oficina 40
Urbanizacin el Rosal
1050, Caracas D.F.
Dong Cheng District
Venezuela

Soporte Gold: 0800-1-00-2543
Colombia
Carrera 18# 86A-14

Oficina 407,
Bogota D.C.
Colombia
Brasil
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12 andar
So Paulo - SP
CEP: 04583-904
Brasil, SA
Fax: +55 (11) 5189-6210
Sitio Web: http://www.service.symantec.com/br
Soporte Gold: 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954

Oficina 1403
Providencia,
Santiago de Chile
Chile
Mxico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,

Colonia Jardines del Pedregal,
01900, Mexico D.F.
Mxico

Soporte Gold: 001880-232-4615
Resto de Amrica Latina
9155 South Dadeland Blvd.

Suite 1100,
Miami, FL 33156
U.S.A
Soporte Gold:
Costa Rica: 800-242-9445
Panama: 800-234-4856
Puerto Rico: 800-232-4615
En el Pacfico Asitico
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo
el mundo. Los servicios varan segn los pases e incluyen socios internacionales,
representantes de Symantec en las zonas en que Symantec no tiene una oficina.
Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte
Symantec de su regin.
Oficinas de Servicio y Soporte
AUSTRALIA
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australia
Central telefnica: +61 2 8879 1000
Fax: +61 2 8879 1001
Sitio Web: http://service.symantec.com
Soporte Gold: 1800 805 834 gold.au@symantec.com
Admin. contratos de soporte: 1800 808 089 contractsadmin@symantec.com
CHINA
Symantec China
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.

Soporte Tcnico: +86 10 8518 6923
Fax: +86 10 8518 6928
Sitio Web: http://www.symantec.com.cn
HONG KONG
Symantec Hong Kong

Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
Central telefnica: +852 2528 6206
Soporte Tcnico: +852 2528 6206
Fax: +852 2526 2646
Sitio Web: http://www.symantec.com.hk
INDIA
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, India
Soporte Tcnico: +91 22 652 0671
Fax: +91 22 657 0669
Sitio Web: http://www.symantec.com/india
COREA
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Corea del Sur
Fax: +822 3420 8650
Sitio Web: http://www.symantec.co.kr

MALASIA
Symantec Corporation (Malaysia) Sdn Bhd

31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malasia
Correo electrnico empresarial: gold.apac@symantec.com
N empresarial gratuito: +1800 805 104
Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
Symantec New Zealand

Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nueva Zelanda
Fax: +64 9 375 4101
Sitio Web de support: http://service.symantec.co.nz
Soporte Gold: 0800 174 045 gold.nz@symantec.com
Admin. contratos de soporte: 0800 445 450 contractsadmin@symantec.com
SINGAPUR
Symantec Singapore
6 Battery Road
#22-01/02/03
Singapur 049909
Central telefnica: 1800 470 0730
Fax: +65 6239 2001
Soporte Tcnico: 1800 720 7898
Sitio Web: http://www.symantec.com.sg
TAIWN
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwn
Soporte corporativo: +886 2 8761 5800
Fax: +886 2 2742 2838
Soporte Gold: 0800 174 045 gold.nz@symantec.com
Sitio Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la informacin contenida en este documento

est libre de errores. Sin embargo, dicha informacin puede estar sujeta a
modificaciones. Symantec Corporation se reserva el derecho de realizar dichas
modificaciones sin previo aviso.
Contenido
Soluciones de Servicio y Soporte

Captulo 1
Presentacin de los productos de Symantec

Acerca de sus productos de Symantec ..............................................
Acerca de Symantec Endpoint Protection ...................................
Acerca de Symantec Network Access Control ..............................
Acerca de Symantec Endpoint Protection Manager ......................
Componentes que funcionan con Symantec Endpoint Protection
Manager ...............................................................................
Funcionamiento de Symantec Endpoint Protection Manager ................
Entornos administrados y no administrados ...............................
Acerca de los grupos ...............................................................
Interaccin de clientes y servidores ...........................................
Acciones que pueden llevarse a cabo con Symantec Endpoint
Protection Manager ................................................................
Sitios donde se puede obtener ms informacin .................................
Captulo 2
23
23
26
27
28
29
29
30
30
30
31
Instalacin por primera vez

Antes de proceder a la instalacin ...................................................
Instalar y configurar Symantec Endpoint Protection Manager ..............
Configurar e implementar el software de cliente ................................
Iniciar sesin y buscar su grupo en la consola ....................................
Iniciar sesin en la consola de administracin .............................
Cmo encontrar su grupo en la consola ......................................
Configurar LiveUpdate para actualizaciones de sitio ...........................
Configurar LiveUpdate para actualizaciones de clientes ......................
Configurar una poltica de configuracin de LiveUpdate ................
Configurar una poltica de contenido de LiveUpdate .....................
Configurar y probar Symantec Endpoint Protection ............................
Configurar una poltica antivirus y contra software espa
predeterminada ...............................................................
Probar las funciones antivirus ..................................................
Configurar y probar Symantec Network Access Control .......................
Crear una poltica de integridad del host .....................................
Probar una poltica de integridad del host ...................................
33
35
37
38
38
39
39
40
41
42
43
43
44
48
48
50
16
Contenido
Captulo 3
Planificar la instalacin de produccin

Acerca de la planificacin de la instalacin y la arquitectura de
red ......................................................................................
Requisitos de sistema y de red ........................................................
Acerca de la definicin de derechos administrativos en equipos
de destino .......................................................................
Acerca de la configuracin de derechos de usuarios con Active
Directory ........................................................................
Requisitos de instalacin del sistema .........................................
Acerca de la compatibilidad con VMWare ...................................
Acerca de los firewalls de escritorio y los puertos de
comunicacin ........................................................................
Habilitar y modificar firewalls de Windows .......................................
Acerca de los firewalls de Windows y Symantec ...........................
Deshabilitar el Servidor de seguridad de conexin a
Internet ..........................................................................
Deshabilitar el Firewall de Windows XP ......................................
Modificar el firewall de Windows Vista ......................................
Preparar equipos con Windows XP/Vista para la implementacin
remota .................................................................................
Preparar equipos que ejecutan Windows XP en grupos de
trabajo ...........................................................................
Preparar equipos con Windows Vista .........................................
Preparar equipos para la instalacin ................................................
Eliminar amenazas de virus y riesgos de seguridad .......................
Evaluar software de cliente de otros fabricantes ..........................
Instalar software de cliente en etapas ........................................
Reinicios del equipo obligatorios .....................................................
Captulo 4
51
56
56
56
57
64
65
67
68
68
69
70
70
71
71
73
73
73
73
74
Instalar Symantec Endpoint Protection Manager

Antes de proceder a la instalacin ..................................................
Instalar Symantec Endpoint Protection Manager con una base de
datos integrada ......................................................................
Acerca de la configuracin de instalacin de la base de datos
integrada ........................................................................
Instalar Symantec Endpoint Protection Manager con la base de
datos integrada ................................................................
Instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL ...........................................................
Preparar Microsoft SQL Server 2000/2005 para la creacin de
una base de datos .............................................................
75
76
76
78
81
81
Contenido
Acerca de las opciones de instalacin de la base de datos de

Microsoft SQL Server ........................................................ 86
Instalar Symantec Endpoint Protection Manager con una base
de datos de Microsoft SQL .................................................. 90
Instalar consolas adicionales de Symantec Endpoint Protection
Manager ............................................................................... 94
Instalar y configurar Symantec Endpoint Protection Manager para
la conmutacin por error o el balanceo de carga ........................... 95
Instalar Symantec Endpoint Protection Manager para la
conmutacin por error o el balanceo de carga ........................ 95
Configurar conmutacin por error y balanceo de carga ................. 96
Instalar y configurar Symantec Endpoint Protection Manager para
la replicacin ....................................................................... 100
Instalar Symantec Endpoint Protection Manager para la
replicacin .................................................................... 100
Configurar Symantec Endpoint Protection Manager para la
replicacin .................................................................... 101
Ajustar el tamao de pila de Symantec Endpoint Protection
Manager ............................................................................. 102
Actualizar desde la base de datos integrada a Microsoft SQL
Server ................................................................................ 103
Hacer copia de respaldo del almacn de claves y los archivos
server.xml ..................................................................... 104
Hacer una copia de respaldo de la base de datos integrada ............ 105
Instalar una instancia de Microsoft SQL Server 2000 2005 ......... 105
Desinstalar Symantec Endpoint Protection Manager con una
base de datos integrada ................................................... 106
Volver a instalar Symantec Endpoint Protection Manager con
una base de datos de Microsoft SQL ................................... 106
Restaurar el archivo de almacn de claves de Java original ........... 107
Volver a configurar Symantec Endpoint Protection
Manager ....................................................................... 108
Desinstalar Symantec Endpoint Protection Manager ......................... 109
Captulo 5
Instalar el software de cliente de Symantec

Acerca del software de instalacin de clientes de Symantec ................
Acerca de Symantec Endpoint Protection ..................................
Acerca del software de Symantec Network Access Control ...........
Acerca de Windows Installer versin 3.1 ...................................
Acerca de los grupos y los clientes ...........................................
Acerca de la instalacin de software de cliente no administrado ..........
Crear paquetes de instalacin de clientes ........................................
111
112
113
113
113
114
114
17
18
Contenido
Acerca de la implementacin de software de cliente desde una unidad

asignada .............................................................................
Implementar software de cliente con el Asistente de implementacin
mediante transferencia .........................................................
Implementar software de cliente con Buscar equipos no
administrados ......................................................................
Importar listas de equipos ............................................................
Crear un archivo de texto de equipos para instalar ......................
Importar un archivo de texto de los equipos que desea
instalar .........................................................................
Acerca de la instalacin y la implementacin de software con
Altiris ................................................................................
Opciones de instalacin de otros fabricantes ....................................
Acerca de la instalacin de clientes mediante productos de otros
fabricantes ....................................................................
Acerca de la personalizacin de las instalaciones mediante
opciones de .msi .............................................................
Acerca de la instalacin de clientes con Microsoft SMS
2003 ............................................................................
Instalar clientes con un Objeto de directiva de grupo de Active
Directory ......................................................................
Desinstalar el software de cliente con un Objeto de directiva de
grupo de Active Directory ................................................
Acerca de la desinstalacin de software de cliente ............................
Captulo 6
116
117
119
119
120
120
121
121
121
121
123
130
131
Instalar los servidores de Cuarentena y de LiveUpdate

Antes de proceder a la instalacin .................................................
Instalar y configurar la Cuarentena central .....................................
Instalar la consola de cuarentena ............................................
Instalar el Servidor de cuarentena ...........................................
Adjuntar un servidor de administracin a la Cuarentena central
...................................................................................
Configurar los grupos para que utilicen Cuarentena central .........
Acerca del uso de un servidor de Symantec LiveUpdate .....................
Instalar y configurar un servidor de LiveUpdate ...............................
Desinstalar componentes de administracin de Symantec Endpoint
Security ..............................................................................
Captulo 7
115
133
133
134
135
137
138
139
141
142
Migrar de Symantec AntiVirus y Symantec Client

Security
Descripcin y secuencia de migracin ............................................ 144
Rutas de migracin compatibles e incompatibles .............................. 145
Contenido
Migraciones compatibles .......................................................

Migraciones que se bloquean ..................................................
Migraciones incompatibles .....................................................
Acerca de la migracin de Cuarentena central ............................
Preparar instalaciones de versiones anteriores para la
migracin ...........................................................................
Preparar todas las instalaciones de versiones anteriores ..............
Preparar instalaciones de versiones anteriores de Symantec
10.x/3.x ........................................................................
Acerca de migrar y no conservar los servidores y los grupos de clientes
y la configuracin .................................................................
Acerca de la migracin de grupos y opciones ...................................
Acerca de las opciones que no se migran .........................................
Acerca de los paquetes y la implementacin ....................................
Acerca de los paquetes de instalacin de clientes que se generan
durante la migracin .......................................................
Exportar y dar formato a una lista de nombres de equipos cliente
para migrar ...................................................................
Puertos de comunicaciones que se abren ...................................
Acerca de la preparacin de los equipos cliente para la
migracin .....................................................................
Instalar Symantec Endpoint Protection Manager ..............................
Migrar opciones de configuracin de grupos de clientes y
servidores ...........................................................................
Verificar la migracin y actualizar polticas migradas .......................
Migrar clientes no administrados ..................................................
Acerca de migrar clientes no administrados con archivos
CD ...............................................................................
Migrar clientes no administrados con paquetes exportados ..........
Qu se ha modificado para los administradores de versiones
anteriores ...........................................................................
Captulo 8
146
146
146
147
147
147
151
152
153
157
157
158
159
161
162
162
164
165
166
166
167
168
Migrar software de versin anterior de Symantec

Sygate
Acerca de la migracin a Symantec Endpoint Protection 11.x .............
Acerca de la migracin del servidor de Symantec Sygate y el
software de administracin ..............................................
Acerca de la migracin del software de cliente de versiones
anteriores de Symantec Sygate .........................................
Acerca de la migracin a Symantec Network Access Control 11.x ........
Acerca de la migracin del software de servidor de versiones
174
174
176
177
177
19
20
Contenido
Acerca de la migracin del software de cliente de versiones

Acerca de las actualizaciones de Enforcer .......................................
Situaciones de migracin de servidores ..........................................
Migrar una instancia de instalacin que utiliza un servidor de
administracin ...............................................................
Migrar una instancia de instalacin que utiliza una base de datos
de Microsoft SQL y varios servidores de
administracin ...............................................................
Migrar una instancia de instalacin que utiliza varias bases de
datos integradas y servidores de administracin ..................
Migrar una instancia de instalacin que utiliza varias bases de
datos SQL y servidores de administracin ...........................
Procedimientos de migracin de servidores de administracin ............
Migrar un servidor de administracin ......................................
Detener los servidores antes de la migracin de balanceo de carga
y conmutacin por error ..................................................
Deshabilitar la replicacin antes de la migracin ........................
Habilitar la replicacin despus de la migracin .........................
Cambios de la interfaz y de las funciones del usuario de la consola
despus de la migracin .........................................................
Migrar consolas de administracin remotas ....................................
Acerca de la configuracin de polticas migradas y nuevas .................
Acerca de la eliminacin de la proteccin de contrasea del cliente
de la configuracin del grupo ..................................................
Migrar software de cliente de versiones anteriores de Symantec
Sygate ................................................................................
Captulo 9
178
178
179
179
180
180
181
182
183
184
184
185
186
187
187
188
188
Actualizar a los nuevos productos de Symantec

Acerca de la actualizacin a nuevos productos de Symantec ...............
Actualizar Symantec Endpoint Protection Manager ..........................
Realizar una copia de respaldo de la base de datos ......................
Deshabilitar la replicacin .....................................................
Detener el servicio de Symantec Endpoint Protection
Manager .......................................................................
Actualizar Symantec Endpoint Protection Manager ....................
Habilitar la replicacin despus de la migracin .........................
Acerca de actualizar clientes de Symantec Endpoint Protection con
Symantec Network Access Control ...........................................
Acerca de actualizar clientes de Symantec Network Access Control
con Symantec Endpoint Protection ..........................................
191
191
192
192
193
193
194
195
195
Contenido
Apndice A
Funciones y propiedades de instalacin de Symantec

Endpoint Protection
Acerca de las funciones y propiedades de instalacin ........................
Acerca de la configuracin de Setaid.ini ....................................
Acerca de la configuracin de cadenas de comando de MSI ...........
Funciones y propiedades de la instalacin de clientes ........................
Funciones del cliente de Symantec Endpoint Protection ...............
Propiedades de la instalacin de clientes de Symantec Endpoint
Protection .....................................................................
Parmetros de Windows Installer ..................................................
Propiedades del Centro de seguridad de Windows .............................
Acerca de la utilizacin del archivo de registro para comprobar
errores ...............................................................................
Identificacin del punto de falla de una instalacin ...........................
Ejemplos de lnea de comandos ....................................................
Apndice B
197
198
199
200
200
202
203
205
206
207
207
Actualizar el software de cliente de Symantec

Acerca de las actualizaciones y los parches ...................................... 209
Actualizar el software de cliente de Symantec .................................. 210
Apndice C
Recuperacin despus de un desastre

Cmo prepararse para la recuperacin despus de un desastre ............
Acerca del proceso de recuperacin despus de un desastre ................
Restaurar Symantec Endpoint Protection Manager ...........................
Acerca de identificar el equipo nuevo o reconstruido ...................
Volver a instalar Symantec Endpoint Protection Manager ............
Restaurar el certificado del servidor ...............................................
Restaurar comunicaciones de clientes ............................................
Restaurar comunicaciones de clientes con una copia de respaldo
de la base de datos ..........................................................
Restaurar comunicaciones de clientes sin una copia de respaldo
de la base de datos ..........................................................
ndice
213
216
217
217
217
218
219
219
221
21
22
Contenido
Captulo
Presentacin de los
productos de Symantec
En este captulo se incluyen los temas siguientes:
Acerca de sus productos de Symantec
Componentes que funcionan con Symantec Endpoint Protection Manager
Funcionamiento de Symantec Endpoint Protection Manager
Acciones que pueden llevarse a cabo con Symantec Endpoint Protection

Manager
Sitios donde se puede obtener ms informacin

Sus productos de Symantec pueden incluir Symantec Endpoint Protection y
Symantec Network Access Control. Ambos productos incluyen Symantec Endpoint
Protection Manager, que proporciona la infraestructura para instalar y administrar
Symantec Endpoint Protection y Symantec Network Access Control. Symantec
Endpoint Protection y Symantec Network Access Control son dos tecnologas
diferentes de proteccin de puntos finales que funcionan juntas. Este libro incluye
ambas tecnologas de proteccin de puntos finales, que se compran por separado.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection protege dispositivos informticos de punto final
contra virus, amenazas y riesgos, y proporciona tres capas de proteccin a sus
dispositivos informticos de punto final. Las capas son: proteccin contra amenazas
24

de red, proteccin proactiva contra amenazas y proteccin antivirus y contra

software espa.
Figura 1-1
Capas de proteccin
Proteccin contra
amenazas de red
Proteccin proactiva contra
amenazas
Proteccin antivirus y
contra software espa
La proteccin contra amenazas de red bloquea el acceso de las amenazas a su

equipo mediante normas y firmas. La proteccin proactiva contra amenazas
identifica y atena las amenazas que se basan en el comportamiento de la amenaza.
La proteccin antivirus y contra software espa identifica y atena las amenazas
que intentan acceder o han accedido a sus equipos con las firmas que Symantec
crea.
Acerca de la proteccin contra amenazas de red

La proteccin contra amenazas de red consiste en software de firewall y de
prevencin de intrusiones para proteger dispositivos informticos de punto final.
El firewall admite las normas que se escriben para puertos y aplicaciones
especficos, y utiliza la inspeccin de estado de todo el trfico de red. Por lo tanto,
para todo el trfico de red iniciado por clientes, slo es necesario crear una norma
saliente para admitir ese trfico. El trfico de vuelta que responde al trfico saliente
es permitido automticamente por la inspeccin de estado.
El firewall proporciona compatibilidad total con TCP, UDP, ICMP y todos los
protocolos de IP tales como ICMP y RSVP. El firewall tambin admite protocolos
de Ethernet tales como Token Ring y puede bloquear controladores de protocolo
tales como VMWare y WinPcap. El firewall puede reconocer automticamente el
trfico legtimo de DNS, DHCP y WINS, de forma que es posible marcar una casilla
para permitir este trfico sin necesidad de escribir una norma.

Nota: Symantec asume que usted construye su base de normas de firewall de forma
que se prohba todo el trfico que no est permitido. El firewall no admite IPv6.
El motor de prevencin de intrusiones admite la comprobacin en busca de anlisis
de puertos y ataques de negacin de servicio, y protege contra ataques de
desbordamiento de bfer. Este motor tambin admite el bloqueo automtico del
trfico malicioso de equipos infectados. El motor de deteccin de intrusiones
admite la inspeccin de paquetes profunda y expresiones regulares, y permite
crear firmas personalizadas con un formato similar a SNORT.
Acerca de la proteccin proactiva contra amenazas

La proteccin proactiva contra amenazas incluye seguridad basada en
comportamiento que identifica amenazas en lnea tales como gusanos, virus,
caballos de Troya y registradores de pulsaciones. La proteccin proactiva contra
amenazas identifica estas amenazas por sus acciones y caractersticas, no con las
firmas de seguridad tradicionales. La proteccin proactiva contra amenazas analiza
el comportamiento de la amenaza y lo compara con centenares de mdulos de
deteccin para determinar si los procesos activos son seguros o maliciosos. Esta
tecnologa puede detectar y atenuar inmediatamente las amenazas desconocidas
por su comportamiento sin las firmas o los parches tradicionales.
En los sistemas operativos de 32 bits compatibles, la proteccin proactiva contra
amenazas tambin permite controlar el acceso de lectura, escritura y ejecucin
para dispositivos de hardware, archivos y claves del registro. Si es necesario, es
posible ajustar el control a sistemas operativos especficos compatibles. Es posible
tambin bloquear dispositivos perifricos por ID de clase, tales como USB,
Bluetooth, infrarrojos, FireWire, de serie, paralelos, SCSI y PCMCIA.
Acerca de la proteccin contra amenazas de virus y software

espa
La proteccin contra amenazas de virus y software espa previene infecciones en
los equipos mediante el anlisis del sector de arranque, la memoria y los archivos
en busca de virus, software espa y riesgos de seguridad. La proteccin contra
amenazas de virus y software espa utiliza las firmas de virus y riesgos de seguridad
que se encuentran en los archivos de definiciones de virus. Esta proteccin tambin
protege los equipos bloqueando riesgos de seguridad antes de que se instalen, si
esta accin no deja el equipo en un estado inestable.
La proteccin contra amenazas de virus y software espa incluye Auto-Protect,
que detecta virus y riesgos de seguridad cuando intentan acceder a la memoria o
instalarse. Auto-Protect tambin analiza en busca de riesgos de seguridad tales
como publicidad no deseada y software espa. Cuando encuentra riesgos de
25
26

seguridad, pone en cuarentena los archivos infectados, o quita y repara los efectos
secundarios de los riesgos de seguridad. Tambin se puede deshabilitar el anlisis
de riesgos de seguridad en Auto-Protect. Auto-Protect puede reparar riesgos
complicados, tales como riesgos de modo de usuario ocultos (rootkits) y riesgos
de seguridad persistentes que son difciles de quitar o que se reinstalan.
La proteccin contra amenazas de virus y software espa tambin incluye anlisis
de Auto-Protect para programas de correo electrnico de Internet que supervisa
todo el trfico POP3 y SMTP. Es posible configurar la proteccin contra amenazas
de virus y software espa a fin de analizar los mensajes entrantes en busca de
amenazas y riesgos de seguridad, as como los mensajes salientes en busca de
heurstica conocida. El anlisis de los mensajes enviados ayuda a evitar la
propagacin de amenazas como los gusanos, que pueden utilizar los clientes de
correo electrnico para replicarse en una red.
Nota: Auto-Protect para los programas de correo electrnico de Internet basados
en Web est bloqueado en la instalacin en sistemas operativos basados en
servidor. Por ejemplo, no es posible instalar esta funcin en Windows 2003 Server.
Acerca de Symantec Network Access Control

Symantec Network Access Control protege las redes contra dispositivos
informticos de punto final no autorizados, mal configurados o infectados. Por
ejemplo, Symantec Network Access Control puede negar el acceso a la red a los
equipos cliente que no ejecuten versiones especficas del software y de las firmas.
Si los equipos cliente no cumplen con los requisitos, Symantec Network Access
Control puede ponerlos en cuarentena y repararlos. Por ejemplo, si los equipos
cliente tienen definiciones antivirus de ms de una semana de antigedad,
Symantec Network Access Control puede poner en cuarentena los equipos.
Symantec Network Access Control puede actualizar los equipos con las ltimas
definiciones antivirus (correccin) y despus permitir que los equipos accedan a
la red.
Symantec Network Access Control le permite controlar esta proteccin con
polticas de integridad del host. Se crean polticas de integridad del host con la
Consola de Symantec Endpoint Protection Manager y despus se aplican las
polticas a los grupos de equipos cliente. Si instala solamente el software de cliente
de Symantec Network Access Control, es posible exigir que los equipos cliente
ejecuten software antivirus, contra software espa y de firewall. Es posible tambin
exigir que ejecuten los ltimos paquetes de servicios y parches del sistema
operativo, y crear requisitos de aplicacin personalizados. Si los equipos cliente
no cumplen con los requisitos, es posible ejecutar comandos en los equipos cliente
para intentar actualizarlos.

Si se integra Symantec Network Access Control con Symantec Endpoint Protection,

es posible aplicar polticas de firewall a los clientes que no cumplen con las polticas
de integridad del host. Esta poltica puede restringir los puertos que los clientes
pueden utilizar para el acceso a la red y puede limitar las direcciones IP a las que
los clientes pueden acceder. Por ejemplo, es posible restringir las comunicaciones
de equipos que no cumplen y permitir solamente la comunicacin con equipos
que contienen el software y las actualizaciones obligatorios. Esta integracin se
llama aplicacin automtica.
Si se integra Symantec Network Access Control con Symantec Enforcer, un
dispositivo de hardware opcional, es posible restringir an ms los equipos que
no cumplen e impedirles el acceso a la red. Es posible restringir el acceso a los
equipos que no cumplen a segmentos especficos de la red para su correccin y
es posible prohibir totalmente el acceso a los equipos que no cumplen. Por ejemplo,
con Symantec Gateway Enforcer, es posible controlar el acceso de equipos externos
a su red mediante VPN. Con los mdulos DHCP Enforcer y LAN Enforcer de
Symantec, es posible controlar el acceso interno del equipo a la red asignando las
direcciones IP no conmutables a los equipos que no cumplen. Es posible tambin
asignar los equipos que no cumplen a segmentos de la LAN en cuarentena.
Acerca de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager consiste en dos aplicaciones basadas en
Web. Una aplicacin basada en Web necesita Microsoft Internet Information
Services, que debe existir antes de que se instale Symantec Endpoint Protection
Manager. La otra aplicacin basada en Web se ejecuta en Apache Tomcat, que se
instala automticamente. Symantec Endpoint Protection Manager incluye un
servidor y una base de datos SQL incorporados y la Consola de Symantec Endpoint
Protection Manager. Es posible instalar el servidor y la base de datos SQL
incorporados automticamente, o es posible instalar una base de datos en una
instancia de Microsoft SQL Server 2000/2005.
Si la red utilizada en su empresa es pequea y est ubicada en una misma rea
geogrfica, es necesario instalar solamente una instancia de Symantec Endpoint
Protection Manager. Si su red est dispersa geogrficamente, puede ser necesario
instalar instancias adicionales de Symantec Endpoint Protection Manager para
el balanceo de carga y la distribucin del ancho de banda. Si su red es muy grande,
es posible instalar instancias adicionales de Symantec Endpoint Protection
Manager con bases de datos adicionales y configurarlas para compartir datos con
replicacin. Para proporcionar redundancia adicional, es posible instalar instancias
de Symantec Endpoint Protection Manager para conmutacin por error.
27
28

Componentes que funcionan con Symantec Endpoint Protection Manager
Componentes que funcionan con Symantec Endpoint

Protection Manager
La Tabla 1-1 describe los componentes que conforman Symantec Endpoint
Protection Manager y funcionan con Symantec Endpoint Protection Manager.
Tabla 1-1
Componentes que conforman Symantec Endpoint Protection

Manager y funcionan con Symantec Endpoint Protection Manager
Componente
Descripcin
Consola de Symantec Endpoint

Protection Manager
Permite realizar operaciones de administracin tales

como las siguientes:
Instalacin de proteccin para clientes en estaciones
de trabajo y servidores de red.
Actualizacin de definiciones, firmas y
actualizaciones del producto.
Administracin de servidores de red y estaciones de
trabajo que ejecutan el software de cliente de
Symantec Endpoint Protection y de Symantec
Network Access Control.
Recopilacin y organizacin de eventos, lo cual
incluye alertas de virus y riesgos de seguridad,
anlisis, actualizaciones de definiciones, eventos de
cumplimiento de terminales e intentos de
intrusiones. Tambin permite crear e imprimir
informes detallados y configurar alertas.
Symantec Endpoint Protection

Manager
Se comunica con los clientes de punto final y se

configuren con la Consola de Symantec Endpoint
Protection Manager.
Proporciona proteccin antivirus, firewall, proteccin

proactiva contra amenazas y prevencin de intrusiones
para equipos conectados y no conectados.
Symantec Network Access

Control
Proporciona proteccin del cumplimiento de red para

equipos conectados.
Servidor de LiveUpdate
Proporciona la capacidad de obtener definiciones, firmas

y actualizaciones del producto desde un servidor de
Symantec LiveUpdate y distribuir las actualizaciones a
los equipos cliente.

Funcionamiento de Symantec Endpoint Protection Manager
Componente
Descripcin
Cuarentena central
Funciona como parte de Digital Immune System para

proporcionar respuestas automticas a los virus nuevos
o no reconocidos que se detecten mediante el anlisis
heurstico a travs de las acciones siguientes:
Recibe los elementos infectados sin reparar desde
clientes de Symantec Endpoint Protection.
Enva los archivos sospechosos a Symantec Security
Response.
Funcionamiento de Symantec Endpoint Protection

Manager
Es necesario entender los siguientes conceptos de red de Symantec para
administrar Symantec Endpoint Protection Manager:
Entornos administrados y no administrados
Acerca de los grupos
Interaccin de clientes y servidores
Entornos administrados y no administrados

Los clientes pueden instalarse como administrados o no administrados. La red
administrada aprovecha por completo las funcionalidades de red de Symantec
Endpoint Protection Manager. Se puede supervisar, configurar y actualizar cada
cliente y servidor de su red desde un solo equipo que ejecute Symantec Endpoint
Protection Manager. Es posible tambin instalar y actualizar los clientes de
Symantec Endpoint Protection y de Symantec Network Access Control desde la
Consola de Symantec Endpoint Protection Manager.
En una red no administrada, debe administrar cada equipo de forma individual o
trasladar esta responsabilidad al usuario primario del equipo. Las responsabilidades
incluyen la actualizacin de definiciones de virus y riesgos de seguridad, la
configuracin del firewall y antivirus, y la migracin o actualizacin peridica de
software de cliente. Este enfoque es adecuado para las redes ms pequeas que
poseen recursos de tecnologa de la informacin limitados.
Nota: Si desea permitir a usuarios modificar la configuracin del cliente, Symantec
recomienda instalar los clientes en un entorno administrado.
29
30

Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager
Acerca de los grupos

En una red administrada, es posible ordenar los equipos cliente en grupos. Esto
permite agrupar los clientes que requieren niveles de acceso y configuraciones
similares. Es posible especificar opcionalmente una configuracin de ubicacin
diferente en un grupo. Por lo tanto, si un cliente accede a la red desde diversas
ubicaciones, se pueden aplicar diversas polticas. Es posible crear, ver y configurar
grupos desde la Consola de Symantec Endpoint Protection Manager.
Interaccin de clientes y servidores

En una red administrada, Symantec Endpoint Protection Manager administra
cada cliente. Symantec Endpoint Protection Manager proporciona a sus clientes
actualizaciones de las definiciones de contenido e informacin de configuracin,
y realiza un seguimiento de esta configuracin. Los clientes administrados, a su
vez, realizan un seguimiento de Symantec Endpoint Protection Manager. Los
clientes administrados se comunican con Symantec Endpoint Protection Manager
para determinar si hay nueva informacin o definiciones de polticas disponible.
Acciones que pueden llevarse a cabo con Symantec

Endpoint Protection Manager
Symantec Endpoint Protection Manager le permite hacer lo siguiente:
Definir y aplicar polticas de seguridad.
Proteger contra virus, amenazas combinadas y riesgos de seguridad, como

aplicaciones de publicidad no deseada y software espa.
Administrar la distribucin, configuracin, actualizacin y realizacin de

informes de la proteccin antivirus desde una consola de administracin
integrada.
Evitar que los usuarios accedan a dispositivos de hardware en sus equipos,

tales como unidades USB.
Administrar la distribucin, configuracin, actualizacin y la realizacin de

informes de la proteccin antivirus y la del firewall, adems de la prevencin
de intrusiones desde una consola de administracin integrada.
Administrar los clientes de acuerdo con su ubicacin.
Responder rpidamente a los ataques de virus mediante la identificacin de

clientes desactualizados y la implementacin de definiciones de virus
actualizadas.

Crear y mantener los informes donde se detallan los eventos importantes que
ocurran en la red.
Brindar un alto nivel de proteccin y una respuesta integrada ante amenazas

de seguridad para todos los usuarios que se conecten a la red. Esta proteccin
incluye a teletrabajadores con conexiones a la red siempre activas y usuarios
mviles con conexiones intermitentes.
Obtener una visin consolidada de los distintos componentes de seguridad

distribuidos a lo largo de todas las estaciones de trabajo que forman la red.
Realizar una instalacin personalizable e integrada de todos los componentes

de seguridad y establecer polticas simultneamente.
Ver la historia y los datos del registro de eventos.

Las fuentes de informacin incluyen las siguientes:
Gua de administracin para Symantec Endpoint Protection y Symantec Network

Access Control
Gua de usuario del cliente para Symantec Endpoint Protection y Symantec

Gua de administracin de LiveUpdate
Gua de administracin de Symantec Central Quarantine
Ayuda en lnea, que contiene toda la informacin incluida en las guas y ms
La documentacin principal est disponible en la carpeta de documentos de los

CD de instalacin. Algunas carpetas de componentes individuales incluyen
informacin especfica del componente. En los sitios Web de soporte tcnico y de
soporte Platinum de Symantec, hay disponibles actualizaciones de estas guas.
La Tabla 1-2 enumera informacin adicional disponible en los sitios Web de
Symantec.
Tabla 1-2
Sitios Web de Symantec
Tipo de informacin
Direccin Web
Base de conocimientos pblica
http://www.symantec.com/es/mx/enterprise/support/
Versiones y actualizaciones
Manuales y documentacin
Opciones de contacto
31
32

Tipo de informacin
Direccin Web
Informacin y actualizacin de
virus y otras amenazas
http://www.symantec.com/es/mx/security_response/
Noticias y actualizaciones de
productos
http://enterprisesecurity.symantec.com
Acceso Web al soporte Platinum https://www-secure.symantec.com/platinum/
Captulo

Antes de proceder a la instalacin
Instalar y configurar Symantec Endpoint Protection Manager
Configurar e implementar el software de cliente
Iniciar sesin y buscar su grupo en la consola
Configurar LiveUpdate para actualizaciones de sitio
Configurar LiveUpdate para actualizaciones de clientes
Configurar y probar Symantec Endpoint Protection
Configurar y probar Symantec Network Access Control

Si esta instalacin es una instalacin nueva, es necesario instalar, configurar y
probar el software de Symantec Endpoint Protection o Symantec Network Access
Control en un entorno de prueba.
Nota: Las pequeas empresas que no tienen recursos de entorno de prueba deben
instalar y probar el software de cliente en algunos clientes de produccin.
La Figura 2-1 muestra una forma de configurar un entorno de prueba.
34

Ejemplo de entorno de prueba
Figura 2-1
Symantec
Security
Response
Internet
Router
Firewall
Conmutador/Hub
Cliente A
Cliente B
Cliente C
Symantec Endpoint Security Manager con
base de datos integrada
Este entorno de prueba contiene tres clientes y un servidor. El servidor ejecuta

tres componentes de administracin. Los tres componentes de administracin
son Symantec Endpoint Protection Manager, la Consola de Symantec Endpoint
Protection Manager y la base de datos Sybase integrada. Estos procedimientos de
instalacin y configuracin estn diseados para este entorno de prueba de
muestra.
Los equipos en los cuales usted instala Symantec Endpoint Protection Manager
deben cumplir los siguientes requisitos mnimos de software:
Windows 2000 Server con Service Pack 3, Windows XP o Windows Server 2003
Internet Information Services (IIS) versin 5.0 o superior
Internet Explorer 6.0
Los equipos en los cuales usted instala el software de cliente deben cumplir los
siguientes requisitos mnimos de software:

Windows 2000 Professional con Service Pack 3, Windows XP o Windows Server

2003
Internet Explorer 6.0 o superior
Instalar y configurar Symantec Endpoint Protection

Manager
La instalacin del software de administracin por primera vez se divide en dos
partes. La primera parte instala Symantec Endpoint Protection Manager. La
segunda parte instala y configura la base de datos de Symantec Endpoint Protection
Manager. En la primera parte, es posible aceptar todas las opciones
predeterminadas. En la segunda parte, es necesario agregar por lo menos un valor
personalizado, que es una contrasea.
Nota: El software de administracin no incluye Symantec Endpoint Protection ni
ningn otro software de cliente que se administre.
Para instalar Symantec Endpoint Protection Manager
Inserte el CD de instalacin e inicie la instalacin.
En el panel de instalacin, realice una de las siguientes acciones:
Si instala Symantec Endpoint Protection, haga clic en Instalar Symantec

Endpoint Protection.
Si instala Symantec Network Access Control, haga clic en Instalar

Symantec Network Access Control.
En el panel de instalacin siguiente, haga clic en Instalar Symantec Endpoint

Protection Manager.
En el panel de bienvenida, haga clic en Siguiente.
En el panel Contrato de licencia, marque Acepto los trminos del contrato

de licencia y, a continuacin, haga clic en Siguiente.
En el panel Carpeta de destino, acepte o modifique el directorio de instalacin.
Realice uno de los pasos siguientes:
Para configurar el servidor Web de IIS de Symantec Endpoint Protection

Manager como el nico servidor Web de este equipo, marque Crear un
sitio Web personalizado y despus haga clic en Siguiente.
35
36

Para permitir que el servidor Web de IIS de Symantec Endpoint Protection

Manager se ejecute con otros servidores Web en este equipo, marque Usar
el sitio Web predeterminado y despus haga clic en Siguiente.
En el panel Preparado para la instalacin, haga clic en Instalar.
Cuando la instalacin finaliza y aparece el panel Asistente de instalacin

finalizado, haga clic en Finalizar.
Espere a que aparezca el panel del Asistente para la configuracin del servidor
de administracin, que puede tardar hasta 15 segundos adicionales.
Para configurar Symantec Endpoint Protection Manager
En el panel Asistente para la configuracin del servidor de administracin,

haga clic en Siguiente.
En el panel Tipo de sitio, marque Instalar mi primer sitio y despus haga clic
en Siguiente.
En el panel Informacin de servidor, acepte o modifique los valores

predeterminados para los cuadros siguientes y despus haga clic en Siguiente:
Nombre del servidor
Puerto del servidor
Carpeta de datos del servidor
En el panel Nombre del sitio, en el cuadro Nombre del sitio, escriba el nombre
de su sitio y despus haga clic en Siguiente.
En el panel Contrasea de cifrado, escriba un valor en ambos cuadros y

despus haga clic en Siguiente.
Documente esta contrasea cuando instale Symantec Endpoint Protection
en su entorno de produccin. La necesitar para la recuperacin despus de
un desastre y para agregar hardware opcional de Enforcer.
En el panel Eleccin del servidor de bases de datos, marque Base de datos

integrada y despus haga clic en Siguiente.
En el panel Configurar usuario, en los cuadros Contrasea, escriba una

contrasea para utilizar con el usuario Admin a fin de iniciar sesin en la
consola y, despus, haga clic en Siguiente.
Cuando finaliza la instalacin, tiene la opcin de implementar software de
cliente con el Asistente de instalacin y migracin. Si no implementa el
software de cliente en este momento, consulte el captulo de instalacin de
clientes para obtener informacin sobre cmo instalar el software de cliente.
Inicie sesin en la consola con el nombre de usuario y la contrasea que usted
escribi aqu.


El Asistente de instalacin y migracin le permite configurar un paquete de
software de cliente. El Asistente de implementacin mediante transferencia
aparece opcionalmente para permitirle implementar el paquete de software de
cliente. Si no opta por utilizar al Asistente de implementacin mediante
transferencia, es posible iniciarlo manualmente usando ClientRemote.exe desde
el directorio \tomcat\bin.
Nota: En este procedimiento se asume que usted implementa el software de cliente
en equipos de 32 bits y no en equipos de 64 bits. Este procedimiento tambin
implica seleccionar un directorio en el cual poner los archivos de instalacin.
Puede crear este directorio antes de iniciar el procedimiento. Tambin necesitar
autenticarse con credenciales administrativas en el dominio de Windows o el
grupo de trabajo que contenga los equipos.
La implementacin del software de cliente en equipos que ejecutan firewalls y
con Windows XP/Vista tiene requisitos especiales. Los firewalls deben permitir
la implementacin remota mediante el puerto TCP 139, y los equipos que estn
en grupos de trabajo y tengan Windows XP deben deshabilitar el uso compartido
simple de archivos. Windows Vista tiene requisitos adicionales.
Ver "Habilitar y modificar firewalls de Windows" en la pgina 67.
Ver "Preparar equipos con Windows XP/Vista para la implementacin remota"
en la pgina 70.
Para configurar el software de cliente
En el panel de finalizacin del Asistente para la configuracin del servidor

de administracin, marque S y despus haga clic en Finalizar.
En el panel de bienvenida del Asistente para migracin y distribucin, haga

clic en Siguiente.
En el panel Qu desea hacer?, marque Distribuir el cliente y despus haga

clic en Siguiente.
En el siguiente panel sin nombre, marque Especifique el nombre de un nuevo

grupo al que desee distribuir los clientes, escriba un nombre de grupo en el
cuadro y despus haga clic en Siguiente.
En el panel siguiente, deje sin marcar cualquier software de cliente que no

desee instalar y despus haga clic en Siguiente.
En el panel siguiente, marque las opciones que desee para los paquetes, los
archivos y la interaccin de usuario.
37
38

Haga clic en Examinar, busque y seleccione un directorio en el cual poner los

archivos de instalacin y despus haga clic en Abrir.
Haga clic en Siguiente.
En el siguiente panel sin nombre, marque S y despus haga clic en Finalizar.

No marque Iniciar la consola de administracin. Puede llevar hasta 5 minutos
crear y exportar el paquete de instalacin para su grupo antes de que aparezca
el Asistente de implementacin mediante transferencia.
Para implementar el software de cliente con el Asistente de implementacin

mediante transferencia
En el panel Asistente de implementacin mediante transferencia, bajo Equipos

disponibles, ample los rboles y seleccione los equipos en los cuales instalar
el software de cliente y, despus, haga clic en Agregar.
En el cuadro de dilogo Autenticacin de clientes remotos, escriba un nombre

de usuario y una contrasea que puedan autenticarse en el dominio de
Windows o el grupo de trabajo que contiene los equipos y, despus, haga clic
en Aceptar.
Cuando haya seleccionado todos los equipos y stos aparezcan en el panel

derecho, haga clic en Finalizar.
Cuando la instalacin termine, haga clic en Finalizado.

Su primera actividad es iniciar sesin en la consola y buscar su grupo.
Iniciar sesin en la consola de administracin

La primera vez que inicie sesin en la consola de administracin, se le pedir que
modifique la contrasea de administrador.
Para iniciar sesin en la consola de administracin
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager
> Consola de Symantec Endpoint Protection Manager.
En la indicacin de inicio de sesin de Symantec Endpoint Protection Manager,

en el cuadro Nombre de usuario, escriba admin.
En el cuadro Contrasea, escriba la contrasea de admin que cre durante la

instalacin y haga clic en Iniciar sesin.

Cmo encontrar su grupo en la consola

Despus de iniciar sesin, es necesario buscar el grupo que usted cre durante la
instalacin. A continuacin, verifique que los equipos cliente en los cuales usted
implement el software aparezcan en ese grupo.
La Figura 2-2 ilustra un ejemplo de un grupo que fue creado durante la instalacin.
Figura 2-2
Grupo

Es necesario configurar la frecuencia con la que Symantec Endpoint Protection
Manager busca y descarga nuevas actualizaciones al sitio. Tambin puede
configurar actualizaciones de clientes con polticas de contenido de LiveUpdate,
por lo tanto, asegrese de descargar todos los tipos que usted quisiera que los
clientes recibieran.
Symantec Endpoint Protection Manager para Symantec Network Access Control
slo admite actualizaciones del producto.
Para configurar LiveUpdate para el sitio
En el panel izquierdo de la consola, haga clic en Admin.
En el panel inferior izquierdo, haga clic en Servidores.
39
40

En el panel superior izquierdo, haga clic con el botn secundario en Sitio local
y despus haga clic en Propiedades.
En la ficha LiveUpdate, bajo Programacin de descarga, marque las opciones

de la frecuencia con la cual desea descargar las ltimas definiciones.
Para obtener informacin acerca de la configuracin de otras opciones en

este cuadro de dilogo, haga clic en Ayuda.
Cuando se finaliza la configuracin de las propiedades de LiveUpdate del

sitio, haga clic en Aceptar.
Configurar LiveUpdate para actualizaciones de

clientes
Cuando se crea un grupo con el Asistente de instalacin y migracin, su grupo
recibe polticas predeterminadas. Si crea una nueva poltica del mismo tipo que
una poltica predeterminada y la aplica al grupo, la poltica predeterminada
desaparece. Por ejemplo, es posible crear una poltica de LiveUpdate llamada "Mi
LiveUpdate" y aplicarla a un grupo que utilice una poltica de LiveUpdate
predeterminada. Mi LiveUpdate entonces toma el lugar de la poltica antivirus

predeterminada. Otros grupos pueden tambin compartir la nueva poltica que

usted crea.
Existen dos tipos de polticas de LiveUpdate. Una poltica de configuracin de
LiveUpdate especifica la frecuencia con la que los clientes ejecutan LiveUpdate
para saber si hay actualizaciones de contenido. Una poltica de contenido de
LiveUpdate especifica el contenido que los clientes pueden recibir cuando ejecutan
LiveUpdate.
Configurar una poltica de configuracin de LiveUpdate

Cuando se crea un grupo con el Asistente de instalacin y migracin, su grupo
recibe polticas predeterminadas. Es posible crear una nueva poltica y sustituir
la poltica predeterminada, o editar la poltica predeterminada. Las mejores
prcticas son crear una nueva poltica y modificar la poltica predeterminada.
Para configurar una poltica de configuracin de LiveUpdate
En la consola, haga clic en Polticas.
En el panel Ver polticas, haga clic en LiveUpdate.
En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de

configuracin de LiveUpdate.
En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un

nombre para la poltica.
Bajo Poltica de LiveUpdate, haga clic en Programar.
En el panel Programar, acepte o modifique las opciones de programacin.
Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
Decida si se guardarn o se modificarn las opciones predeterminadas.
Para obtener informacin sobre las opciones, haga clic en Ayuda.

Generalmente, no se permite que los usuarios modifiquen las opciones de
actualizacin. Sin embargo, es posible permitir que inicien manualmente una
sesin de LiveUpdate si usted no admite centenares o millares de clientes.
10 Cuando haya configurado su poltica, haga clic en Aceptar.

11 En el cuadro de dilogo Asignar poltica, haga clic en S.
41
42

12 En el cuadro de dilogo Asignar poltica de LiveUpdate, marque los grupos y

las ubicaciones a los que se aplicar la poltica y despus haga clic en Asignar.
Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas
de su grupo principal, como se establece en la ficha Polticas de clientes.
13 En el cuadro de dilogo Aplicar Poltica de LiveUpdate, haga clic en Aceptar

y termine la aplicacin.
Configurar una poltica de contenido de LiveUpdate

De forma predeterminada, todos los clientes de un grupo reciben las ltimas
versiones de todas las actualizaciones del contenido. Si se configura un grupo
para que obtenga actualizaciones de un servidor de administracin, los clientes
reciben slo las actualizaciones que descarga el servidor. Si la poltica de contenido
de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor
de administracin no se configura para descargar todas las actualizaciones, los
clientes reciben slo lo que el servidor descarga. Los elementos que el servidor
descarga pueden configurarse desde el panel Administrador.
Nota: Las polticas de contenido de LiveUpdate no estn disponibles para los
clientes de Symantec Network Access Control.
Para configurar una poltica de contenido de LiveUpdate
En el panel Ver polticas, haga clic en LiveUpdate.
En el panel Polticas de LiveUpdate, haga clic en la ficha Contenido de

LiveUpdate.
En el panel inferior izquierdo Tareas, haga clic en Agregar una poltica de

contenido de LiveUpdate.

Si configura Symantec Endpoint Protection, en el panel Contenido de

LiveUpdate, haga clic en Definiciones de seguridad.
En el panel Definiciones de seguridad, marque las actualizaciones que se

descargarn e instalarn, y deje sin marcar las actualizaciones que no se
utilizarn.
En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar.
En el cuadro de dilogo Asignar poltica, haga clic en S.

10 En el cuadro de dilogo Asignar poltica de contenido de LiveUpdate, marque

uno o ms grupos a los cuales se aplicar esta poltica y, despus, haga clic
en Asignar.
Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas
de su grupo principal, como se establece en la ficha Polticas de clientes.
11 En el cuadro de dilogo Aplicar Poltica de LiveUpdate, haga clic en Aceptar

y termine la aplicacin.

Despus de configurar e instalar una poltica de LiveUpdate, es necesario crear y
aplicar una poltica de proteccin antivirus y contra software espa.
Nota: En esta seccin, se asume que usted compr Symantec Network Access
Control y lo instal.
Configurar una poltica antivirus y contra software espa

predeterminada
A continuacin, debe configurar una poltica antivirus y contra software espa
para su grupo. En este paso, deber editar la poltica predeterminada que
actualmente se aplica solamente al grupo. Es posible, sin embargo, crear una nueva
poltica y aplicarla a su grupo.
Para configurar una poltica antivirus y contra software espa predeterminada
En la consola, en el panel izquierdo, haga clic en Clientes.
Bajo Mi_Grupo, en la ficha Polticas, bajo Polticas, al costado de Poltica

antivirus y contra software espa [compartida], haga clic en Tareas > Editar
poltica.
En el cuadro de dilogo Editar poltica, haga clic en Convertir en no

compartida.
En el panel Antivirus y proteccin contra software espa, haga clic en

Auto-Protect para el sistema de archivos.
En la ficha Detalles del anlisis, verifique que Habilitar Auto-Protect para

el sistema de archivos est marcado y que el icono de bloqueo est en el modo
desbloqueado (para la prueba).
Generalmente, esta configuracin debe estar bloqueada, pero para los
propsitos de prueba iniciales, djela desbloqueada. Bloquear una opcin
impide que los usuarios modifiquen una configuracin.
43
44

En la ficha Acciones, bajo Deteccin, haga clic en Virus no de macro.
Bajo Acciones para: Virus no de macro, examine la secuencia de acciones

predeterminada que ocurrirn cuando se detecta un virus no de macro.
La primera accin es intentar limpiar el virus. Si no es posible limpiarlo, el
virus se pone en cuarentena.
En la ficha Notificaciones, examine el mensaje que aparece en los equipos

cliente cuando se detecta un virus o un riesgo de seguridad.
Es posible modificar este mensaje ms tarde si es necesario.
En el panel izquierdo, haga clic en Anlisis definidos por el administrador.
10 En la ficha Anlisis, bajo Nombre, haga clic en Anlisis completo cada viernes
a las 8 P.M. y despus haga clic en Editar.
11 Familiarcese con las opciones de las diversas fichas y modifquelas si es

necesario.
Inicialmente, se recomienda siempre realizar anlisis completos. Despus de
que se ejecuten anlisis completos, los anlisis rpidos y Auto-Protect son
eficaces para asegurar los equipos cliente.
12 Cuando comprenda las opciones del anlisis, haga clic en Aceptar.

13 En el panel de la izquierda, presione Cuarentena.
14 En el panel Cuarentena, bajo Opciones adicionales, haga clic en Opciones de
limpieza.
15 En el cuadro de dilogo Opciones de limpieza, revise las opciones para depurar

archivos reparados y en cuarentena.
Familiarcese con esta configuracin si desea modificarla en el futuro.
16 Haga clic en Aceptar.
Probar las funciones antivirus

Es necesario experimentar con la deteccin antivirus en un entorno de prueba
controlado a fin de familiarizarse con las alertas y las entradas de registro. Antes
de probar la deteccin antivirus, descargue el ltimo archivo Eicar.com de prueba
de antivirus en un soporte transportable, tal como una memoria flash. Puede
descargar Eicar.com de la siguiente URL:
http://www.eicar.org

Probar Auto-Protect
Auto-Protect es el proceso en tiempo real de Symantec que examina cada archivo
que se ejecuta o al que accede un usuario a fin de evaluar si es un virus o un riesgo
de seguridad. Auto-Protect determina si los archivos son virus o riesgos de
seguridad usando las definiciones que usted descarga de Symantec. Es posible ver
cmo Auto-Protect funciona usando un virus benigno llamado Eicar. Estn
disponibles varias versiones en la URL siguiente:
http://www.eicar.org.
Para probar Auto-Protect
En un equipo cliente, en la esquina inferior derecha, haga clic con el botn

secundario en el escudo de Symantec Endpoint Protection y haga clic en
Deshabilitar Auto-Protect.
Si no ha descargado eicar.com, vaya a http://www.eicar.org y busque y

descargue eicar.com en el equipo cliente.
En la esquina inferior derecha, haga clic con el botn secundario en el escudo

de Symantec Endpoint Protection y haga clic en Habilitar Auto-Protect.
Haga doble clic en eicar.com.
Lea los detalles en las indicaciones del mensaje y familiarcese con ellos.
Administrar amenazas detectadas

Despus de que Symantec Endpoint Protection detecta y asla eicar.com, enva la
informacin a Symantec Endpoint Protection Manager. Es posible entonces ver
la actividad que ocurri desde la pgina principal en la Consola de Symantec
Endpoint Protection Manager. Esta tarea es una tarea primaria que usted realiza
en un entorno de produccin. Cuando los clientes detectan amenazas verdaderas,
45
46

usted primero ver detalles sobre la amenaza. A continuacin, deber decidir si

Auto-Protect atena la amenaza y dejar en blanco el estado.
Para administrar amenazas detectadas
En la consola, haga clic en Pgina principal.
En la columna Virus de la fila Bloqueado, haga clic en el nmero.

En la ventana Informes: Equipos infectados y en riesgo, familiarcese con la

informacin obtenida y cierre la ventana.
Haga clic en Supervisin.
En la ficha Registros, en el men desplegable Tipo de registro, haga clic en

Estado del equipo y despus haga clic en Ver registro.
Para visualizar informacin sobre la infeccin, haga clic en Detalles.
Para borrar el estado Infectado, haga clic en Borrar estado infectado.
Configurar el icono de estado de la seguridad

La pgina principal muestra el estado de la seguridad de sus equipos cliente. Los
dos estados posibles son Bueno y Malo. Es posible controlar cuando el estado es
Bueno y Malo configurando las preferencias del umbral del estado de seguridad.
Para configurar el icono de estado de la seguridad
En la consola, haga clic en Pgina principal.
Bajo Estado de seguridad, haga clic en Ms detalles.
En el cuadro de dilogo Estado de seguridad, revise las funciones que activan

los estados Bueno y Malo.
En la esquina superior derecha, haga clic en X.
Bajo Estado de seguridad, haga clic en Preferencias.
47
48

En el cuadro de dilogo Preferencias, en la ficha Estado de seguridad, revise

las activaciones y el umbral del estado de seguridad que es posible configurar.
Todos los umbrales se establecen de forma predeterminada en diez por ciento.
Para ver detalles del estado de la seguridad, haga clic en Ayuda.

Para activar el estado Malo, deshabilite Auto-Protect en uno de sus clientes
de prueba.
Haga clic en Aceptar.
Para revisar el estado de la seguridad de sus clientes administrados en

cualquier momento, en la pgina principal, haga clic en el icono de estado.

Symantec Network Access Control admite dos polticas solamente: LiveUpdate e
Integridad del host. La poltica de integridad del host, sin embargo, proporciona
las funciones clave de Symantec Network Access Control.
Nota: En esta seccin, se asume que usted compr e instal Symantec Network
Access Control.
Crear una poltica de integridad del host

La poltica de integridad del host es la base de Symantec Network Access Control.
La poltica creada para esta prueba es slo con fines de demostracin. La poltica
detecta la existencia de un sistema operativo y, cuando se detecta, genera un
evento de ERROR. Normalmente, los eventos de ERROR se generaran por otros
motivos.
Nota: Si compr e instal Symantec Network Access Control y Symantec Endpoint
Protection, puede crear polticas de firewall para los equipos cliente que no pasan
la comprobacin de integridad del host. Si ejecuta Symantec Enforcer con Symantec
Network Access Control, es posible restringir los clientes que no pasan la
comprobacin de integridad del host a segmentos de la red especficos. Este
aislamiento impide la autenticacin del cliente y el acceso al dominio.
Para crear una poltica de integridad del host
Bajo Ver polticas, haga clic para seleccionar Integridad del host.

En el panel derecho, si una poltica de integridad del host est destacada en

amarillo, haga clic en el espacio en blanco debajo de la poltica para dejarla
sin seleccionar.
Bajo Tareas, haga clic en Agregar una poltica de integridad del host.

Haga clic en Requisitos.
En el panel Requisitos, marque Comprobar siempre la integridad del host y

despus haga clic en Agregar.
En el cuadro de dilogo Nuevo requisito, en el men desplegable Tipo, haga

clic en Requisito personalizado y despus haga clic en Aceptar.
En la ventana Requisito personalizado, en el cuadro Nombre, escriba un

nombre para el Requisito personalizado.
10 Bajo Script del requisito personalizado, haga clic con el botn secundario en
Insertar instrucciones a continuacin y despus haga clic en Agregar > IF
.. THEN.
11 En el panel derecho, en el men desplegable Seleccione una condicin, haga

clic en Utilidad: El sistema operativo es.
12 Bajo Comprobar versin de Windows, active uno o ms sistemas operativos

que ejecuten sus equipos cliente.
13 Bajo Script del requisito personalizado, haga clic con el botn secundario en
THEN //Insertar instrucciones aqu y despus haga clic en Agregar > Funcin
> Utilidad: Mostrar cuadro de dilogo del mensaje.
14 En Leyenda del cuadro de mensaje, escriba un nombre que aparecer en el

ttulo del mensaje.
15 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisiera
mostrar en el mensaje.
16 Para ver informacin sobre la configuracin para los iconos y los botones que
es posible integrar con el mensaje, haga clic en Ayuda.
17 En el panel izquierdo, bajo Script del requisito personalizado, haga clic en

Aprobado.
18 En el panel derecho, bajo Arrojar lo siguiente como resultado del requisito,

marque Error y despus haga clic en Aceptar.
19 En la ventana Integridad del host, haga clic en Aceptar.

20 En la indicacin Asignar poltica, haga clic en S.
49
50

21 En el cuadro de dilogo Poltica de integridad del host, marque el grupo o los

grupos a los cuales se aplicar la poltica y que contengan los equipos cliente
de prueba. A continuacin, haga clic en Asignar.
22 En la indicacin Asignar poltica de integridad del host, haga clic en S.
Probar una poltica de integridad del host

Es posible probar una poltica de integridad del host desde la Consola de Symantec
Endpoint Protection Manager.
Nota: Es posible tambin ejecutar comprobaciones de integridad del host desde
el cliente.
Para probar una poltica de integridad del host
En la consola, haga clic en Clientes.
En el panel derecho, haga clic en la ficha Clientes.
En el panel izquierdo, bajo Ver, haga clic para resaltar el grupo que contiene
los equipos cliente a los cuales usted aplic la poltica de integridad del host.
Bajo Tareas, haga clic en Ejecutar comando en el grupo > Actualizar.
Inicie sesin en un equipo cliente que ejecute Symantec Network Access

Control y observe el cuadro de mensaje que aparece.
Si la norma activ un error en la prueba, el cuadro de mensaje aparece.
Despus de la prueba, deshabilite o elimine la poltica de prueba.
Captulo
Planificar la instalacin de
produccin
Acerca de la planificacin de la instalacin y la arquitectura de red
Requisitos de sistema y de red
Acerca de los firewalls de escritorio y los puertos de comunicacin
Habilitar y modificar firewalls de Windows
Preparar equipos con Windows XP/Vista para la implementacin remota
Preparar equipos para la instalacin
Reinicios del equipo obligatorios
Acerca de la planificacin de la instalacin y la

arquitectura de red
La primera decisin que debe tomar cuando usted planea una instalacin de
produccin es seleccionar la base de datos que se utilizar. Es posible optar por
utilizar una base de datos integrada que puede instalarse desde el CD de instalacin.
Es posible tambin optar por utilizar una instancia de Microsoft SQL Server
2000/2005. Es necesario comprar e instalar Microsoft SQL Server antes de instalar
Symantec Endpoint Protection Manager. La base de datos integrada Sybase es la
ms fcil de instalar y de configurar y admite hasta 1000 clientes. El rendimiento
comienza a degradarse a medida que se agregan clientes adicionales.
La Figura 3-1 ilustra el ejemplo ms simple de esta configuracin.
52

Implementacin pequea
Figura 3-1
Symantec
Security
Response
Internet
Router
Firewall
Conmutador/Hub
Cliente A
Cliente B
Cliente C
Symantec Endpoint Security Manager con
Para admitir ms de 1000 clientes, debera considerar comprar e instalar Microsoft

SQL Server. Cada instancia de Symantec Endpoint Protection Manager que utiliza
Microsoft SQL Server puede admitir hasta 50 000 clientes. Si es necesario admitir
ms de 50 000 clientes, deber instalar otra instancia de Symantec Endpoint
Protection Manager y una base de datos de Microsoft SQL Server.
La Figura 3-2 presenta un ejemplo de esta configuracin.

Figura 3-2
53
Implementacin grande
Symantec
Security
Response
Internet
Router
Firewall
Red troncal empresarial
Symantec Endpoint Security Manager

Microsoft SQL Server
Symantec Endpoint Security Manager

Nota: Este diagrama muestra los componentes en diversas subredes y tiene

propsitos slo ilustrativos. Las instancias de Symantec Endpoint Protection
Manager y los servidores de bases de datos pueden estar en las mismas subredes.
Si decide utilizar una instancia de Microsoft SQL Server 2000/2005, tiene que
tomar una decisin adicional. Puede instalar Symantec Endpoint Protection
54

Manager en el equipo que ejecuta Microsoft SQL Server, o puede instalarlo en un

equipo que no ejecute Microsoft SQL Server.
Utilizar Microsoft SQL Server tambin proporciona flexibilidad adicional para
instalar instancias adicionales de Symantec Endpoint Protection Manager para
la conmutacin por error y el balanceo de carga. Es posible instalar dos o ms
instancias de Symantec Endpoint Protection Manager que se comuniquen con un
servidor de Microsoft SQL Server y configurarlos para la conmutacin por error
o el balanceo de carga. La configuracin de la conmutacin por error hace que un
servidor recoja la carga de comunicaciones del cliente si otro servidor deja de
funcionar. La configuracin del balanceo de carga hace que los servidores
compartan la carga de comunicaciones de los clientes y ejecuten automticamente
la conmutacin por error si uno de los servidores deja de funcionar.
La Figura 3-3 ilustra esta configuracin.
Figura 3-3
Conmutacin por error y balanceo de carga
Clientes
1
Symantec Endpoint
Protection Manager
Symantec Endpoint
Protection Manager
Nota: Este diagrama muestra los componentes en diversas subredes y tiene

propsitos slo ilustrativos. Las instancias de Symantec Endpoint Protection
Manager y los servidores de bases de datos pueden estar en las mismas subredes.

En esta ilustracin, los servidores se identifican con los nmeros 1 y 2, que significa
una configuracin de conmutacin por error. En una configuracin de conmutacin
por error, todos los clientes envan trfico al servidor 1 y reciben trfico de ste.
Si el servidor 1 se desconectara, todos los clientes enviaran el trfico al servidor
2 y lo recibiran desde ste hasta que el servidor 1 volviera a estar en lnea. La
base de datos se ilustra como una instalacin remota, pero puede tambin instalarse
en un equipo que ejecute Symantec Endpoint Protection Manager.
Finalmente, es posible instalar y configurar el servidor de base de datos
incorporado y Microsoft SQL Server para la replicacin. La configuracin de
replicacin hace que se dupliquen los datos entre las bases de datos de forma que
ambas bases de datos contengan la misma informacin, preferiblemente en
diferentes servidores de bases de datos en distintos equipos. Si un servidor de
bases de datos deja de funcionar, es posible continuar administrando todo el sitio
usando la informacin del servidor de bases de datos que est en funcionamiento.
Nota: Symantec Endpoint Protection Manager configura y controla esta replicacin.
Esta replicacin no es replicacin nativa del servidor SQL.
La Figura 3-4 ilustra esta configuracin.
Figura 3-4
Replicacin
Symantec Endpoint
Protection Manager
Symantec Endpoint
Protection Manager
Clientes
Clientes
En esta ilustracin, cada instancia de Symantec Endpoint Protection Manager

administra sus respectivos clientes. Si uno de los servidores se desconecta, sin
embargo, el otro servidor puede administrar los clientes que el servidor
desconectado administraba.
55
56


Antes de instalar el software de Symantec en su red, debe entender cmo ciertas
variables de la red y del sistema afectan la capacidad de implementar servidores
y clientes.
Debe tener en cuenta los siguientes conceptos y requisitos al planear la instalacin:
Acerca de la definicin de derechos administrativos en equipos de destino
Acerca de la configuracin de derechos de usuarios con Active Directory
Requisitos de instalacin del sistema
Acerca de la compatibilidad con VMWare
Acerca de la definicin de derechos administrativos en equipos de

destino
Para instalar el software de cliente de Symantec, es necesario tener derechos de
administrador en el equipo o el dominio de Windows, e iniciar sesin como
administrador. El programa de instalacin de software de Symantec inicia un
segundo programa de instalacin en el equipo para crear e iniciar los servicios y
modificar el registro.
Si no desea proporcionar a los usuarios derechos administrativos en sus propios
equipos, utilice al Asistente de implementacin mediante transferencia para
instalar remotamente los clientes de Symantec. Para ejecutar el Asistente de
implementacin mediante transferencia, debe contar con derechos administrativos
locales en los equipos donde desea instalar el programa.
Nota: Este paquete de instalacin del cliente actualiza la versin de MSI a la 3.1,
que requiere derechos de administrador. Si todos sus equipos estn actualizados
con MSI 3.1, los usuarios necesitan solamente privilegios elevados para instalar
el software de cliente de Symantec.
Acerca de la configuracin de derechos de usuarios con Active Directory

Si utiliza Active Directory para administrar equipos, puede crear una poltica de
grupo que proporcione los derechos de usuario necesarios para instalar el software
de Symantec.
Para obtener ms informacin sobre el uso de Active Directory, consulte la
documentacin de Active Directory.

Requisitos de instalacin del sistema

El software de Symantec requiere protocolos, software, hardware, sistemas
operativos y versiones de Service Pack especficos. Todos los equipos en los que
instale el software de Symantec debern cumplir o sobrepasar los requisitos de
sistema recomendados para el sistema operativo utilizado.
Nota: No se admite la instalacin en nombres de directorio que contienen caracteres
de doble byte, o desde ellos.
Symantec Endpoint Protection Manager, Consola y base de

datos integrada
La Tabla 3-1 enumera los requisitos mnimos para los equipos en los cuales se
instalar Symantec Endpoint Protection Manager, la Consola y la base de datos
integrada.
Tabla 3-1
Symantec Endpoint Protection Manager, Consola y base de datos

integrada
Componente
32 bits
64 bits
Procesador
Intel Pentium III de 900 MHz
1 GHz en x64 solamente con los procesadores

siguientes:
Intel Xeon compatible con Intel EM64T
Intel Pentium IV compatible con EM64T
AMD Opteron de 64 bits
AMD Athlon de 64 bits
Nota: Itanium no se admite. Los componentes

de administracin son aplicaciones de 32 bits.
Sistema operativo
Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes:
Windows 2000
Professional/Server/Advanced Server con
Service Pack 3 o posterior
Windows XP Professional con Service Pack
1 o posterior
Windows Server 2003
Web/Standard/Enterprise/Datacenter
2 GB de RAM
2 GB de RAM
Memoria
Windows XP Professional x64 con Service

Pack 1 o posterior
Windows Server 2003 x64 con Service
Pack 1 o posterior
Nota: El servidor de administracin, la

consola y la base de datos integrada son
aplicaciones de 32 bits.
57
58

Componente
32 bits
64 bits
Disco duro
1 GB ms 1 GB para los registros, la base de

datos y los archivos de respaldo
800 MB ms 1 GB para los registros, la base

de datos y los archivos de respaldo
Pantalla
Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video
y monitor de mayor resolucin
Otros requisitos
Los siguientes requisitos adicionales deben

cumplirse:

cumplirse:
Servidor de Internet Information Services Servidor de Internet Information Services

5.0 o posterior
5.0 o posterior
El servidor no tiene que estar en ejecucin,
sino que debe estar habilitado.
Direccin IP fija (recomendado)
Java Runtime Environment 1.4.2 (incluido) Java Runtime Environment 1.4.2 (incluido)
Symantec Endpoint Protection Manager y Consola

instalar Symantec Endpoint Protection Manager y la Consola.
Tabla 3-2
Symantec Endpoint Protection Manager y Consola
Componente
32 bits
64 bits
Procesador

siguientes:
Nota: Itanium no se admite.

Sistema operativo
Windows 2000
1 o posterior
Windows Server 2003

Pack 1 o posterior
Pack 1 o posterior
Nota: El servidor de administracin y la

consola son aplicaciones de 32 bits.

Componente
32 bits
64 bits
Memoria
512 MB de RAM
512 MB de RAM
Disco duro
500 MB ms 100 MB para espacio temporal
Pantalla
Otros requisitos

cumplirse:

cumplirse:
Servidor de Internet Information Services Servidor de Internet Information Services

5.0 o posterior
5.0 o posterior
Consola de Symantec Endpoint Protection

instalar la Consola de Symantec Endpoint Protection.
Tabla 3-3
Componente
32 bits
64 bits
Procesador

siguientes:

Sistema operativo
Windows 2000
1 o posterior
Windows Server 2003

Pack 1 o posterior
Pack 1 o posterior
Nota: La consola de administracin es una

aplicacin de 32 bits.
59
60

Componente
32 bits
64 bits
Memoria
256 MB de RAM
256 MB de RAM
Disco duro
Pantalla
Otros requisitos

cumplirse:

cumplirse:
Consola de cuarentena
instalar la Consola de cuarentena.
Tabla 3-4
Consola de cuarentena
Componente
32 bits
64 bits
Procesador
No probado
Sistema operativo
Se admiten los sistemas operativos siguientes: No probado

Windows 2000
Professional/Server/Advanced Server
Windows XP Professional
Windows Server 2003

Memoria
64 MB de RAM
No probado
Disco duro
35 MB
No probado
Pantalla
Super VGA (1024x768) o adaptador de video No probado


Componente
32 bits
64 bits
Otros requisitos

cumplirse:
No probado
Internet Explorer 5.5 con Service Pack 2

o posterior
Microsoft Management Console 1.2 o
posterior
Si la consola no est instalada, se
requieren 3 MB de espacio libre en disco
(10 MB durante la instalacin).
Servidor de Cuarentena central

instalar el servidor de Cuarentena central.
Tabla 3-5
Servidor de Cuarentena central
Componente
32 bits
64 bits
Procesador
No probado
Sistema operativo
Se admiten los sistemas operativos siguientes: No probado

Windows 2000
Professional/Server/Advanced Server
Windows XP Professional
Windows Server 2003

Memoria
128 MB de RAM
Disco duro
40 MB, 500 MB a 4 GB recomendados para los No probado

elementos en cuarentena, y archivo de
intercambio de 250 MB
Pantalla
Super VGA (1024x768) o adaptador de video No probado

Otros requisitos

cumplirse:
Internet Explorer 5.5 con Service Pack 2

o posterior
No probado
No probado
61
62


instalar Symantec Endpoint Protection.
Tabla 3-6
Componente
32 bits
64 bits
Procesador
Intel Pentium III de 400 MHz (1 GHz para

Windows Vista)

siguientes:

Sistema operativo
Windows 2000
Windows XP Home
Edition/Professional/Tablet PC Edition
Windows Server 2003
Windows Vista (x86)
Memoria
256 MB de RAM
256 GB de RAM
Disco duro
600 MB
700 MB
Pantalla
Otros requisitos
Los clientes de Terminal Server que se

conecten a un equipo con proteccin antivirus
presentan los siguientes requisitos
adicionales:
Cliente de Microsoft Terminal Server RDP
(Remote Desktop Protocol)
Cliente de Citrix Metaframe (ICA) 1.8 o
posterior, si se utiliza un servidor Citrix
Metaframe en Terminal Server

Pack 1 o posterior
Windows Server 2003 x64
Windows Vista (x64)
Nota: El CD de instalacin de Symantec

Endpoint Protection contiene una aplicacin
de 64 bits.

Nota: El Asistente de implementacin mediante transferencia no verifica que

Internet Explorer 6.0 o posterior est instalado en los equipos cuando es un
requisito. Si los equipos de destino no cuentan con la versin correcta de Internet
Explorer, la instalacin falla sin notificacin alguna.
Symantec Network Access Control

instalar Symantec Network Access Control.
Tabla 3-7
Componente
32 bits
64 bits
Procesador
Intel Pentium II de 550 MHz (1 GHz para

Windows Vista)

siguientes:

Sistema operativo
Windows 2000
Windows XP Home
Edition/Professional/Tablet PC Edition
Windows Server 2003
Windows Vista (x86)
Memoria
256 MB de RAM
256 GB de RAM
Disco duro
300 MB
400 MB
Pantalla

Pack 1 o posterior
Windows Server 2003 x64
Windows Vista (x64)
Nota: El CD de instalacin de Symantec

Network Access Control contiene una
aplicacin de 64 bits.
63
64

Componente
32 bits
64 bits
Otros requisitos
Los clientes de Terminal Server que se

conecten a un equipo con proteccin antivirus
presentan los siguientes requisitos
adicionales:
Cliente de Microsoft Terminal Server RDP
(Remote Desktop Protocol)
Cliente de Citrix Metaframe (ICA) 1.8 o
posterior, si se utiliza un servidor Citrix
Metaframe en Terminal Server
Nota: El Asistente de implementacin mediante transferencia no verifica que

Internet Explorer 6.0 o posterior est instalado en los equipos cuando es un
requisito. Si los equipos de destino no cuentan con la versin correcta de Internet
Explorer, la instalacin falla sin notificacin alguna.
Acerca de la compatibilidad con VMWare

El software de Symantec es compatible con VMWare.
La Tabla 3-8 enumera las configuraciones de VMWare compatibles.
Tabla 3-8
Compatibilidad con VMWare
Software de Symantec Compatibilidad con VMWare

Componentes de
El servidor de administracin se admite en las siguientes
Symantec Endpoint
versiones de VMware:
Protection Manager, la
VMware WS 5.0 (estacin de trabajo)
Consola y la base de datos
VMware GSX 3.2 (empresa)
VMware ESX 2.5 (estacin de trabajo)
El servidor de administracin se admite en las siguientes

Windows 2000 Professional/Server/Advanced Server con
Windows 2003 Server/Enterprise Server/Web
Windows 2003 Server Windows x64
Windows XP Home Edition/Professional
Windows XP Professional x64

Software de Symantec Compatibilidad con VMWare

Clientes de Symantec
Los componentes de cliente se admiten en las siguientes
Endpoint Protection y
Symantec Network Access
VMware WS 5.0 (estacin de trabajo)
Control
VMware GSX 3.2 (empresa)
VMware ESX 2.5 (estacin de trabajo)
Los componentes de cliente se admiten en los siguientes

sistemas operativos de VMware de invitado:
Windows 2000 Professional/Server/Advanced Server
Windows 2003 Server/Enterprise Server/Web
Windows 2003 Server Windows x64
Windows XP Professional/Home Edition
XP Professional x64
Acerca de los firewalls de escritorio y los puertos de

comunicacin
Si sus servidores y clientes ejecutan software de firewall, es necesario abrir ciertos
puertos de modo que la comunicacin entre los servidores de administracin y
los clientes sea posible. Alternativamente, es posible admitir la aplicacin
Rtvscan.exe en todos los equipos para enviar y recibir trfico a travs de los
firewalls. Adems, las herramientas de instalacin de cliente y servidor remoto
requieren que el puerto TCP 139 est abierto.
Nota: Los servidores de administracin y los clientes utilizan el intervalo de puertos
efmeros para TCP (1024 a 65535) para las comunicaciones por red. El intervalo
de puertos efmeros utilizado, no obstante, rara vez excede 5000 y puede
configurarse en la mayora de los sistemas operativos. La mayora de los firewalls
utilizan inspeccin de estado al filtrar el trfico TCP, de forma que las respuestas
TCP entrantes se autorizan de forma automtica y se regresan al solicitante
original. Por ende, no es preciso que abra los puertos TCP efmeros al configurar
el software de firewall.
La Tabla 3-9 enumera los puertos y protocolos de red que precisan los servidores
de administracin y los clientes para la comunicacin y las instalaciones de red.
65
66

Tabla 3-9
Puertos para la comunicacin y la instalacin de servidores y clientes
Funcin
Componente
Protocolo y puerto
Implementacin del
Asistente de
implementacin
mediante
transferencia

Manager y clientes
TCP 139 en administradores y

clientes
UDP 137 y 138 en
administradores y clientes
Puertos TCP efmeros en
servidores y clientes
Auditora de red
Comunicacin del
Proveedor de
actualizaciones de
grupo

Manager y clientes
TCP 139 en los administradores

Manager y Proveedores de
actualizaciones de grupo
TCP 2967 en todos los

dispositivos
Proveedores de actualizaciones
de grupo y clientes
predeterminado, que puede ser

modificado.
Comunicacin general Symantec Endpoint Protection

Manager y clientes

clientes
Nota: Este puerto es el
TCP 80 en administradores
clientes
Nota: El puerto 80 se puede

tambin modificar a TCP 443
(HTTPS).
Comunicacin general Consolas remotas de Symantec
Endpoint Protection Manager y
Manager
TCP 8443 en administradores
Comunicacin de
replicacin
Sitio a sitio entre los servidores

de bases de datos
TCP 8443 entre los servidores

de bases de datos
Instalacin de la
Consola remota de
Symantec Endpoint
Protection Manager
Symantec Endpoint Protection TCP 9090 en administradores

Manager y la Consola remota de remotos
Manager
consolas remotas
Puertos TCP efmeros y 9090

en las consolas
Nota: Este nmero de puerto

puede configurarse.

Funcin
Componente
Protocolo y puerto
Comunicacin de base Servidores remotos de Microsoft TCP 1433 en los servidores

de datos externa
SQL y Symantec Endpoint
remotos de Microsoft SQL
Protection Manager
Puertos TCP efmeros en los
administradores
Nota: El puerto 1433 es el

puerto predeterminado.
Comunicacin de
Symantec Network
Access Control
Enforcer

Manager y Enforcer
TCP 1812 en los

administradores
Puertos TCP efmeros en los
mdulos de Enforcer
Nota: Los servidores RADIUS

tambin utilizan el puerto
1812, as que no instalan
Manager.
Asistente de
instalacin y
migracin
LiveUpdate

Manager y servidores de
administracin de Symantec de
versiones anteriores
TCP 139, puertos TCP efmeros

y UDP 137 en los
administradores
Clientes y servidores de
LiveUpdate

clientes
TCP 139, TCP 445, puertos TCP

efmeros y UDP 137 en los
servidores de administracin
de Symantec de versiones
anteriores
TCP 80 en los servidores de

LiveUpdate

Windows XP\2003 Server\Vista contiene firewalls que pueden impedir ciertos
tipos de comunicaciones del producto de Symantec. Si se habilitan estos firewalls,
es posible que no pueda instalar el software de cliente remotamente con las
herramientas de instalacin y distribucin remotas. Si en la red existen equipos
que ejecutan estos sistemas operativos, debe configurar los firewalls a fin de que
permitan estas comunicaciones.
67
68

Para usar el firewall de Windows XP, es necesario configurarlo de forma que

admita comunicaciones mediante la apertura de puertos o la especificacin de
programas de confianza. Es posible habilitar comunicaciones permitiendo
Rtvscan.exe en todos los equipos.
Si desea instalar el software de cliente remotamente, debe permitir que los
servidores enven trfico desde los puertos TCP 1024-5000 hasta el puerto TCP
139 de los clientes. La inspeccin de estado permite el trfico de retorno de forma
automtica. Es necesario tambin permitir que los clientes reciban trfico de los
puertos TCP 1024-5000 del servidor en el puerto TCP 139. Y debe permitir que los
clientes enven trfico del puerto TCP 139 a los puertos TCP 1024-5000 de los
servidores. Las comunicaciones de versiones anteriores tambin requieren que
el puerto UDP 2967 est abierto en todos los equipos.
Acerca de los firewalls de Windows y Symantec

Si instala la funcin de firewall de Symantec de la proteccin contra amenazas
de red, el instalador deshabilita automticamente los firewalls de Windows que
estn habilitados. Si no instala la funcin de firewall de Symantec, el instalador
no deshabilita los firewalls de Windows que estn habilitados.
El firewall que se ejecuta en Windows Vista admite IPv4 e IPv6. El firewall de
Symantec admite IPv4 solamente. La base de normas predeterminada del firewall
de Symantec, sin embargo, contiene una norma que bloquea todo el trfico IPv6.
Advertencia: No elimine la norma que bloquea IPv6 ni modifique su accin de filtro
para habilitar el permiso.
Esta norma se crea para el protocolo de Ethernet. Cuando se visualizan los servicios
para una norma y se agrega un servicio, se obtiene acceso al protocolo de Ethernet.
Es posible entonces seleccionar el tipo de protocolo IPv6 para el protocolo de
Ethernet.
Deshabilitar el Servidor de seguridad de conexin a Internet

Windows XP con Service Pack 1 incluye un firewall que se denomina Servidor de
seguridad de conexin a Internet. Este firewall puede interferir en la instalacin
remota y en las comunicaciones entre servidores y clientes. Si alguno de los
servidores o clientes ejecuta Windows XP, se puede deshabilitar este firewall antes
de instalar el software de cliente.

Nota: No es obligatorio deshabilitar el firewall. Si est familiarizado y se siente

cmodo con la creacin y configuracin de normas, abra puertos para permitir la
implementacin.
Ver Tabla 3-9 en la pgina 66.
Para deshabilitar el Servidor de seguridad de conexin a Internet
En la barra de tareas de Windows XP, haga clic en Inicio > Panel de control.
En la ventana del Panel de control, haga doble clic en Conexiones de red.
En la ventana Conexiones de red, haga clic con el botn secundario en la

conexin activa y, a continuacin, haga clic en Propiedades.
En la ficha Avanzadas, en la seccin Servidor de seguridad de conexin a

Internet, quite la marca de la casilla de verificacin Proteger mi equipo y mi
red limitando o impidiendo el acceso a l desde Internet.
Deshabilitar el Firewall de Windows XP

Windows XP con Service Pack 2 y Windows Server 2003 incluyen un firewall
llamado Firewall de Windows. Este firewall puede interferir en la instalacin
remota y en las comunicaciones entre servidores de administracin y clientes. Si
alguno de los servidores o clientes tuviera instalado Windows XP con Service Pack
2 o Windows Server 2003, podr deshabilitar el firewall antes de instalar software
de cliente en ellos.
Nota: No es obligatorio deshabilitar el firewall. Si est familiarizado y se siente
cmodo con la creacin y configuracin de normas, abra puertos para permitir la
implementacin.
Para deshabilitar el Firewall de Windows
En la barra de tareas de Windows XP, haga clic en Inicio > Panel de control.
En la ventana del Panel de control, haga doble clic en Conexiones de red.
En la ventana Conexiones de red, haga clic con el botn secundario en la

conexin activa y, a continuacin, haga clic en Propiedades.
En la ficha Avanzadas, bajo Firewall de Windows haga clic en Configuracin.
69
70

En la ficha General de la ventana Firewall de Windows, marque Desactivado

(no recomendado).
Modificar el firewall de Windows Vista

Windows Vista contiene un firewall que est activado de forma predeterminada.
Si el firewall est activado, puede no ser posible instalar el software de cliente de
forma remota desde la Consola de Symantec Endpoint Protection Manager ni
desde otras herramientas de instalacin remota. Se deber configurar el Firewall
de Windows para que permita la comunicacin entre los distintos componentes.
El Firewall de Windows debe configurarse antes de instalar el software de cliente.
Tambin es posible deshabilitar temporalmente el Firewall de Windows en los
clientes antes de implementar el software de cliente.
Para configurar el Firewall de Windows a fin de instalar el software de cliente en
Windows Vista, es necesario habilitar el uso compartido de archivos e impresoras.
Nota: La instalacin del cliente tambin modifica automticamente el Firewall de
Windows durante la instalacin en Windows Vista a fin de permitir el acceso a
procesos especficos de la red e Internet. No es necesario realizar ninguna otra
modificacin.
Para habilitar el uso compartido de archivos e impresoras
En la barra de tareas de Windows Vista, haga clic en Inicio > Configuracin

> Panel de control > Firewall de Windows.
En el cuadro de dilogo Firewall de Windows, haga clic en Permitir un

programa a travs del Firewall de Windows.
En el cuadro de dilogo Configuracin de Firewall de Windows, en la ficha

Excepciones, marque Compartir archivos e impresoras y despus haga clic
en Aceptar.
Preparar equipos con Windows XP/Vista para la

implementacin remota
En un tiempo, Microsoft ha aumentado el grado de seguridad predeterminada de
sus sistemas operativos. Por ejemplo, Windows Vista es ms seguro despus de
la instalacin predeterminada que Windows XP, y Windows XP es ms seguro
despus de la instalacin predeterminada que Windows 2000.

Preparar equipos que ejecutan Windows XP en grupos de trabajo

De forma predeterminada, los equipos cliente con Windows XP que se instalan
en grupos de trabajo no aceptan la implementacin de clientes remotos. Para
permitir la implementacin remota en estos equipos, es necesario deshabilitar el
uso compartido simple de archivos.
Nota: Este procedimiento no es obligatorio para los equipos que son parte de un
dominio de Windows.
Para preparar los equipos con Windows XP
Haga clic con el botn secundario en Mi PC y, a continuacin, haga clic en

Abrir.
En el panel Mi PC, haga clic en Herramientas > Opciones de carpeta.
En la ficha Ver, bajo Configuracin avanzada, al finalizar la lista, deje sin

marcar Utilizar uso compartido simple de archivos (recomendado) y despus
haga clic en Aceptar.
Preparar equipos con Windows Vista

Windows Vista proporciona una interfaz de usuario altamente personalizable.
Los procedimientos de esta seccin se basan en la interfaz de usuario clsica de
Windows que es posible configurar para Windows Vista.
La funcin Control de cuentas de usuario (UAC, User Access Control) de Windows
Vista bloquea las cuentas administrativas locales, impidindoles el acceso remoto
a recursos compartidos administrativos, como C$ y Admin$. Para utilizar el
Asistente de implementacin mediante transferencia en estos casos, se deber
utilizar una cuenta administrativa del dominio si el equipo cliente objetivo forma
parte de un dominio de Active Directory. Para la instalacin remota de clientes,
tambin se necesitan privilegios elevados de instalacin.
Para habilitar la implementacin remota de software de cliente en equipos con
Windows Vista, debe hacer lo siguiente en cada equipo cliente:
Deshabilitar el asistente para el uso compartido de archivos.
Habilitar la deteccin de redes mediante el Centro de redes y recursos

compartidos.
Habilitar la cuenta de administrador incorporada y asignarle una contrasea.
Verificar que su cuenta tenga privilegios elevados.
71
72

Para deshabilitar el asistente para el uso compartido de archivos
Visualice las unidades de su equipo.
En la ventana Equipo, haga clic en Herramientas > Opciones de carpeta.
En la ficha Ver, bajo Configuracin avanzada, deje sin marcar Usar el Asistente
para compartir (recomendado) y despus haga clic en Aceptar.
Para habilitar la deteccin de red
Visualice los equipos de su red.
En la ventana Red, haga clic en Centro de redes y recursos compartidos.
Bajo Compartir y detectar, haga clic en Deteccin de red.
Haga clic en Activar la deteccin de redes y despus haga clic en Aplicar.
Para habilitar la cuenta de administrador
Haga clic en Inicio > Configuracin > Panel de control > Herramientas
administrativas > Administracin de equipos.
En la ventana Administracin de equipos, haga clic para ampliar Usuarios y

grupos locales.
Haga clic en Usuarios.
En el panel derecho, haga clic con el botn secundario en Administrador y,

despus, haga clic en Establecer contrasea.
En la indicacin de Advertencia, haga clic en Continuar.
En el cuadro de dilogo Establecer contrasea para el administrador, escriba

la misma contrasea en los cuadros de contrasea y despus haga clic en
Aceptar.
En el panel derecho, haga clic con el botn secundario en Administrador y,

despus, haga clic en Propiedades.
Deje sin marcar Cuenta deshabilitada y despus haga clic en Aceptar.
Para verificar que cuenta con privilegios elevados
Haga clic en Inicio > Ejecutar.
Escriba \\<nombre de equipo de destino>\C$.

Si puede acceder al recurso administrativo remoto C$ y verlo, cuenta con
privilegios elevados. Si no puede acceder a estos recursos compartidos ni
visualizarlos, debe autenticarse con una cuenta que tenga los privilegios
necesarios.


Antes de instalar el software de cliente en sus equipos, es necesario determinar
el estado de estos equipos. La instalacin del cliente es ms rpida y eficaz si usted
evala las siguientes condiciones antes de que comience el proceso de instalacin:
Eliminar amenazas de virus y riesgos de seguridad
Evaluar software de cliente de otros fabricantes
Instalar software de cliente en etapas
Eliminar amenazas de virus y riesgos de seguridad

Evite instalar o actualizar clientes en equipos infectados con amenazas de virus
u otros riesgos de seguridad. Algunas amenazas pueden interferir directamente
en la instalacin o la operacin del software de cliente. En los equipos sin
programas de anlisis antivirus, puede realizar el anlisis desde Symantec Security
Response. Si se encuentra un virus, se mostrarn instrucciones de eliminacin
manual en la enciclopedia de virus, de ser posible. La bsqueda de virus en el sitio
Web de Symantec Security Response se encuentra en la siguiente URL:
http://www.symantec.com/es/mx/security_response/
Evaluar software de cliente de otros fabricantes

Mientras se prepara para instalar el software de cliente en su red, es necesario
determinar si el software de seguridad de otro fabricante est instalado en sus
equipos. El software de seguridad de otros fabricantes incluye otro software
antivirus o contra aplicaciones de publicidad no deseada y software espa. Estos
programas pueden afectar el rendimiento y la eficacia del software de cliente.
Symantec no recomienda ejecutar dos programas antivirus en el mismo equipo.
Asimismo, puede ser problemtico ejecutar dos programas contra aplicaciones
de publicidad no deseada o software espa y dos programas de firewall. Esta
recomendacin es importante si ambos programas proporcionan proteccin en
tiempo real. Ambos programas pueden generar un conflicto de recursos y consumir
los recursos del equipo al intentar analizar y reparar los mismos archivos.
Instalar software de cliente en etapas

Es posible instalar o migrar los clientes de la red en etapas lgicas. En especial
para los entornos grandes, primero debe instalar el software de cliente en un
entorno de prueba. El entorno de prueba puede ser una red independiente de
equipos cuyo modelo se basa en su entorno de produccin. O la red de prueba
puede abarcar un pequeo grupo de equipos de su red de produccin real.
73
74


Las instalaciones o migraciones siguientes implican reiniciar el equipo:
Todos los equipos cliente que no ejecutan MSI 3.1. Las instalaciones de clientes
actualizan MSI a 3.1 si no se ejecuta en los equipos cliente, y esta actualizacin
requiere reiniciar.
Instalacin de clientes de Symantec Endpoint Protection que instala la

proteccin contra amenazas de red y el firewall.
Migraciones del servidor de Symantec Sygate Enterprise Protection.
Captulo
Instalar Symantec Endpoint

Protection Manager
Instalar Symantec Endpoint Protection Manager con una base de datos

integrada
Instalar Symantec Endpoint Protection Manager con una base de datos de

Microsoft SQL
Instalar consolas adicionales de Symantec Endpoint Protection Manager
Instalar y configurar Symantec Endpoint Protection Manager para la

conmutacin por error o el balanceo de carga
Instalar y configurar Symantec Endpoint Protection Manager para la

replicacin
Ajustar el tamao de pila de Symantec Endpoint Protection Manager
Actualizar desde la base de datos integrada a Microsoft SQL Server
Desinstalar Symantec Endpoint Protection Manager

Antes de instalar Symantec Endpoint Protection Manager y una base de datos,
debe decidir qu tipo de base de datos crear. Es posible crear una base de datos
SQL integrada o una base de datos de Microsoft SQL. Los archivos de instalacin
de la base de datos SQL integrada se incluyen en el CD de instalacin. Si crea una
76

Instalar Symantec Endpoint Protection Manager con una base de datos integrada
base de datos de Microsoft SQL, primero se debe instalar una instancia del servidor
de Microsoft SQL que cumpla los requisitos de Symantec.
Advertencia: La instalacin de Symantec Endpoint Protection Manager no instala
Symantec Endpoint Protection ni ninguna otra tecnologa de proteccin. Para
proteger el equipo que ejecuta instancias de Symantec Endpoint Protection
Manager, es necesario instalar el software de cliente de Symantec Endpoint
Protection. Tambin, por motivos de rendimiento, el instalador de Symantec
Endpoint Protection bloquea la instalacin de Auto-Protect para correo electrnico
de Internet en sistemas operativos de servidor de Microsoft.
Instalar Symantec Endpoint Protection Manager con

una base de datos integrada
La instalacin con la base de datos integrada es la manera ms fcil de instalar
Symantec Endpoint Protection Manager. La base de datos integrada admite hasta
1000 clientes.
Despus de instalar Symantec Endpoint Protection Manager y sentirse cmodo
con las tareas de administracin, debe proteger sus archivos de cifrado en caso
de que necesite recuperarlos despus de un desastre. Es necesario tambin
documentar la clave precompartida que escriba durante la instalacin de Symantec
Ver "Cmo prepararse para la recuperacin despus de un desastre"
en la pgina 213.
Acerca de la configuracin de instalacin de la base de datos integrada

Durante la instalacin, se toman decisiones sobre la configuracin de valores de
la base de datos. Estas decisiones deben tomarse antes de iniciar la instalacin.
La Tabla 4-1 enumera y describe estos valores y opciones.

Tabla 4-1
Opciones predeterminadas y descripciones de la base de datos

integrada
Opcin
Predeterminado
Descripcin
Seleccione las
opciones de
configuracin del
sitio Web de IIS
Usar el sitio Web

predeterminado
Nombre del
servidor
<nombre del host local>
Nombre del equipo que ejecuta

Manager.
Usar el sitio Web predeterminado

Instala la aplicacin Web de IIS de
Symantec Endpoint Protection en
el sitio Web de IIS predeterminado
y funciona con cualquier otra
aplicacin Web que se instale en el
sitio Web.
Crear un sitio Web personalizado
Deshabilita el sitio Web de IIS
predeterminado y crea un servidor
Web de Symantec para Symantec
Puerto del servidor 8443
Nmero de puerto TCP en el cual

Symantec Endpoint Protection Manager
escucha.
Carpeta de datos
del servidor
\\Program Files\Symantec
Endpoint Protection
Manager\data
Directorio en el cual Symantec

Endpoint Protection Manager pone los
archivos de datos, incluidos copias de
respaldo, registros replicados y otros
archivos. El instalador crea este
directorio si no existe.
Nombre del sitio
Sitio <nombre del host local> Nombre del sitio del contenedor de ms
alto nivel en el cual se configuran todas
las funciones y se ejecutan con
Manager. No es posible modificar el
nombre del sitio.
77
78

Opcin
Predeterminado
Descripcin
Contrasea de
cifrado
Ninguno
Nombre de la contrasea que cifra la

comunicacin entre Symantec Endpoint
Protection Manager, los clientes y los
dispositivos de hardware opcionales de
Enforcer. La contrasea puede incluir
entre 1 y 32 caracteres alfanumricos
y es obligatoria.
Documente esta contrasea y pngala
en una caja fuerte. No es posible
modificar o recuperar la contrasea
despus de crear la base de datos. Es
necesario tambin escribir esta
contrasea para la recuperacin
despus de un desastre si no tiene una
copia de respaldo de la base de datos
para restaurar.
Ver "Cmo prepararse para la
recuperacin despus de un desastre"
en la pgina 213.
Nombre del
usuario
administrador
Admin
Nombre de usuario predeterminado que

se utiliza para iniciar sesin en la
Protection Manager por primera vez.
(No modificable)
Contrasea de
administrador
Ninguno
Contrasea para el nombre de usuario

del administrador que se utiliza para
iniciar sesin en la Consola de
por primera vez.
Instalar Symantec Endpoint Protection Manager con la base de datos

integrada
La instalacin se divide en tres partes. La primera parte instala el servidor de
administracin y la consola. La segunda parte instala y configura la base de datos.
La tercera parte implica la implementacin del software de cliente en varios
equipos, y es opcional.
En la primera parte, es posible aceptar todas las opciones predeterminadas. En la
segunda parte, se agrega por lo menos un valor personalizado, que es una

contrasea. En la tercera parte, usted selecciona los clientes en los cuales

implementar el software de cliente.
Para instalar Symantec Endpoint Protection Manager con la base de datos integrada
En el panel de bienvenida, realice una de las siguientes acciones:
Si est instalando Symantec Endpoint Protection, haga clic en Symantec

Si est instalando Symantec Network Access Control, haga clic en

En el panel siguiente, haga clic en Instalar Symantec Endpoint Protection

Manager.
Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta
de destino.
En el panel Carpeta de destino, acepte o modifique el directorio de instalacin

predeterminado.


Manager se ejecute con otro sitio Web en este equipo, marque Usar el sitio
Web predeterminado y despus haga clic en Siguiente.
Haga clic para desplazarse por los paneles hasta que comience la instalacin.

Nota: El panel del Asistente para la configuracin del servidor puede tardar
hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reinicie el
equipo e inicie sesin, y el panel del Asistente para la configuracin del
servidor aparece automticamente para continuar.

marque Instalar mi primer sitio y despus haga clic en Siguiente.
10 En el panel Informacin de servidor, acepte o modifique los valores

79
80

Nombre del servidor
Puerto del servidor
11 En el panel Nombre del sitio, en el cuadro Nombre del sitio, acepte o modifique
el nombre predeterminado y despus haga clic en Siguiente.
12 En el panel Contrasea de cifrado, en los cuadros Contrasea de cifrado,

escriba una contrasea y haga clic en Siguiente.
Documente esta contrasea y pngala en una caja fuerte. No es posible
modificar o recuperar la contrasea despus de crear la base de datos. Es
necesario tambin escribir esta contrasea para la recuperacin despus de
un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
13 En el panel Eleccin del servidor de bases de datos, marque Base de datos

integrada y despus haga clic en Siguiente.
14 En el panel Configurar nombre de usuario, escriba la misma contrasea en

los cuadros siguientes y haga clic en Siguiente.
Contrasea
Confirmar contrasea
Utilice el nombre de usuario y la contrasea aqu establecidos para iniciar

sesin en la consola por primera vez.
15 En el cuadro de dilogo Configuracin finalizada, realice una de las acciones

siguientes:
Para implementar el software de cliente con el Asistente para migracin

e implementacin, haga clic en S.
Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager

primero y luego implementar el software de cliente, haga clic en No.
Consulte el captulo sobre instalacin de clientes para obtener informacin

sobre cmo implementar el software de cliente.
con las tareas de administracin, debe proteger sus archivos de cifrado en
caso de que necesite recuperarlos despus de un desastre. Es necesario tambin
documentar la clave precompartida que escriba durante la instalacin de
Symantec Endpoint Protection Manager.
en la pgina 213.

Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
Instalar Symantec Endpoint Protection Manager con

una base de datos de Microsoft SQL
Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo
que ejecuta Microsoft SQL Server 2000/2005 y despus crear una base de datos
en el servidor SQL local. Es posible tambin instalar Symantec Endpoint Protection
Manager en un equipo que no ejecute Microsoft SQL Server 2000/2005 y despus
crear una base de datos en el servidor SQL remoto. En ambos casos, es necesario
instalar y configurar correctamente los componentes de Microsoft SQL Server en
todos los equipos.
Nota: Microsoft SQL Server 2000 se admite solamente en sistemas operativos
Windows en idioma ingls.
Preparar Microsoft SQL Server 2000/2005 para la creacin de una

base de datos
Antes de crear la base de datos, Symantec recomienda que se instale una nueva
instancia de SQL Server que cumpla los requisitos de instalacin y configuracin
de Symantec. Se puede instalar una base de datos en una copia anterior, pero la
copia debe configurarse correctamente para que la instalacin de la base de datos
se realice correctamente. Por ejemplo, si la configuracin de autenticacin no es
de Modo mixto, la instalacin no se completar o no funcionar correctamente.
Si selecciona una intercalacin de SQL que distinga entre maysculas y minsculas,
no se completar la instalacin.
Advertencia: Symantec Endpoint Protection Manager se autentica en Microsoft
SQL Server con un nombre de usuario y una contrasea de propietario de base de
datos con texto en blanco. Si realiza la instalacin en un servidor de Microsoft
SQL Server remoto y se comunica con l, cualquier equipo en la ruta de
comunicaciones puede potencialmente capturar este nombre de usuario y esta
contrasea con una utilidad de captura de paquetes. Para maximizar la seguridad
de las comunicaciones remotas de Microsoft SQL Server, coloque ambos servidores
en una subred segura.
Una subred segura asla las comunicaciones por red entre los servidores en esa
subred solamente. Tpicamente, una subred segura se establece detrs de un
dispositivo de red que realiza la traduccin de direcciones de red (NAT). Muchos
de los routers econmicos modernos que realizan asignaciones de direcciones
DHCP tambin realizan esta traduccin. Una subred segura es tambin fsicamente
81
82

segura, de modo que solamente el personal autorizado tiene acceso fsico a los
dispositivos de red de esa subred.
Requisitos de instalacin y configuracin de Microsoft SQL

Server 2000
La instalacin y los requisitos de configuracin afectan a todas las instalaciones
de Microsoft SQL Server 2000, locales y remotas. Para crear una base de datos en
un servidor SQL remoto, es necesario tambin instalar los componentes de cliente
de SQL Server en el servidor que ejecuta o ejecutar Symantec Endpoint Protection
Manager.
Requisitos de instalacin de Microsoft SQL Server 2000

Al instalar la copia de Microsoft SQL Server 2000, seleccione las siguientes opciones
no predeterminadas:
No acepte el nombre de instancia predeterminado. Utilice SEPM o algn otro

nombre.
De forma predeterminada, una base de datos denominada Sem5 se crea en esta
instancia cuando se instala Symantec Endpoint Protection Manager. Se admite
la instancia predeterminada, que no tiene nombre, pero puede llevar la
confusin si usted instala varias instancias en un equipo.
Configure la autenticacin en Modo mixto (autenticacin de Windows y de

SQL Server).
Determine la contrasea de sa al configurar la autenticacin en Modo mixto.

Se escribe esta contrasea cuando usted instala Symantec Endpoint Protection
Manager.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una

intercalacin de SQL que distinga entre maysculas y minsculas. La base de datos
no admite esa distincin.
Requisitos de configuracin de Microsoft SQL Server 2000

Tras instalar la instancia de Microsoft SQL Server 2000, realice las siguientes
tareas:
Aplique SQL Server con Service Pack 4 y seleccione la autenticacin mediante

credenciales del servidor SQL.
En Enterprise Manager, registre la copia, haga clic con el botn secundario en

la instanca y modifique las propiedades de registro a fin de utilizar la
autenticacin del servidor SQL.

A continuacin, cuando se le indique, desconctese del servidor.
Haga clic con el botn secundario en la instancia y conctese al servidor.
Use la Herramienta de red de SQL Server para verificar que el protocolo TCP/IP
est activado. De no ser as, actvelo.
Verifique que el Agente SQL Server se est ejecutando e incielo si no est

ejecutndose.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2000

Instale y configure los componentes de cliente de Microsoft SQL Server 2000 en
el equipo que ejecuta o ejecutar Symantec Endpoint Protection Manager.
Para instalar componentes de cliente de Microsoft SQL Server 2000
Inicie el CD de instalacin de Microsoft SQL Server 2000 y comience el proceso.
En la ventana Definicin de instalacin, haga clic en Slo herramientas

cliente.
Complete la instalacin.
Para configurar componentes de cliente de Microsoft SQL Server 2000
Haga clic en Inicio > Programas > Microsoft SQL Server > Herramienta de
red de cliente.
En el cuadro de dilogo Herramienta de red de cliente de SQL Server, en la

ficha General, verifique que el protocolo TCP/IP est activado. De no ser as,
actvelo.
Haga clic con el botn secundario en TCP/IP y despus haga clic en

Propiedades.
En el cuadro de dilogo TCP/IP, en el cuadro Puerto predeterminado, escriba

el nmero de puerto que coincide con el puerto utilizado por la instancia de
Microsoft SQL Server 2000.
El puerto predeterminado tpicamente es 1433. Se especifica este nmero de
puerto cuando se crea la base de datos.
Haga clic en Aceptar y despus salga de la Herramienta de red de cliente de

SQL Server.
Requisitos de instalacin y configuracin de Microsoft SQL

Server 2005
La instalacin y los requisitos de configuracin afectan a todas las instalaciones
de Microsoft SQL Server 2005, locales y remotas. Si crea una base de datos en un
servidor SQL remoto, es necesario tambin instalar los componentes de cliente
83
84

de SQL Server en el servidor que ejecuta o ejecutar Symantec Endpoint Protection

Manager.
Requisitos de instalacin de Microsoft SQL Server 2005

Al instalar la copia de Microsoft SQL Server 20005, seleccione las siguientes
opciones no predeterminadas:
No acepte el nombre de instancia predeterminado. Utilice SEPM o algn otro

nombre.
De forma predeterminada, una base de datos denominada Sem5 se crea en esta
instancia cuando se instala Symantec Endpoint Protection Manager. Se admite
la instancia predeterminada, que no tiene nombre, pero puede llevar la
confusin si usted instala varias instancias en un equipo.
Configure la autenticacin en Modo mixto (autenticacin de Windows y de

SQL Server).
Determine la contrasea de sa al configurar la autenticacin en Modo mixto.

Se escribe esta contrasea cuando usted instala Symantec Endpoint Protection
Manager.
Al configurar Cuentas de servicio, opte por iniciar el explorador de SQL Server

al finalizar la configuracin.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una

intercalacin de SQL que distinga entre maysculas y minsculas. La base de datos
de informes no admite esa distincin.
Requisitos de configuracin de Microsoft SQL Server 2005

Despus de instalar la instancia de Microsoft SQL Server 2005, aplique SQL Server
2005 con Service Pack 2 y seleccione la autenticacin mediante credenciales del
servidor SQL. A continuacin, utilice el Administrador de configuracin de SQL
Server para hacer lo siguiente:
Mostrar los protocolos de la Configuracin de red de SQL Server 2005.
Mostrar las propiedades de protocolo y activar TCP/IP.
Mostrar las direcciones IP de TCP/IP y activar las direcciones IP1 e IP2.
Configurar los nmeros de puerto TCP/IP para IP1, IP2 y PALL.

La base de datos de Symantec Endpoint Protection Manager no admite puertos
dinmicos. Como resultado, deje los puertos TCP dinmicos en blanco y
especifique un nmero de puerto TCP. El predeterminado tpicamente es 1433.
Se especifica este nmero de puerto cuando se crea la base de datos.
Detenga y reinicie el servidor SQL.

Si no seleccion iniciar el explorador de SQL durante la instalacin, la instalacin

remota no se completar. Si no realiz esta seleccin durante la instalacin, use
la utilidad Configuracin del rea de superficie de SQL Server para hacer lo
siguiente:
Mostrar la informacin de la Configuracin de superficie para servicios y

conexiones.
Habilitar el servicio del explorador de SQL Server.

De no estar habilitado, los equipos cliente no pueden comunicarse con el
servidor.
Verificar que las conexiones locales y remotas estn habilitadas mediante

TCP/IP nicamente.
No son necesarias canalizaciones con nombre.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2005

Instale los componentes de cliente de Microsoft SQL Server 2005 en el equipo que
ejecuta o ejecutar Symantec Endpoint Protection Manager.
Nota: Es necesario instalar los componentes de cliente en un equipo que ejecute
Windows Server 2003. La instalacin de los componentes de cliente requiere
MDAC 2.8 Service Pack 1 o superior, Windows Installer 3.1 e Internet Explorer
6.0 Service Pack 1 o superior.
Para instalar componentes de cliente de Microsoft SQL Server 2005
Inicie el CD de instalacin de Microsoft SQL Server 2005 y comience el proceso.
En la ventana Inicio, haga clic en Componentes de servidor, herramientas,

libros en pantalla y muestras.
Contine la instalacin hasta que se le solicite que seleccione los componentes

que se instalarn.
En el cuadro de dilogo Componentes para instalar, haga clic en Avanzados.
En el panel izquierdo, haga clic en Componentes de cliente y expndalo.
Haga clic en Componentes de cliente y seleccione Se instalar en la unidad

de disco duro local.
Haga clic en las funciones de Componentes de cliente Componentes de

conectividad y Herramientas de administracin, y seleccione Se instalarn
en la unidad de disco duro local.
Complete la instalacin.
85
86

Para configurar componentes de cliente de Microsoft SQL Server 2005
Haga clic en Inicio > Programas > Microsoft SQL Server 2005 > Herramientas
de configuracin > Administrador de configuracin de SQL Server.
Bajo Configuracin de SQL Native Client, haga clic en Protocolos de cliente,

haga clic con el botn secundario en TCP/IP y despus haga clic en
Propiedades.
En el cuadro Puerto predeterminado, escriba el nmero de puerto que coincide

con el puerto utilizado por la instancia de Microsoft SQL Server 2005.
El puerto predeterminado tpicamente es 1433. Se especifica este nmero de
puerto cuando se crea la base de datos.
Haga clic en Aplicar > Aceptar.
Acerca de las opciones de instalacin de la base de datos de Microsoft

SQL Server
Durante la instalacin de Symantec Endpoint Protection Manager, usted toma
decisiones sobre qu valores de base de datos se aplicarn. Estas decisiones deben
tomarse antes de iniciar la instalacin.
La Tabla 4-2 enumera y describe estos valores y opciones.
Tabla 4-2
Opciones predeterminadas y descripciones de Microsoft SQL Server
Opcin
Predeterminado
Descripcin
Seleccione las
opciones de
configuracin del
sitio Web de IIS
Usar el sitio Web

predeterminado
Nombre del
servidor
Nombre del equipo que ejecuta

Manager.
Usar el sitio Web predeterminado

Instala la aplicacin Web de IIS de
Symantec Endpoint Protection en
el sitio Web de IIS predeterminado
y funciona con cualquier otra
aplicacin Web que se instale en el
sitio Web.
Crear un sitio Web personalizado
Deshabilita el sitio Web de IIS
predeterminado y crea un servidor
Web de Symantec para Symantec

Opcin
Predeterminado
Descripcin
Puerto del servidor 8443
Nmero de puerto en el cual el servidor

de Symantec Endpoint Protection
Manager escucha.
Carpeta de datos
del servidor
C:\Program Files\Symantec
Endpoint Protection
Manager\data
Directorio en el cual Symantec

Endpoint Protection Manager pone los
archivos de datos, incluidos copias de
respaldo, archivos de replicacin y
otros archivos de Symantec Endpoint
Protection Manager. El instalador crea
este directorio si no existe.
Nombre del sitio
Sitio <nombre del host local> Nombre del sitio del contenedor de ms
alto nivel en el cual se configuran todas
las funciones y se ejecutan con
Manager. No es posible modificar el
nombre del sitio.
Contrasea de
cifrado
Ninguno
Nombre de la contrasea que cifra la

comunicacin entre Symantec Endpoint
Protection Manager, los clientes y los
dispositivos de hardware opcionales de
Enforcer. La contrasea puede incluir
entre 1 y 32 caracteres alfanumricos
y es obligatoria.
Documente esta contrasea y pngala
en una caja fuerte. No es posible
modificar o recuperar la contrasea
despus de crear la base de datos. Es
necesario tambin escribir esta
contrasea para la recuperacin
despus de un desastre si no tiene una
copia de respaldo de la base de datos
para restaurar.
Ver "Cmo prepararse para la
recuperacin despus de un desastre"
en la pgina 213.
87
88

Opcin
Predeterminado
Descripcin
Verificacin del
certificado del
servidor de
administracin
antes de aceptar
polticas o
contenido
Habilitada
Protege la comunicacin entre

y los clientes con un certificado digital.
Los clientes utilizan la clave pblica
incluida en Sylink.xml para descifrar y
para validar que Symantec Endpoint
Protection Manager firm el certificado
con su clave privada. Los clientes
entonces instalan las polticas y las
actualizaciones de contenido.
Cuando estn deshabilitados, los
clientes no validan que las polticas y
las actualizaciones de contenido fueron
enviadas por Symantec Endpoint
Protection Manager.
Servidor de bases
de datos
Nombre del servidor de Microsoft SQL

y de la instancia opcional. Si el servidor
de bases de datos fue instalado con la
instancia predeterminada, que no tiene
nombre, escriba <nombre de host> o la
<direccin IP> del host. Si el servidor
de bases de datos fue instalado con una
instancia con nombre, escriba<nombre
de host>\<nombre_instancia> o
<Direccin IP>\<nombre_instancia>.
Escribir <nombre de host> funciona
solamente con una DNS correctamente
configurada.
Si realiza la instalacin en un servidor
de bases de datos remoto, es necesario
primero instalar los componentes de
cliente de SQL Server en el equipo que
ejecuta Symantec Endpoint Protection
Manager.
Puerto de SQL
Server
1433
El puerto con el que el servidor SQL est

configurado para enviar y recibir
trfico.
No se admite el puerto 0, que se utiliza
para especificar un puerto negociado
al azar.

Opcin
Predeterminado
Descripcin
Nombre de la base sem5

de datos
Nombre de la base de datos creada.
Usuario
sem5
Nombre de la cuenta de usuario de la

base de datos creada. La cuenta de
usuario tiene un rol estndar con acceso
de lectura y escritura. El nombre puede
ser una combinacin de valores
alfanumricos y de los caracteres
especiales ~#%_+=|:./. No se admiten
los caracteres especiales
'!@$^&*()-{}[]\\<;>,?. Los
nombres siguientes tampoco se
permiten: sysadmin, server admin,
setupadmin, securityadmin,
processadmin, dbcreator, diskadmin,
bulkadmin.
Contrasea
Ninguno
Nombre de la contrasea que se

asociar con la cuenta de usuario de
base de datos. El nombre puede ser una
combinacin de valores alfanumricos
y de los caracteres especiales
~#%_+=|:./. No se admiten los
caracteres especiales
'!@$^&*()-{}[]\\<;>,?.
Carpeta de cliente C:\Program Files\Microsoft

de SQL
SQL Server\80\Tools\Binn
Ubicacin del directorio de la utilidad

del cliente de SQL local que contiene
bcp.exe.
Si crea una base de datos en SQL Server
2005, el directorio numrico
predeterminado es 90. La configuracin
predeterminada completa es
C:\Program Files\Microsoft SQL
Server\90\Tools\Binn.
Usuario
administrador de
bases de datos
Ninguno
Nombre de la cuenta de administrador

del servidor de bases de datos, que
tpicamente es "sa".
Contrasea del
administrador de
bases de datos
Ninguno
Contrasea que se asocia a la cuenta de

usuario del administrador de bases de
datos.
89
90

Opcin
Predeterminado
Descripcin
Carpeta de datos
Detectado automticamente Ubicacin del directorio de datos del
de la base de datos al hacer clic en
servidor SQL. Si realiza la instalacin
Predeterminado
en un servidor remoto, el identificador
del volumen debe coincidir con el
SQL Server 2000: C:\Program
identificador en el servidor remoto. Si
Files\Microsoft SQL
est instalando en una instancia con
Server\MSSQL\Data
nombre en SQL Server 2000, el nombre
SQL Server 2005: C:\Program de la instancia se aade al final de
Files\Microsoft SQL
MSSQL con un signo de dlar, por
Server\MSSQL.1\MSSQL\Data ejemplo \MSSQL$<nombre de
instancia>\Data. Si est instalando en
una instancia con nombre en SQL
Server 2005, la instancia con nombre
se aade al final de MSSQL con un
identificador numrico, como
\MSSQL.1\MSSQL\Data.
Nota: Al hacer clic en Predeterminado

se visualiza el directorio de instalacin
correcto, si usted escribi el servidor
de bases de datos y el nombre de la
instancia correctamente. Si hace clic en
Predeterminado y no aparece el
directorio de instalacin correcto, la
creacin de la base de datos falla.
Nombre del
usuario
administrador
Admin
Nombre de usuario predeterminado que

se utiliza para iniciar sesin en la
(No modificable)
Contrasea de
administrador
Ninguno
Contrasea que se utilizar con el

nombre de usuario del administrador
que se utiliza para iniciar sesin en la
Instalar Symantec Endpoint Protection Manager con una base de datos

de Microsoft SQL
Tras instalar y configurar los componentes de cliente del servidor SQL, puede
instalar Symantec Endpoint Protection Manager.

Nota: Si crea una nueva base de datos, SQL Server administra automticamente
su base de datos con el modelo simple de recuperacin y habilita Reducir
automticamente.
En el panel de bienvenida, realice una de las siguientes acciones:
Si est instalando Symantec Endpoint Protection, haga clic en Symantec

Si est instalando Symantec Network Access Control, haga clic en

En el panel siguiente, haga clic en Instalar Symantec Endpoint Protection

Manager.
Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta
de destino.
En el panel Carpeta de destino, acepte o modifique el directorio de instalacin

predeterminado.


Manager se ejecute con otro sitio Web en este equipo, marque Usar el sitio
Web predeterminado y despus haga clic en Siguiente.
Haga clic para desplazarse por los paneles hasta que comience la instalacin.

Nota: El panel del Asistente para la configuracin del servidor puede tardar
hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reincielo.
Cuando inicie sesin, el panel del Asistente para la configuracin del servidor
aparece automticamente.
91
92

Para crear una base de datos SQL

marque Instalar mi primer sitio y despus haga clic en Siguiente.

Nombre del servidor
Puerto del servidor
En el panel Informacin del sitio, en el cuadro Nombre del sitio, acepte o

modifique el nombre predeterminado y despus haga clic en Siguiente.
En el panel Contrasea de cifrado, en los cuadros Contrasea de cifrado,

escriba una contrasea y haga clic en Siguiente.
Documente esta contrasea y pngala en una caja fuerte. No es posible
modificar o recuperar la contrasea despus de crear la base de datos. Es
necesario tambin escribir esta contrasea para la recuperacin despus de
un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
En el panel Comunicaciones seguras, realice una de las acciones siguientes:
Para proteger las comunicaciones con certificados digitales, haga clic en

S y despus haga clic en Siguiente.
Para proteger las comunicaciones con certificados digitales, haga clic en

No y despus haga clic en Siguiente.
En el panel Eleccin del servidor de bases de datos, marque Microsoft SQL

Server y despus haga clic en Siguiente.
En el panel Definir nueva base de datos, realice una de las siguientes tareas:
Si no existe la base de datos, marque Crear una base de datos nueva

(recomendado).
Si existe la base de datos, marque Usar una base de datos existente.
Una base de datos existente debe definir los grupos de archivos RIMARY,
FG_CONTENT, FG_LOGINFO, FG_RPTINFO y FG_INDEX. La cuenta de usuario
para el acceso a la base de datos debe tener los privilegios db_ddladmin,
db_datareader y db_datawriter. Si estos requisitos no se cumplen, la
instalacin falla. Las mejores prcticas son definir una nueva base de datos.
En el panel Informacin de Microsoft SQL Server, escriba sus valores para

los cuadros siguientes y despus haga clic en Siguiente:

Servidor de bases de datos

Si cre una nueva instancia, el formato es
<NombreDeServidor_o_DireccinIP>\<nombre_instancia>.
Nmero de puerto SQL
Nombre de la base de datos
Usuario
Contrasea
Carpeta de cliente de SQL
Usuario administrador de bases de datos
Contrasea del administrador de bases de datos
Carpeta de datos de la base de datos
10 En el cuadro de dilogo Advertencia, lea y comprenda la informacin del aviso

sobre las comunicaciones de texto y despus haga clic en Aceptar.
11 En el panel Establecer contrasea de la consola, escriba la misma contrasea

en los cuadros siguientes y haga clic en Siguiente.
Contrasea
Confirmar contrasea
12 En el panel Configuracin finalizada, realice una de las siguientes acciones:
Para implementar el software de cliente con el Asistente para migracin

e implementacin, haga clic en S.
Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager

primero y luego implementar el software de cliente, haga clic en No.
Consulte el captulo sobre instalacin de clientes para obtener informacin

sobre cmo implementar el software de cliente.
con las tareas de administracin, debe proteger sus archivos de cifrado en
caso de que necesite recuperarlos despus de un desastre. Es necesario tambin
documentar la clave precompartida que escriba durante la instalacin de
en la pgina 213.
93
94

Instalar consolas adicionales de Symantec Endpoint Protection Manager
Instalar consolas adicionales de Symantec Endpoint

Protection Manager
Es posible instalar consolas de administracin adicionales en equipos remotos e
iniciar sesin en Symantec Endpoint Protection Manager y administrarlo. Las
consolas requieren software Java runtime, as que si su equipo no cuenta con la
versin correcta de Java runtime, se instala automticamente. Es posible que tenga
que ajustar su configuracin de Internet Explorer para ActiveX y Java para permitir
la instalacin.
Nota: Si exporta los paquetes de instalacin de clientes de una consola de
administracin remota, los paquetes se crean en el equipo desde el cual se ejecuta
la consola de administracin remota. Tambin, cuando se instalan servidores para
la conmutacin por error o el balanceo de carga, se instalan las consolas de
administracin en esos equipos.
Para instalar consolas de administracin adicionales
En el equipo en el cual se instalar la consola de administracin, inicie un

navegador Web.
En el cuadro URL, escriba uno de los identificadores siguientes para el equipo

que ejecuta Symantec Endpoint Protection Manager:
http://<nombre_equipo>:9090
http://<direccin_IP_equipo>:9090
9090 es el puerto predeterminado, que es posible modificar en el archivo

\tomcat\conf\server.xml.
En la ventana Consola Symantec Policy Management, haga clic en Aqu para

descargar e instalar JRE 1.5.
En el cuadro de dilogo Contrato de licencia, haga clic en Acepto los trminos

del contrato de licencia y, a continuacin, en Siguiente.
En el cuadro de dilogo Finalizada, haga clic en Finalizar.
En la ventana de la Consola de Symantec Endpoint Protection Manager, haga

clic en Haga clic aqu para iniciar sesin en Symantec Endpoint Protection
Manager.
En el cuadro de dilogo Advertencia de seguridad, haga clic en Ejecutar.
En el cuadro de creacin de acceso directo, haga clic en S.

Instalar y configurar Symantec Endpoint Protection Manager para la conmutacin por error o el balanceo de carga
En la indicacin de inicio de sesin, escriba su nombre de usuario y contrasea

y despus haga clic en Iniciar sesin.
10 Complete el proceso de autenticacin.

Manager para la conmutacin por error o el balanceo
de carga
Las configuraciones de conmutacin por error y balanceo de carga se admiten
solamente en las instalaciones de Microsoft SQL Server. Las configuraciones de
conmutacin por error se utilizan para mantener las comunicaciones si una
instancia de Symantec Endpoint Protection Manager falla. Las configuraciones
de balanceo de carga se utilizan para balancear comunicaciones si una o ms
instancias de Symantec Endpoint Protection Manager comienzan a maximizar el
uso de CPU.
Nota: Cuando se instala un servidor para la conmutacin por error o el balanceo
de carga, tambin se instala una consola de administracin.
Instalar y configurar servidores para la conmutacin por error y el balanceo de
carga es un proceso de dos partes. Primero, se instala Symantec Endpoint
Protection Manager en un equipo y se agrega a un sitio existente. En segundo
lugar, se inicia sesin en la Consola de Symantec Endpoint Protection Manager y
se configura la nueva instancia de Symantec Endpoint Protection Manager.
Instalar Symantec Endpoint Protection Manager para la conmutacin

por error o el balanceo de carga
Se admiten las instalaciones de conmutacin por error y balanceo de carga
solamente cuando Symantec Endpoint Protection Manager original utiliza
Microsoft SQL Server. No instale servidores para conmutacin por error o balanceo
de carga cuando la instancia original de Symantec Endpoint Protection Manager
utiliza la base de datos integrada.
95
96

Para instalar un servidor para conmutacin por error o balanceo de carga
Instale Symantec Endpoint Protection Manager.

Ver "Para instalar Symantec Endpoint Protection Manager" en la pgina 91.

marque Instalar un servidor de administracin en un sitio existente y
despus haga clic en Siguiente.

Nombre del servidor
Puerto del servidor
En el cuadro de dilogo Informacin de Microsoft SQL Server, escriba los

valores del servidor remoto para los cuadros siguientes:
Servidor de bases de datos<\nombre_instancia>
Nmero de puerto SQL
Nombre de la base de datos
Usuario
Contrasea
Ruta del cliente de SQL (en el equipo local)

Si este cuadro no se rellena automticamente con la ruta correcta, la
utilidad de cliente de Microsoft SQL est instalada incorrectamente o no
est instalada.
En la indicacin de Advertencia, lea el mensaje de texto y despus haga clic

en Aceptar.
En el panel Finalizado del Servidor de administracin, haga clic en Finalizar.
Configurar conmutacin por error y balanceo de carga

De forma predeterminada, un servidor de administracin que se instala para la
conmutacin por error y el balanceo de carga se configura para el balanceo de
carga cuando ambos servidores comparten la misma prioridad. Si desea modificar
la configuracin predeterminada despus de la instalacin, es necesario
configurarla con la Consola de Symantec Endpoint Protection Manager.

Para configurar conmutacin por error y balanceo de carga
En la consola de Symantec Endpoint Protection Manager, haga clic en

Polticas.
En el panel Ver polticas, a la derecha de Componentes de polticas, haga clic

en la flecha ascendente de modo que se convierta en una flecha descendente.
Haga clic en Listas de servidores de administracin para resaltarlo.
En el panel inferior izquierdo Qu desea hacer?, haga clic en Agregar una

lista de servidores de administracin.
97
98

En el cuadro de dilogo Listas de servidores de administracin compartidos,

bajo Servidores de administrador de polticas, haga clic en Agregar > Nueva
prioridad tres veces.
Bajo Servidores de administracin, haga clic en Prioridad 1 para resaltarlo.
Haga clic en Agregar > Nuevo servidor.
En el cuadro de dilogo Direccin de host, en el cuadro Direccin del servidor,

escriba el nombre de dominio completo o la direccin IP de una instancia de
Si escribe una direccin IP, asegrese de que sea esttica y que todos los
clientes pueden resolverla.
Para configurar el balanceo de carga con el otro servidor, haga clic en

Prioridad 1 para resaltarlo.
Para configurar la conmutacin por error con el otro servidor, haga clic
en Prioridad 2 para resaltarlo.
10 Haga clic en Agregar > Nuevo servidor.

11 En el cuadro de dilogo Direccin de host, en el cuadro Direccin del servidor,

escriba el nombre de dominio completo o la direccin IP de una instancia de
Si escribe una direccin IP, asegrese de que sea esttica y que puede ser
resuelta por todos los clientes.
13 (Opcional) Para modificar la prioridad de un servidor, que modifica la

configuracin del balanceo de carga o de la conmutacin por error, haga clic
en un servidor para resaltarlo y realice una de las siguientes acciones:
Haga clic en Subir.
Haga clic en Bajar.
14 En el cuadro de dilogo Listas de servidores de administracin, haga clic en

Aceptar.
Para aplicar la lista de servidores de administracin
En el panel derecho, bajo Listas de servidores de administracin, bajo Nombre,

haga clic en la lista de servidores de administracin que usted cre para
resaltarla.
En el panel inferior izquierdo Tareas, haga clic en Asignar la lista.
En el cuadro de dilogo Aplicar lista de servidores de administracin, marque

los grupos a los que desea aplicar la lista.
99
100

Instalar y configurar Symantec Endpoint Protection Manager para la replicacin
Haga clic en Asignar.
En el cuadro de dilogo Asignar lista de servidores de administracin, haga

clic en S.

Manager para la replicacin
Las configuraciones de replicacin se admiten con bases de datos integradas y de
Microsoft SQL Server. Las configuraciones de replicacin se utilizan para la
redundancia. Todos los datos de una base de datos se replican (duplican) en otra
base de datos. Si una base de datos falla, an es posible administrar y controlar
todos los clientes porque la otra base de datos contiene la informacin de los
clientes.
Instalar y configurar los servidores para la replicacin es un proceso de dos partes.
En un sitio de instalacin existente, primero instale una nueva instancia de
Symantec Endpoint Protection Manager y una base de datos para la replicacin
con un administrador existente. En segundo lugar, inicie sesin en Symantec
Endpoint Protection Manager, y seleccione y programe los elementos para la
replicacin.
Cuando se seleccionan los elementos para replicar, es posible elegir registros y
paquetes. Los paquetes tambin incluyen las actualizaciones de definiciones de
virus, componentes de cliente y software de cliente. El tamao de los paquetes y
las actualizaciones puede llegar a varios gigabytes de informacin si usted descarga
actualizaciones en idiomas varios. Tenga en cuenta la cantidad de datos que usted
replica cuando se seleccionan estas opciones, junto con el consumo de ancho de
banda. Un paquete de cliente generalmente tiene 180 MB de tamao cuando est
comprimido.
Instalar Symantec Endpoint Protection Manager para la replicacin

Es posible instalar servidores para replicacin con bases de datos integradas y de
Microsoft SQL Server. Si desea instalar una base de datos de Microsoft SQL Server
para la replicacin, es necesario primero instalar Microsoft SQL Server.
Ver "Instalar Symantec Endpoint Protection Manager con una base de datos de
Microsoft SQL" en la pgina 81.
Nota: No instale un nuevo servidor con un secreto compartido. Los nuevos
servidores que se instalan con secretos compartidos no se comunican con los
dems.

Instalar y configurar Symantec Endpoint Protection Manager para la replicacin
Para instalar servidores para la replicacin
Instale Symantec Endpoint Protection Manager.

Ver "Para instalar Symantec Endpoint Protection Manager" en la pgina 91.

marque Instalar un sitio adicional y despus haga clic en Siguiente.

Nombre del servidor
Puerto del servidor
En el panel Informacin del sitio, acepte o modifique el nombre del cuadro

Nombre del sitio y despus haga clic en Siguiente.
En el panel Informacin de replicacin, escriba los valores en los cuadros

siguientes:
Nombre del servidor de replicacin

El nombre o la direccin IP de la instancia remota de Symantec Endpoint
Protection Manager.
Puerto del servidor de replicacin

El valor predeterminado es 8443.
Nombre del administrador

El nombre que se utiliza para iniciar sesin en la consola.
Contrasea
La contrasea que se utiliza para iniciar sesin en la consola.
En la advertencia del certificado, haga clic en S.
En el panel Eleccin del servidor de bases de datos, realice una de las siguientes
tareas y haga clic en Siguiente.
Marque Base de datos integrada y termine la instalacin.
Marque Microsoft SQL Server y termine la instalacin.

Ver "Para crear una base de datos SQL" en la pgina 92.
Configurar Symantec Endpoint Protection Manager para la replicacin

Se utiliza la Consola de Symantec Endpoint Protection Manager para configurar
los servidores para la replicacin. Las credenciales de inicio de sesin de
101
102

Ajustar el tamao de pila de Symantec Endpoint Protection Manager
administrador son las credenciales que se utilizan en el primer sitio que usted
especific para la replicacin.
Para configurar los servidores para la replicacin
En el equipo en el que se instal el servidor, haga clic en Inicio > Programas

> Symantec Endpoint Protection Manager.
En el cuadro de dilogo Inicio de sesin, en el cuadro Nombre de usuario,

escriba el ID de administrador que se utiliza para iniciar sesin en la instancia
de Symantec Endpoint Protection Manager que utiliza la base de datos inicial.
En el cuadro Contrasea, escriba la contrasea que se asocia al ID de

administrador y despus haga clic en Iniciar sesin.
En la consola, en el panel izquierdo, haga clic en Administrador > Servidores.
En el rbol izquierdo, expanda Sitio local y, a continuacin, Asociado de

replicacin. Luego haga clic con el botn secundario en Sitio <host_remoto>
y despus haga clic en Propiedades.
En el cuadro de dilogo Propiedades del asociado de replicacin, configure

las opciones que desee para los registros, los paquetes y la frecuencia de
replicacin, y despus haga clic en Aceptar.
Consulte la ayuda contextual y la Gua de administracin para Symantec
Endpoint Protection y Symantec Network Access Control a fin de obtener
informacin sobre estas opciones.
Haga clic con el botn secundario en Sitio <host_remoto> y despus haga

clic en Replicar ahora.
Ajustar el tamao de pila de Symantec Endpoint

Protection Manager
El tamao de pila predeterminado para Symantec Endpoint Protection Manager
es 256 MB. Si la Consola de Symantec Endpoint Protection Manager funciona
lenta o no responde, un tamao de pila ms grande puede mejorar la situacin.
Es posible aumentar el tamao predeterminado con dos valores de clave del
registro. Los dos valores de clave del registro son -Xms256m y -Xmx256m.
-Xms256m configura el tamao de pila mnimo. -Xmx256m configura el tamao
de pila mximo. -Xms256m es el valor que se especifica para la opcin 0 de la clave
JVM. -Xmx256m es el valor que se especifica para la opcin 1 de la clave JVM 1.
Symantec Endpoint Protection Manager necesita los mismos valores para ambas
claves.

Para ajustar el tamao de pila de Symantec Endpoint Protection Manager
Haga clic en Inicio > Ejecutar.
En el cuadro de dilogo Ejecutar, escriba regedit y presione Intro.
Localice la siguiente clave de registro:

HKLM\SYSTEM\CurrentControlSet\Services\semsrv\Parameters\
Localice las siguientes claves:
Opcin 0 de JVM
Opcin 1 de JVM
Aumente los valores de la clave y asegrese de que coincidan.

Por ejemplo, para crear una pila esttica de 1 GB, configure la opcin 0 de
JVM en -Xms1024m y la opcin 1 de JVM en -Xmx1024m.
Salga de Regedit y haga clic en Inicio > Configuracin > Panel de control >
Herramientas administrativas.
En el cuadro de dilogo Servicios, haga clic con el botn secundario en

Symantec Endpoint Protection Manager y despus haga clic en Reiniciar.
Actualizar desde la base de datos integrada a

Si utiliza la base de datos integrada y encuentra que es insuficiente, es posible
actualizar el servidor de bases de datos a Windows SQL Server 2000 2005. Los
siguientes puntos resumen el proceso y los pasos necesarios:
Haga una copia de respaldo del archivo de certificado del almacn de claves
de Java y el archivo server.xml, y mueva o copie los archivos del directorio
\Symantec\Symantec Endpoint Protection Manager\.
Haga una copia de respaldo de la base de datos integrada y mueva o copie la

copia de respaldo del \Symantec\Symantec Endpoint Protection Manager\.
Instale una instancia de Microsoft SQL Server 2000 2005.
Desinstale Symantec Endpoint Protection Manager y la base de datos integrada

usando la opcin de desinstalacin Cambiar.
103
104

Advertencia: Es necesario desinstalar Symantec Endpoint Protection Manager

con la opcin de desinstalacin Cambiar, si no, la actualizacin fallar. Esta
opcin permite desinstalar la base de datos integrada. La opcin Eliminar no
permite desinstalar la base de datos integrada.
Vuelva a instalar Symantec Endpoint Protection Manager con una base de

datos de Microsoft SQL.
Es necesario reinstalar Symantec Endpoint Protection Manager en el mismo
equipo, o en un equipo con la direccin IP y el nombre de host originales.
Restaure el certificado del almacn de claves de Java.
Restaure la base de datos integrada a la base de datos de Microsoft SQL Server.
Vuelva a configurar Symantec Endpoint Protection Manager para que reconozca

Microsoft SQL Server.
El proceso de actualizacin es muy similar al proceso de recuperacin despus de

un desastre porque es necesario desinstalar la instancia actual de Symantec
Endpoint Protection Manager. Por lo tanto, es necesario prepararse para la
recuperacin despus de desastres a fin de realizar correctamente la actualizacin
y crear un archivo de recuperacin despus de desastres.
en la pgina 213.
Mejores prcticas antes de actualizar: Realice estos procedimientos de
actualizacin en los equipos de prueba antes de realizar estos procedimientos de
actualizacin en los equipos de produccin.
Advertencia: No intente esta actualizacin sin crear ni tener un archivo bien
formado de recuperacin despus de desastres. No intente esta actualizacin antes
de sacar la copia de respaldo del almacn de claves, el archivo server.xml y la base
de datos del directorio \Symantec\Symantec Endpoint Protection Protection
Manager\. Estos archivos se eliminan durante el proceso de desinstalacin.
Hacer copia de respaldo del almacn de claves y los archivos server.xml

Si no se ha realizado la preparacin para la recuperacin despus de un desastre,
es necesario copiar o mover estos archivos. El proceso de desinstalacin elimina
estos archivos de su ubicacin original.
en la pgina 213.

Para hacer una copia de respaldo del almacn de claves y los archivos server.xml
Mueva o copie todos los archivos de copia de respaldo en el siguiente directorio

dentro de un directorio que no est debajo de \Symantec\Symantec Endpoint
Protection Manager\
\Symantec\Symantec Endpoint Protection Manager\Server Private Key
Backup\
Los archivos se denominan keystore_<fecha>.jks y server_<fecha>.xml.
Hacer una copia de respaldo de la base de datos integrada

Se restaurar esta base de datos a Microsoft SQL Server.
Para hacer una copia de respaldo de la base de datos integrada
En el equipo que ejecuta la base de datos integrada, haga clic en Inicio >
Programas > Symantec Endpoint Protection Manager > Copia de respaldo
y restauracin de la base de datos.
En el cuadro de dilogo Copia de respaldo y restauracin de la base de datos,

haga clic en Copia de respaldo.
Este proceso tardar unos minutos. Los archivos de copia de respaldo son
archivos .zip que se encuentran en \\Program Files\Symantec\Symantec
Endpoint Protection Manager\data\backup\.
Haga clic en Salir.
Mueva o copie el archivo de copia de respaldo en un directorio que no est

debajo de \Symantec\Symantec Endpoint Protection Manager.
Si no realiza este paso, su actualizacin fallar porque se desinstalar el
archivo de copia de respaldo.
Instalar una instancia de Microsoft SQL Server 2000 2005

Es necesario instalar Microsoft SQL Server 2000 2005 con autenticacin de
servidor SQL y saber qu puerto utiliza el servidor para las comunicaciones de
red. Se debe escribir este nmero de puerto al reinstalar Symantec Endpoint
Protection Manager con una base de datos de Microsoft SQL Server.
105
106

Para instalar una instancia de Microsoft SQL Server 2000 2005
Instale y configure una instancia de Microsoft SQL Server en el equipo que

ejecuta Symantec Endpoint Protection Manager y la base de datos integrada,
o en un equipo diferente.
Ver "Requisitos de instalacin y configuracin de Microsoft SQL Server 2000"
en la pgina 82.
Ver "Requisitos de instalacin y configuracin de Microsoft SQL Server 2005"
en la pgina 83.
Ver "Para crear una base de datos SQL" en la pgina 92.
Desinstalar Symantec Endpoint Protection Manager con una base de

datos integrada
El punto ms importante para recordar en este paso es utilizar la funcin Cambiar
y no la funcin Eliminar. La funcin Eliminar no permite desinstalar la base de
datos integrada. Si no desinstala la base de datos integrada, la actualizacin fallar.
Para desinstalar Symantec Endpoint Protection Manager con una base de datos
integrada
Haga clic en Inicio > Configuracin > Panel de control > Agregar o quitar
programas.
En el cuadro de dilogo Agregar o quitar programas, haga clic en Symantec

Endpoint Protection Manager > Cambiar.
En el panel Mantenimiento del programa, marque Eliminar y haga clic en

Siguiente.
En el panel Eliminar, active Eliminar la base de datos durante la

desinstalacin y despus haga clic en Siguiente.
En el panel Eliminar el programa, haga clic en Eliminar.

Si aparece un mensaje de error acerca del acceso al archivo, reinicie el equipo
y repita este paso sin iniciar sesin en la Consola de Symantec Endpoint
Protection Manager.
Volver a instalar Symantec Endpoint Protection Manager con una base

de datos de Microsoft SQL
Se necesita la contrasea de cifrado original para reinstalar Symantec Endpoint
Protection Manager con una base de datos de Microsoft SQL. Esta contrasea debe

estar en el archivo bien formado de recuperacin despus de desastres. Si no lo

est, es necesario encontrar a alguien que sepa la contrasea.
Para volver a instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL
Abra el archivo bien formado de recuperacin despus de desastres.

en la pgina 213.
Inserte el CD de instalacin y comience la instalacin de Symantec Endpoint

Protection Manager con una base de datos de Microsoft SQL Server.
Ver "Instalar Symantec Endpoint Protection Manager con una base de datos
de Microsoft SQL" en la pgina 90.
Cuando aparece el panel de bienvenida del Asistente para la configuracin

del servidor de administracin, marque Instalar mi primer sitio y despus
Contine la instalacin y escriba los mismos valores que utiliz para la base
de datos integrada. Por ejemplo, escriba el mismo nombre de servidor y puerto
que se utilizaron para la instalacin de la base de datos integrada. Escriba la
misma contrasea de cifrado que fue utilizada para la instalacin de la base
de datos integrada y as sucesivamente. Estos valores son obligatorios para
regenerar correctamente el archivo sylink.xml.
Cuando la instalacin termina y aparece el panel Finaliz el Asistente para

la configuracin del servidor de administracin, marque No y despus haga
clic en Finalizar.
Inicie sesin en la Consola de Symantec Endpoint Protection Manager.
Restaurar el archivo de almacn de claves de Java original

El archivo de almacn de claves contiene el certificado pblico que se utiliza para
proteger las comunicaciones. Es necesaria la contrasea de la clave privada original
para restaurar este archivo. Esta contrasea est en el archivo bien formado de
recuperacin despus de desastres, si ste fue creado durante la instalacin
original. La contrasea est tambin en el archivo server_<marca de hora>.xml.
en la pgina 213.
Para restaurar el archivo de almacn de claves de Java original
Inicie sesin en la Consola y despus haga clic en Administrador.
En el panel Administrador, bajo Tareas, haga clic en Servidores.
107
108

Bajo Ver servidores, expanda Sitio local y despus haga clic en el nombre del
equipo que identifica el sitio local.
Bajo Tareas, haga clic en Administrar certificado del servidor.
En el panel Administrar certificado del servidor, marque Actualizar el

certificado del servidor y despus haga clic en Siguiente.
Bajo Seleccione el tipo de certificado para importar, marque Almacn de

claves JKS y despus haga clic en Siguiente.
Si ha implementado otro tipo de certificado, seleccione ese tipo.
En el panel Almacn de claves JKS, haga clic en Examinar, busque y seleccione

el archivo de almacn de claves keystore_<marca de hora>.jks incluido en la
copia de respaldo y despus haga clic en Aceptar.
Abra su archivo de texto de recuperacin despus de un desastre y seleccione

y copie la contrasea del almacn de claves.
10 Active el cuadro de dilogo Almacn de claves JKS y pegue la contrasea del

almacn de claves en los cuadros Almacn de claves y Clave.
El nico mecanismo de pegado compatible es Ctrl + V.
11 Haga clic en Siguiente.

Si recibe un mensaje de error que diga que hay un archivo no vlido de almacn
de claves, probablemente haya escrito contraseas no vlidas. Reintente
copiar y pegar la contrasea. Este mensaje de error es engaoso.
12 En el panel Completado, haga clic en Finalizar.

13 Cierre la sesin en la Consola.
Volver a configurar Symantec Endpoint Protection Manager

El paso final es volver a configurar Symantec Endpoint Protection Manager.
Para volver a configurar Symantec Endpoint Protection Manager
administrativas > Servicios.
En la ventana Servicios, en el panel derecho, haga clic con el botn secundario

en Symantec Endpoint Protection Manager y despus haga clic en Detener.
> Copia de respaldo y restauracin de la base de datos

haga clic en Restaurar.

En el mensaje, haga clic en S.
En el cuadro de dilogo Seleccionar archivo de copia de respaldo, busque y

seleccione la base de datos que desea restaurar y despus haga clic en Aceptar.
Despus de que se restaure la base de datos, haga clic en Salir.
> Asistente para la configuracin del servidor de administracin.
En el panel de bienvenida, haga clic en Volver a configurar el servidor de

administracin y, a continuacin, en Siguiente.
10 Complete la reconfiguracin.
Asegrese de que sus valores de informacin coincidan con los valores escritos
cuando se instal Symantec Endpoint Protection Manager. Por ejemplo, si
usted cre una instancia con nombre, asegrese de aadir el nombre de la
instancia al final del nombre del host como en
<nombre_host>\<nombre_instancia>.
11 Inicie sesin en Symantec Endpoint Protection Manager y despus haga clic

en Clientes.
12 Haga clic con el botn secundario en sus grupos y despus haga clic en
Ejecutar comando en el grupo > Actualizar contenido.
Si los clientes no responden despus de una media hora, reinicie los clientes.

Cuando se desinstalan instancias de Symantec Endpoint Protection Manager,
todos los componentes de Symantec se desinstalan, excepto los paquetes de
instalacin de clientes exportados. No obstante, puede optar por no desinstalar
la base de datos integrada, la base de datos de Microsoft SQL Server y los archivos
de copia de respaldo. Para todas las instalaciones, los archivos de copia de respaldo
de la base de datos se encuentran en el equipo que ejecuta Symantec Endpoint
Protection Manager.
Utilice la funcin Agregar o quitar programas estndar de Windows para
desinstalar Symantec Endpoint Protection Manager. Tambin seleccione Cambiar
para tener la opcin de desinstalar la base de datos. Si selecciona Quitar, la base
de datos no se desinstala.
109
110

Nota: Es necesario eliminar manualmente todos los directorios que contengan los
paquetes de instalacin de clientes exportados, incluidos los directorios creados
con el Asistente de instalacin y migracin. Es necesario tambin eliminar
manualmente todos los archivos y directorios de copia de respaldo, incluidos los
archivos y directorios de respaldo que contengan claves privadas, certificados y
archivos de base de datos.
Captulo
Instalar el software de
cliente de Symantec
Acerca del software de instalacin de clientes de Symantec
Acerca de la instalacin de software de cliente no administrado
Crear paquetes de instalacin de clientes
Acerca de la implementacin de software de cliente desde una unidad asignada
Implementar software de cliente con el Asistente de implementacin mediante

transferencia
Implementar software de cliente con Buscar equipos no administrados
Importar listas de equipos
Acerca de la instalacin y la implementacin de software con Altiris
Opciones de instalacin de otros fabricantes
Acerca de la desinstalacin de software de cliente
Acerca del software de instalacin de clientes de

Symantec
Estn disponibles dos productos de software de instalacin de clientes de Symantec.
Un producto es Symantec Endpoint Protection. El otro es Symantec Network
Access Control.
112

Nota: Las instalaciones de Symantec Endpoint Protection necesitan por lo menos

700 MB de espacio en el disco duro durante el proceso de instalacin. Si esta
cantidad no est disponible, la instalacin falla.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection contiene muchos componentes que usted puede
optar por instalar o no instalar. Cuando se instala Symantec Endpoint Protection,
tiene las siguientes opciones en cuanto a qu componentes instalar:
Archivos principales
Esta opcin es obligatoria para todas las instalaciones.
Antivirus y proteccin contra software espa

Esta opcin instala el software antivirus y contra software espa base y permite
seleccionar estos componentes adicionales:
Herramientas de proteccin antivirus de correo electrnico

Nota: Por motivos de rendimiento, el instalador de Symantec Endpoint
Protection bloquea la instalacin de Auto-Protect para correo electrnico
de Internet en los sistemas operativos Microsoft Server compatibles. Por
ejemplo, no es posible instalar Auto-Protect para correo electrnico de
Internet en un equipo que ejecute Windows Server 2003.
Proteccin proactiva contra amenazas

Esta opcin no instala el software bsico, sino que permite seleccionar estos
componentes:
Anlisis de amenazas proactivo
Control de aplicaciones y dispositivos
Proteccin contra amenazas de red

Esta opcin no instala el software bsico, sino que permite seleccionar estos
componentes:
Firewall y Prevencin de intrusiones

Nota: Symantec Endpoint Protection tambin instala el software Symantec Network

Access Control, pero Symantec Network Access Control no se habilita. Cuando se
actualiza la Consola de Symantec Endpoint Protection Manager para Symantec
Network Access Control, la funcin del cliente de Symantec Network Access
Control aparece automticamente en la interfaz de usuario del cliente. Por lo
tanto, si usted instala Symantec Endpoint Protection y compra Symantec Network
Access Control ms tarde, no es necesario instalar el software de cliente de
Symantec Network Access Control. Si sus equipos cliente ejecutan Symantec
Network Access Control y si usted compr el software de Symantec Endpoint
Protection ms tarde, deber sobreinstalar el software de Symantec Endpoint
Protection. No es necesario desinstalar Symantec Network Access Control.
Acerca del software de Symantec Network Access Control

El software de Symantec Network Access Control no contiene los componentes
que puedan seleccionarse para instalar o no instalar. Si sus equipos cliente ejecutan
Symantec Endpoint Protection y usted compr el software de Symantec Network
Access Control ms tarde, no es necesario instalar el software de Symantec Network
Access Control. Despus de actualizar Symantec Endpoint Protection Manager
para Symantec Network Access Control, la funcin de Symantec Network Access
Control de los clientes aparece automticamente.
Acerca de Windows Installer versin 3.1

Todas las instalaciones de software de cliente requieren que todos los equipos
cliente ejecuten la versin 3.1 de Windows Installer (MSI). Si no se est ejecutando
3.1 en los equipos cliente, el software de instalacin de clientes de Symantec la
instala automticamente.
Nota: Si ejecuta msiexec en una lnea de comandos en un equipo que ejecute MSI
3.1, la versin que se muestra es 3.01.4000.x.
Acerca de los grupos y los clientes

Los grupos pueden contener clientes de 32 bits y de 64 bits. Sin embargo, es
necesario implementar los paquetes de 32 bits y de 64 bits por separado en los
clientes. Los clientes de 32 bits no utilizan los paquetes de instalacin de 64 bits,
y los clientes de 64 bits omiten los paquetes de instalacin de 32 bits.
Si su entorno tiene una combinacin de clientes de Symantec Endpoint Protection
y Symantec Network Access Control, resulta conveniente agrupar estos clientes
por separado. Por ejemplo, se recomienda no colocar clientes de Symantec Endpoint
113
114

Acerca de la instalacin de software de cliente no administrado
Protection en un grupo que tambin contenga clientes de Symantec Network

Access Control. Adems, si usted instala Symantec Endpoint Protection Manager
para Symantec Network Access Control, los clientes de Symantec Endpoint
Protection admiten automticamente Symantec Network Access Control.
Cuando se crean paquetes de instalacin de clientes con la Consola de Symantec
Endpoint Protection Manager, es posible especificar un grupo que los contenga.
Si reinstala un paquete de software de cliente en los clientes y el paquete especifica
un grupo diferente, los clientes an aparecen en su grupo original. Los clientes
no aparecen en el nuevo grupo. Solamente es posible mover clientes a los nuevos
grupos con la Consola de Symantec Endpoint Protection Manager.
Acerca de la instalacin de software de cliente no

administrado
Si no desea administrar el software de cliente, es posible instalar software no
administrado. Sin embargo, la instalacin de software de cliente no administrado
de Symantec Network Access Control no se recomienda. Para instalar software
de cliente no administrado, instale el software usando el men de inicio del CD.
En el CD de Symantec Endpoint Protection, los archivos de instalacin no
administrada aparecen en el directorio de SEP. En el CD de Symantec Network
Access Control, los archivos de instalacin no administrada aparecen en el
directorio SNAC.
Opcionalmente, es posible exportar los paquetes de instalacin de clientes no
administrados desde la Consola de Symantec Endpoint Protection Manager.
Despus de exportar los paquetes no administrados, no asigne los paquetes a
grupos para la actualizacin automtica. Si asigna los paquetes a un grupo, los
clientes del grupo aparecern en la consola despus de la instalacin de software.
Sin embargo, no es posible administrar estos clientes.
Es posible tambin implementar software no administrado usando
ClientRemote.exe, que se encuentra en el directorio
TOOLS\PUSHDEPLOYMENTWIZARD del CD de instalacin. Durante la
implementacin, usted selecciona los archivos de los directorios SEP o SNAC en
el CD de instalacin.
Crear paquetes de instalacin de clientes

Es posible crear dos tipos de paquetes de instalacin de clientes. Un tipo es de 32
bits y el otro tipo es de 64 bits. Es posible tambin crear dos paquetes de 32 bits
y de 64 bits. Un tipo es el paquete de instalacin predeterminado que se crea
cuando usted instala Symantec Endpoint Protection Manager. Si instala este

Acerca de la implementacin de software de cliente desde una unidad asignada
paquete, los clientes aparecen en un grupo temporal y reciben las polticas

predeterminadas. El otro tipo es un paquete de instalacin que se personaliza
para un grupo, que generalmente no es el grupo temporal. Este paquete de
instalacin puede contener polticas y opciones de grupo personalizadas.
Es posible crear paquetes de instalacin de clientes para los grupos en cualquier
momento. Si ha personalizado polticas para un grupo que son estables y no se
modifican regularmente, es posible crear un paquete de instalacin de clientes
para ese grupo. Sin embargo, no es necesario reinstalar los paquetes de instalacin
de clientes en los equipos cliente existentes de un grupo para modificar una
poltica. A medida que usted realiza cambios en las polticas de un grupo, estos
cambios se propagan automticamente a los clientes instalados en ese grupo.
Nota: La Gua de administracin para Symantec Endpoint Protection y Symantec
Network Access Control contiene informacin completa sobre los paquetes de
instalacin de clientes.
Para crear paquetes de instalacin de clientes
En la Consola Symantec Policy Management, haga clic en Administrador.
En el panel Tareas, haga clic en Paquetes de instalacin.
En el panel derecho, bajo Nombre del paquete, seleccione el paquete que desea
exportar.
En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar el paquete.
En el cuadro de dilogo Exportar paquete, haga clic en Examinar.
En el cuadro de dilogo Guardar, busque y seleccione el directorio que

contendr el paquete exportado y despus haga clic en Guardar.
En el cuadro de dilogo Exportar paquete, configure las otras opciones segn

sus metas de instalacin.
Para obtener informacin acerca de las otras opciones en este cuadro de
dilogo, haga clic en Ayuda.
Acerca de la implementacin de software de cliente

desde una unidad asignada
Despus de exportar un paquete de instalacin de clientes a un directorio, es
posible compartir ese directorio y hacer que los usuarios asignen el directorio
115
116

Implementar software de cliente con el Asistente de implementacin mediante transferencia
desde los equipos cliente. Los usuarios pueden entonces instalar el software de
cliente desde la unidad asignada.
Nota: Durante la instalacin del software de cliente de Symantec Endpoint
Protection, la unidad asignada se desconecta temporalmente. Esta actividad es
conocida y se espera que ocurra. Esta actividad no ocurre cuando se instala el
software de cliente de Symantec Network Access Control.
Implementar software de cliente con el Asistente de

implementacin mediante transferencia
El Asistente de implementacin mediante transferencia aparece automticamente
cuando se utiliza el asistente de implementacin, o es posible iniciarlo
manualmente. En cualquier caso, es necesario tener una idea de qu paquete de
software de clientes se desea implementar y en qu carpeta est el paquete. Es
necesario localizarlo durante la implementacin.
Nota: Este procedimiento describe cmo iniciar manualmente al Asistente de
implementacin mediante transferencia. Es posible tambin iniciar esta utilidad
al terminar de usar el Asistente de instalacin y migracin.
Para implementar el software de cliente con el Asistente de implementacin
mediante transferencia
Visualice el contenido del directorio \Symantec\Symantec Endpoint Protection

Manager\tomcat\bin y haga doble clic en ClientRemote.exe.
En el panel del Asistente de implementacin mediante transferencia, haga

clic en Siguiente.
En el panel Seleccionar la ubicacin de origen para la instalacin, bajo Tipo

de implementacin, marque Instalacin de cliente si no est marcada. A
continuacin, haga clic en Examinar.
En el cuadro de dilogo Abrir, busque y seleccione el directorio que contiene

los archivos de instalacin y despus haga clic en Abrir.
En el panel Seleccionar la ubicacin de origen para la instalacin, haga clic

en Siguiente.

En el panel Seleccionar equipos, en el panel izquierdo bajo Equipos disponibles,

expanda los rboles y seleccione los equipos en los cuales desea instalar el
software de cliente y despus haga clic en Agregar.
Como alternativa, es posible importar un grupo de trabajo o un dominio de
equipos y tambin una lista de archivo de texto de equipos.
Ver "Importar listas de equipos" en la pgina 119.
En el cuadro de dilogo Autenticacin de clientes remotos, escriba un nombre

de usuario y una contrasea que puedan autenticarse en el dominio de
Windows o el grupo de trabajo que contiene los equipos y, despus, haga clic
en Aceptar.
Cuando haya seleccionado todos los equipos y stos aparezcan en el panel

derecho, haga clic en Finalizar.
Implementar software de cliente con Buscar equipos

no administrados
Es posible implementar el software de cliente mediante Buscar equipos no
administrados en la Consola Symantec Policy Management. La utilidad permite
detectar los equipos cliente que no ejecutan software de cliente y, despus, instalar
el software de cliente en esos equipos.
Nota: Esta utilidad coloca los equipos no administrados en la categora de
componentes desconocidos si los niveles de autenticacin de LAN Manager son
incompatibles. Hay seis niveles de autenticacin. Symantec recomienda la
respuesta "Send NTLM 2" solamente. La poltica para editar est bajo Configuracin
de poltica local > Configuracin de seguridad > Polticas locales > Opciones de
seguridad > [Seguridad de la red] Nivel de autenticacin de administrador de LAN.
Para obtener ms informacin, consulte http://support.microsoft.com/kb/147706.
Adems, esta utilidad no reconoce correctamente los sistemas operativos Windows
2000 cuando se ejecuta desde una instalacin predeterminada de Windows 2003
Server. Para resolver esta limitacin, ejecute el servicio de Symantec Endpoint
Protection Manager como Administrador, en lugar de Sistema, en el panel
Servicios.
117
118

Advertencia: Esta utilidad detecta y muestra una variedad de dispositivos de red

en la ficha de equipos desconocidos. Por ejemplo, esta utilidad detecta interfaces
de router y las pone en la ficha de equipos desconocidos. Tenga precaucin cuando
implementa el software de cliente en dispositivos que aparecen en la ficha de
equipos no administrados. Verifique que estos dispositivos sean destinos vlidos
para la implementacin del software de cliente.
Para implementar software de cliente usando Buscar equipos no administrados
En la Consola Symantec Policy Management, haga clic en Clientes.
En el panel Tareas, haga clic en Buscar equipos no administrados.
En la ventana Buscar equipos no administrados, bajo Buscar por, marque

Intervalo de direcciones IP y escriba una direccin IP de principio y final.
El anlisis de un intervalo de 100 direcciones IP que no existen toma
aproximadamente 5,5 minutos. Opcionalmente, especifique un nombre de
equipo.
Bajo Credenciales de inicio de sesin, complete los cuadros Nombre de usuario,

Contrasea y Dominio-Grupo de trabajo con las credenciales de inicio de
sesin que permiten la administracin y la instalacin.
Haga clic en Buscar ahora.
En las fichas Equipos desconocidos o Equipos no administrados, realice una

de las siguientes acciones:
Marque cada equipo en el cual usted desee instalar el software de cliente.
Haga clic en Seleccionar todo.

Bajo Instalacin, seleccione el paquete de instalacin, la opcin de instalacin

y las funciones que usted desea instalar.
Para instalar a un grupo que no sea el grupo temporal, haga clic en Cambiar,
seleccione un grupo diferente y haga clic en Aceptar.
Cuando est listo para instalar, haga clic en Iniciar la instalacin.

En vez de seleccionar los equipos durante la instalacin del Asistente de
implementacin mediante transferencia, es posible importar una lista de equipos.
Crear un archivo de texto de equipos para instalar

Es posible crear un archivo de texto de las direcciones IP de los equipos, importar
este archivo de texto durante la implementacin del Asistente de implementacin
mediante transferencia e implementar el software de cliente en los equipos
especificados. Es posible tambin crear el archivo de texto exportando una lista
de equipos que usted escribi uno por uno en un archivo de texto antes de que
comience la implementacin.
Nota: No se recomienda crear un archivo de texto de direcciones IP para los equipos
que reciben direcciones IP asignadas por DHCP.
Para crear un archivo de texto con direcciones IP para su importacin
En un editor de texto, como el Bloc de notas, cree un archivo de texto nuevo.
Escriba las direcciones IP de cada uno de los equipos que desee importar en
lneas distintas.
Por ejemplo:
192.168.1.1
192.168.1.2
192.168.1.3
Puede marcar como comentario las direcciones IP que no desee importar,
utilizando para ello un punto y coma (;) o dos puntos (:) delante de cada
direccin. Por ejemplo, si en la lista de equipos ha incluido direcciones de
equipos ubicados en una subred cuyo servicio sabe que se ha interrumpido,
puede marcarlas como comentario para eliminar errores.
Guarde el archivo en un directorio.
119
120

Acerca de la instalacin y la implementacin de software con Altiris
Importar un archivo de texto de los equipos que desea instalar

Se importa el archivo de texto durante la instalacin del Asistente de
implementacin mediante transferencia.
Para importar un archivo de texto de los equipos que desea instalar
En el panel Seleccin de equipos, haga clic en Seleccionar.
En el cuadro de dilogo Detalles del cliente, haga clic en Importar.
Localice el archivo de texto que contenga las direcciones IP y haga doble clic
en l.
Durante el proceso de autenticacin, es posible que deba indicar un nombre
de usuario y una contrasea para los equipos que lo requieran. El programa
de instalacin tambin comprueba las condiciones de error. Se le preguntar
si desea ver esta informacin equipo por equipo o si prefiere que se escriba
la informacin en un archivo de registro para consultarlo posteriormente.
Finalice la instalacin.
Acerca de la instalacin y la implementacin de

software con Altiris
Es posible instalar e implementar el software de cliente de Symantec usando el
software de Altiris, que ahora es parte de Symantec. Altiris proporciona un
componente integrado gratuito para Symantec Endpoint Protection que
proporciona funcionalidades de instalacin predeterminadas, administracin
integrada de clientes y elaboracin de informes de alto nivel.
El software de Altiris permite a las organizaciones de tecnologa de la informacin
administrar, proteger y proporcionar servicios a activos de TI heterogneos.
Tambin admite transferencia de software, administracin de parches,
aprovisionamiento y muchas otras funcionalidades de administracin. El software
de Altiris ayuda a alinear servicios para conducir objetivos de negocio, proporcionar
niveles de seguridad adecuados para auditoras, automatizar tareas y reducir los
costos y la complejidad de la administracin.
Para obtener informacin sobre el componente integrado para Symantec Endpoint
Protection, consulte https://kb.altiris.com/article.asp?article=35819&p=1.
Para obtener informacin sobre Altiris, consulte http://www.altiris.com.
Para descargar el componente de integracin para Symantec Endpoint Protection
u otras soluciones de Altiris, consulte http://www.altiris.com/Download.aspx.


El software de cliente de Symantec admite opciones de instalacin de otros
fabricantes que es posible utilizar para implementar el software de cliente. Esta
ayuda, sin embargo, requiere un conocimiento avanzado de Windows o de las
herramientas de administracin de otros fabricantes. Estas opciones resultan
especialmente tiles para la instalacin de software de cliente de Symantec en
redes de mayor tamao.
Acerca de la instalacin de clientes mediante productos de otros

fabricantes
Es posible instalar los clientes de Symantec utilizando distintos productos de
otros fabricantes, como Microsoft Active Directory, Tivoli, Microsoft Systems
Management Server (SMS) o Novell ZENworks. Los nicos productos de otros
fabricantes probados y admitidos son Novell ZENworks, Microsoft Active Directory
y Microsoft SMS.
Acerca de la personalizacin de las instalaciones mediante opciones

de .msi
Los paquetes de instalacin de clientes de Symantec son archivos de Windows
Installer (.msi) que se pueden configurar e implementar mediante las opciones
estndar de Windows Installer. Se pueden utilizar las herramientas de
administracin de entornos que admitan la implementacin de .msi, como Active
Directory o Tivoli, para instalar los clientes en una red.
Ver "Acerca de la configuracin de cadenas de comando de MSI" en la pgina 199.
Acerca de la instalacin de clientes con Microsoft SMS 2003

Los administradores del sistema pueden utilizar Microsoft Systems Management
Server (SMS) para instalar el software de cliente de Symantec. Se asume que los
administradores del sistema que utilizan SMS han instalado previamente software
con SMS. Como resultado, se asume que no es necesario proporcionar informacin
detallada acerca de la instalacin de software de cliente de Symantec con SMS.
El software de instalacin de clientes de Symantec requiere que Microsoft Installer
3.1 est ejecutndose en los equipos cliente antes de la instalacin. Este software
se instala automticamente, si no estaba instalado, en los equipos cliente, pero
solamente cuando se implementa con un solo archivo ejecutable setup.exe. Este
software no se instala automticamente si se implementa con el archivo MSI. Los
equipos con Windows Server 2003 con Service Pack 2 y Windows Vista incluyen
Microsoft Installer 3.1 o superior. Si es necesario, primero implemente el archivo
121
122

WindowsInstaller-x86.exe incluido en los directorios de instalacin SEP y SNAC

del CD de instalacin. La actualizacin a MSI 3.1 tambin implica reiniciar el
equipo.
Para crear y distribuir el software de cliente de Symantec con SMS 2003,
generalmente debe realizar las tareas siguientes:
Cree un paquete de instalacin de software con la Consola de Symantec

Endpoint Protection Manager que contenga el software y las polticas que
desee instalar en sus equipos cliente. Adems, este paquete de instalacin de
software debe contener un archivo denominado Sylink.xml, que identifica el
servidor que administra los clientes.
Cree un directorio de origen y copie los archivos de instalacin de clientes de

Symantec en ese directorio. Por ejemplo, se creara un directorio de origen que
contiene los archivos de instalacin para el software de cliente de Symantec.
Cree un paquete, asgnele un nombre e identifique el directorio de origen como

parte del paquete.
Configure el cuadro de dilogo Programa para el paquete a fin de especificar

el ejecutable que inicia el proceso de instalacin y especifique el MSI con
parmetros.
Distribuya el software en colecciones especficas con anuncios.
Nota: (Esta nota se aplica a la versin 2.0 de SMS y anteriores). Si realiza la

implementacin de archivos mediante SMS, deber deshabilitar la funcin para
mostrar el icono de estado en la barra de herramientas para cualquier actividad
del sistema en los clientes en el Monitor de programas anunciados. En ocasiones,
Setup.exe podra necesitar actualizar un archivo compartido que est en uso por
el Monitor de programas anunciados. Si se est usando el archivo, no se podr
llevar a cabo la instalacin.
Advertencia: No instale un paquete creado con archivos de instalacin copiados

desde el CD de instalacin o de otros soportes, sin incluir Sylink.xml. Es necesario
incluir un archivo Sylink.xml que se crea despus de instalar y de usar la Consola
de Symantec Endpoint Protection Manager. Como mnimo, este archivo identifica
el servidor de administracin al cual los clientes informarn. Si no se incluye este
archivo y se instala un paquete que fue creado solamente con los archivos de
instalacin, se instalarn clientes no administrados. Como resultado, usted podra
instalar 1000 o ms clientes no administrados con las opciones predeterminadas,
si administra una empresa grande.

Si desea ms informacin sobre el uso de SMS, consulte la documentacin de

Systems Management Server de Microsoft.
Instalar clientes con un Objeto de directiva de grupo de Active Directory

Es posible instalar el software de cliente de Symantec usando un Objeto de directiva
de grupo (GPO, Group Policy Object) de Active Directory de Windows 2000/2003.
La manera ms fcil de implementar la poltica de grupo es con la Consola de
administracin de directivas de grupo de Microsoft con Service Pack 1 o posterior.
Este software est disponible gratuitamente en el sitio Web de Microsoft y se
ejecuta en Windows Server 2003. En los procedimientos para instalar el software
de cliente con un Objeto de directiva de grupo de Active Directory, se asume que
usted ha instalado este software y que utiliza Windows 2003 Active Directory.
Para instalar el software de cliente de Symantec usando un Objeto de directiva de
grupo de Active Directory, es necesario hacer lo siguiente:
Crear la imagen de instalacin administrativa
Copiar Sylink.xml a los archivos de instalacin
Establecer la imagen de instalacin administrativa
Crear una distribucin de software de objeto de directiva de grupo
Crear un script de inicio de Windows Installer 3.1
Agregar equipos a la unidad organizativa

El software de instalacin requiere que los equipos cliente contengan y puedan
ejecutar Windows Installer 3.1 o posterior. De forma predeterminada, los equipos
cliente cumplen este requisito si ejecutan Windows XP con Service Pack 2 y
posterior, Windows 2003 Server con Service Pack 1 y posterior, y Windows Vista.
Si los equipos cliente no cumplen este requisito, el resto de los mtodos de
instalacin instalan automticamente Windows Installer 3.1 inicindolo desde
los archivos de instalacin.
Por motivos de seguridad, los objetos de directiva de grupo de Windows no
permiten el inicio del archivo ejecutable WindowsInstaller*.exe desde los archivos
de instalacin. Por lo tanto, antes de instalar el software de cliente de Symantec,
es necesario ejecutar este archivo en los equipos que no contienen y no ejecutan
Windows Installer 3.1. Es posible ejecutar este archivo con un script de inicio del
equipo. Antes de que decida utilizar objeto de directiva de grupo como mtodo de
instalacin, debe desarrollar un enfoque para actualizar los equipos cliente que
no contienen ni ejecutan Windows Installer 3.1.
123
124

La instalacin de clientes de Symantec utiliza los archivos .msi estndar de

Windows Installer. Como resultado, es posible personalizar la instalacin de
clientes con las propiedades y las funciones de .msi segn se explica en el apndice
A.
Por ltimo, confirme que el servidor DNS est instalado correctamente. Es muy
importante que la instalacin sea correcta, ya que Active Directory depende del
servidor DNS para la comunicacin de los equipos. Para probar el programa de
instalacin, establezca una comunicacin ping con el equipo de Windows Active
Directory y despus establezca una comunicacin ping en la direccin opuesta.
Use el nombre de dominio completo; si se utiliza solamente el nombre del equipo,
no se generar una nueva bsqueda de DNS. Utilice el siguiente formato:
ping nombreequipo.nombredominiocompleto.com
Es necesario tambin probar la instalacin de GPO con una pequea cantidad de

equipos antes de implementarlo en los equipos de produccin. Si el DNS no se
configura correctamente, las instalaciones de GPO pueden tardar una hora o ms.
Crear la imagen de instalacin administrativa

Las instalaciones Objeto de directiva de grupo que utilizan Windows Installer 3.0,
o una versin anterior, requieren imgenes administrativas de los archivos de
instalacin de clientes. Esta imagen no es un requisito para las instalaciones en
la versin 3.1 y posteriores, y es opcional. Si no se crea la imagen administrativa,
igual es necesario copiar el contenido de la carpeta de SEP del CD al equipo.
Para crear la imagen de instalacin administrativa
Copie el contenido de la carpeta SEP del CD a su equipo.
Desde una lnea de comandos, dirjase a la carpeta SEP y escriba msiexec /a

"Symantec AntiVirus.msi"
En el panel Ubicacin de red, especifique la ubicacin donde desea crear la

imagen de instalacin administrativa y, a continuacin, haga clic en Instalar.
Haga clic en Finalizar.

La imagen de instalacin administrativa se crea en la ubicacin que se
especific.
Copiar Sylink.xml a los archivos de instalacin

Cuando se instala una instancia de Symantec Endpoint Protection Manager, la
instalacin crea un archivo denominado Sylink.xml. Los clientes de Symantec
leen el contenido de este archivo para saber qu instancia de Symantec Endpoint

Protection Manager administra el cliente. Si no copia este archivo a los archivos

de instalacin antes de instalar el software de cliente, se crearn clientes no
administrados. Si no ha creado por lo menos un grupo nuevo con la consola de
administracin, el archivo Sylink.xml hace que los clientes aparezcan en el grupo
temporal.
Nota: Esta informacin no se aplica a los paquetes que se exportan con la Consola
de Symantec Endpoint Protection Manager. Estos paquetes contienen sylink.xml.
Para copiar Sylink.xml a los archivos de instalacin
Si an no lo ha hecho, instale Symantec Endpoint Protection Manager.
Localice un archivo Sylink.xml en una de las carpetas de la bandeja de salida.

De forma predeterminada, estas carpetas se encuentran en \\Program
Files\Symantec\Symantec Endpoint Protection
Manager\data\outbox\agent\<uid>\. Es posible que deba abrir y leer los
archivos Sylink.xml en los diversos archivos <uid> con un programa de edicin
de texto para encontrar el archivo deseado.
Si es necesario, copie Sylink.xml en soportes extrables.
Copie Sylink.xml usando uno de los siguientes mtodos:
Si cre una imagen administrativa del archivo de instalacin, sobrescriba

el archivo Sylink.xml en la carpeta \\<directorio_instalacin>\Program
Files\Symantec Endpoint Protection Manager\.
Si no cre una imagen administrativa del archivo de instalacin, copie el

contenido de la carpeta SEP del CD a una carpeta de destino en su equipo.
A continuacin, copie el archivo Sylink.xml en esa carpeta de destino.
Preparar los archivos de instalacin

Preparar los archivos de instalacin implica compartir la carpeta que contiene o
contendr los archivos de instalacin de clientes.
Para preparar los archivos de instalacin
Si es necesario, copie la carpeta que contiene los archivos de instalacin de

clientes a una carpeta que est compartida o vaya a estarlo.
Haga clic con el botn secundario en la carpeta y despus haga clic en

Compartir y seguridad.
En el cuadro de dilogo Propiedades, en la ficha Uso compartido, marque

Compartir esta carpeta y despus haga clic en Permisos.
125
126

En el cuadro de dilogo Permisos, bajo Nombres de grupos o usuarios, haga

clic en Todos y despus haga clic en Quitar.
Haga clic en Agregar.
Bajo Escribir los nombres de objeto para seleccionar, escriba Usuarios

autentificados y haga clic en Comprobar nombres.
Escriba Equipos del dominio, haga clic en Comprobar nombres y despus

En el cuadro de dilogo Permisos, haga clic en Aplicar y despus haga clic en

Aceptar.
Crear una distribucin de software de objeto de directiva de

grupo
En este procedimiento, se asume que usted ha instalado la Consola de
administracin de directivas de grupo de Microsoft con Service Pack 1 o mayor.
En este procedimiento, tambin se asume que hay equipos en el grupo de equipos
o en otro grupo en los cuales se desea instalar el software de cliente. Arrastre
estos equipos a un nuevo grupo que cree.
Nota: Si se habilita el Control de cuentas de usuario (UAC), es necesario habilitar
Instala siempre con privilegios elevados en Configuracin del equipo y
Configuracin de usuario a fin de instalar el software de cliente de Symantec con
un GPO. Configurar estas opciones permite que todos los usuarios de Windows,
incluidos los usuarios estndar, instalen el software de cliente de Symantec.
Para crear un paquete de GPO
En la barra de tareas de Windows, haga clic en Inicio > Programas >

Herramientas administrativas > Administracin de directivas de grupo.
En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola,

haga clic con el botn secundario en el dominio y despus haga clic en
Usuarios y equipos de Active Directory.
En la ventana Usuarios y equipos de Active Directory, haga clic con el botn

secundario en Dominio y despus haga clic en Nueva > Unidad organizativa.
En el cuadro de dilogo Nuevo objeto, en el cuadro Nombre, escriba un nombre

para su unidad organizativa y haga clic en Aceptar.
En la ventana Usuarios y equipos de Active Directory, haga clic en Archivo

> Salir.

En la ventana Administracin de directivas de grupo, en el rbol de la consola,

haga clic con el botn secundario en la unidad organizativa que usted cre y
despus haga clic en Crear y vincular un GPO aqu.
Puede ser necesario actualizar el dominio para ver su nueva unidad
organizativa.
En el cuadro de dilogo Nuevo GPO, en el cuadro Nombre, escriba un nombre

para su GPO y haga clic en Aceptar.
En el panel derecho, haga clic con el botn secundario en el GPO que usted
cre y despus haga clic en Editar.
En la ventana Editor de objetos de directiva de grupo, en el panel izquierdo,

bajo Configuracin del equipo, ample Configuracin de software.
10 Haga clic con el botn secundario en Instalacin de software y, a continuacin,

haga clic en Nuevo > Paquete.
11 En el cuadro de dilogo Abrir, escriba la ruta de convencin de nomenclatura

universal (UNC) que hace referencia al paquete de MSI y lo contiene.
Utilice el formato segn el ejemplo siguiente:
\\<nombre de servidor>\<SharedDir>\Symantec AntiVirus.msi
12 Haga clic en Abrir.

13 En el cuadro de dilogo Implementar software, haga clic en Asignado y
despus haga clic en Aceptar.
El paquete aparece en el panel derecho de la ventana Editor de objetos de
directiva de grupo si usted selecciona Instalacin de software.
127
128

Para configurar plantillas para el paquete
En la ventana Editor de objetos de directiva de grupo, en el rbol de la consola,

muestre y habilite las opciones siguientes:
Configuracin del
equipo >
Plantillas
Componentes de
administrativas > Windows >
Windows Installer Instalar siempre con privilegios

>
elevados
Configuracin del
equipo >
Plantillas
Sistema >
administrativas >
Inicio de sesin >
Configuracin del
equipo >
Plantillas
Sistema >
administrativas >
Directiva de grupo Procesamiento de directivas de

>
instalacin de software
Configuracin de
usuario >
Plantillas
Componentes de
administrativas > Windows >
Windows Installer Instalar siempre con privilegios

>
elevados
Esperar siempre la deteccin de

red al inicio del equipo y de
sesin >
Cierre la ventana del Editor de objetos de directiva de grupo.
En la ventana Administracin de directivas de grupo, en el panel izquierdo,

haga clic con el botn secundario en el objeto de directiva de grupo que usted
edit y despus haga clic en Forzado.
En el panel derecho, bajo Filtrado de seguridad, haga clic en Agregar.
En el cuadro de dilogo, bajo Escriba el nombre de objeto a seleccionar, escriba

Equipos del dominio y haga clic en Aceptar.
Crear un script de inicio de Windows Installer 3.1

Es necesario instalar Windows Installer 3.1 en los equipos que contienen y ejecutan
versiones anteriores de Windows Installer. Es posible visualizar las versiones de
Windows Installer ejecutando msiexec /? en una lnea de comandos. Por motivos
de seguridad, el paquete de instalacin de GPO que usted cre y que ejecuta los
archivos de instalacin .msi no puede instalar Windows Installer 3.1, que es un
requisito previo. Usted puede elegir la forma en que se instale Windows Installer
3.1 en los equipos.
Nota: Los usuarios restringidos no pueden ejecutar Windows Installer 3.1, y los
usuarios restringidos con privilegios elevados no pueden ejecutar Windows
Installer 3.1. Los usuarios restringidos se configuran con la poltica de seguridad
local.
Una forma de instalar Windows Installer 3.1 es con un script de inicio del equipo
de GPO. Los scripts de inicio se ejecutan antes que los archivos de instalacin .msi

de GPO cuando los equipos se reinician. Si se utiliza este enfoque, tenga en cuenta
que el script de inicio ejecuta y reinstala Windows Installer cada vez que se reinicia
el equipo. Si lo instala en modo silencioso, sin embargo, los usuarios experimentan
un retraso leve antes de ver la pantalla de inicio de sesin. El software de cliente
de Symantec se instala solamente una vez con un GPO.
Para instalar Windows Installer 3.1

ample su unidad organizativa, haga clic con el botn secundario en su paquete
y despus haga clic en Editar.
En la ventana Editor de objetos de directiva de grupo, en el rbol de la consola,

expanda Configuracin del equipo > Configuracin de Windows y despus
haga clic en Scripts (Inicio/Cierre).
En el panel derecho, haga doble clic en Inicio.
En el cuadro de dilogo Propiedades de inicio, haga clic en Mostrar archivos.
En una nueva ventana, visualice el contenido de su carpeta de archivo de

instalacin de GPO y despus copie WindowsInstaller-893803-x86.exe desde
esa ventana y carpeta a la ventana y carpeta Inicio.
Vuelva a abrir el cuadro de dilogo Propiedades de inicio y haga clic en

Agregar.
En el cuadro de dilogo Agregar un script, haga clic en Examinar.
En el cuadro de dilogo Examinar, seleccione el archivo ejecutable de Windows

Installer y despus haga clic en Abrir.
En el cuadro de dilogo Agregar un script, en el cuadro Parmetros de script,

escriba /quiet /norestart y haga clic en Aceptar.
10 En el cuadro de dilogo Propiedades de inicio, haga clic en Aceptar.

11 Salga de la ventana del administrador de objetos de directiva de grupo.
Agregar equipos a la unidad organizativa y software de

instalacin
Est ya listo para agregar equipos a la unidad organizativa. Cuando los equipos
se reinician, el proceso de instalacin de software de cliente comienza. Cuando
los usuarios inician sesin en los equipos, el proceso de instalacin de software
de cliente termina. La actualizacin de la poltica de grupo, sin embargo, no es
instantnea. Por lo tanto, la propagacin de esta poltica puede tardar un tiempo.
Este procedimiento, sin embargo, contiene los comandos que es posible ejecutar
en los equipos cliente para actualizar la poltica cuando lo necesite.
129
130

Para agregar los equipos a la unidad organizativa e instalar software

Herramientas administrativas > Usuarios y equipos de Active Directory.
En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola,

localice uno o ms equipos para agregarlos a la unidad organizativa que usted
cre para la instalacin de GPO.
Los equipos primero aparecen en la unidad organizativa de los equipos.
Arrastre los equipos y sultelos en la unidad organizativa que usted cre para
la instalacin.
Cierre la ventana Usuarios y equipos de Active Directory.
Para aplicar rpidamente los cambios a los equipos cliente (para la prueba),
visualice una lnea de comandos en los equipos cliente.
Escriba uno de los siguientes comandos y presione Intro.
En los equipos con Windows 2000, escriba secedit /refreshpolicy

machine_policy.
En los equipos con Windows XP o superior, escriba gpupdate.

Cuando se inicie el equipo cliente, se instalar el paquete de software cliente
antes del inicio de sesin.
Desinstalar el software de cliente con un Objeto de directiva de grupo

de Active Directory
Es posible tambin desinstalar el software de cliente que se instal con Active
Directory.
Para desinstalar el software de cliente con un Objeto de directiva de grupo de Active
Directory

Herramientas administrativas > Administracin de directivas de grupo.

expanda el dominio, Configuracin del equipo y Configuracin de software,
haga clic con el botn secundario en Instalacin de software y despus haga
clic en Propiedades.
En la ficha Avanzadas, marque Desinstalar esta aplicacin cuando est fuera

del mbito de administracin y despus haga clic en Aceptar.

En el panel derecho, haga clic con el botn secundario en el paquete de

software y despus haga clic en Quitar.
En el cuadro de dilogo Quitar software, marque Desinstalar inmediatamente

el software de usuarios y equipos y despus haga clic en Aceptar.
Cierre la ventana Editor de objetos de directiva de grupo y despus cierre la

ventana Administracin de directivas de grupo.
El software se desinstala cuando se reinician los equipos cliente.

Es posible desinstalar el software de cliente con la utilidad Agregar y quitar de
Windows. Si desinstala el software del cliente de Symantec Endpoint Protection
que ejecuta una poltica que bloquea dispositivos de hardware, los dispositivos
siguen siendo bloqueados despus de desinstalar el software. Para desbloquear
los dispositivos, utilice Herramientas administrativas > Administracin de equipos
> Administrador de dispositivos.
131
132

Captulo
Instalar los servidores de

Cuarentena y de LiveUpdate
Instalar y configurar la Cuarentena central
Acerca del uso de un servidor de Symantec LiveUpdate
Instalar y configurar un servidor de LiveUpdate
Desinstalar componentes de administracin de Symantec Endpoint Security

Symantec Endpoint Protection y Symantec Network Access Control incluyen los
componentes de administracin opcionales que es posible utilizar como ayuda
para administrar clientes y servidores. Symantec Endpoint Protection incluye los
servidores de administracin de Cuarentena central y de LiveUpdate. Symantec
Network Access Control incluye un servidor de administracin de LiveUpdate
solamente. Una administracin de LiveUpdate es especialmente til en las redes
grandes que contienen varios productos de Symantec que ejecutan LiveUpdate.
Nota: En redes de menor tamao, estos componentes no son necesarios.

El Servidor de cuarentena recibe envos de virus y riesgos de seguridad de los
clientes de Symantec Endpoint Protection y transmite estos envos a Symantec.
134

La consola de cuarentena le permite administrar el Servidor de cuarentena y estos

envos. Si determina que la red requiere una ubicacin centralizada para todos
los archivos en cuarentena, puede instalar Cuarentena central.
La Cuarentena central se compone del Servidor de cuarentena y la consola de
cuarentena. La consola y el Servidor de cuarentena se pueden instalar en el mismo
equipo o en equipos distintos con los sistemas operativos de Windows admitidos.
Nota: Si instala el Servidor de cuarentena o la consola de cuarentena desde las
carpetas de instalacin individuales del CD, ejecute Setup.exe en lugar de ejecutar
el archivo .msi. Al utilizar Setup.exe, se garantiza que se instalen todos los archivos
que Windows Installer necesita en el equipo de destino antes de ejecutar el paquete
de instalacin .msi.
Para obtener informacin ms detallada, consulte la Gua de administracin de
Cuarentena central de Symantec en el CD de instalacin.
Para instalar la Cuarentena central, se deben realizar las tareas siguientes en el
orden en que se mencionan:
Instalar la consola de cuarentena
Instalar el Servidor de cuarentena
Configurar los grupos para que utilicen Cuarentena central
Nota: Instale la consola de cuarentena primero y luego instale el Servidor de

cuarentena. Si no sigue este orden, AMS no se configura correctamente. Si no
sigue este orden y desea configurar correctamente AMS, asocie AMS con el Servidor
de cuarentena con propiedades de alerta. A continuacin, reinicie el Servidor de
cuarentena.
Instalar la consola de cuarentena

La consola de cuarentena le permite administrar envos al Servidor de cuarentena.

Para instalar la consola de cuarentena
En el equipo en el cual se instala la Consola de Symantec Endpoint Protection

Manager, inserte el CD de instalacin en la unidad de CD-ROM.
Si el equipo no est configurado para ejecutar automticamente el CD, tendr
que ejecutar manualmente Setup.exe.
En el panel principal, haga clic en Instalar otras herramientas para el

administrador > Instalar consola de Cuarentena central.
Siga las instrucciones que aparezcan en la pantalla para completar la

instalacin.
Instalar el Servidor de cuarentena

El Servidor de cuarentena recibe envos de virus. El Servidor de cuarentena requiere
reiniciar despus de la instalacin.
Para instalar el Servidor de cuarentena
Introduzca el CD de instalacin en la unidad de CD-ROM del equipo en el que

desee instalar el Servidor de cuarentena.
Si el equipo no est configurado para ejecutar automticamente el CD, tendr
que ejecutar manualmente Setup.exe.

administrador > Instalar servidor de Cuarentena central.
En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato
de licencia y, a continuacin, en Siguiente.
En el panel Carpeta de destino, realice una de las acciones siguientes:
Para aceptar la carpeta de destino predeterminada, haga clic en Siguiente.
Haga clic en Cambiar, localice una carpeta de destino y seleccinela, haga

clic en Aceptar y, a continuacin, en Siguiente.
En el panel Tipo de instalacin, seleccione lo siguiente:
Internet (recomendado) y haga clic en Siguiente.
Ya no se admite el correo electrnico.
En el panel Mximo espacio en disco, introduzca la cantidad de espacio en

disco que desea destinar en el servidor para los envos de Cuarentena central
por parte de los clientes y, a continuacin, haga clic en Siguiente.
135
136

En el panel Informacin de contacto, escriba el nombre de su empresa, el ID

o el nmero de cuenta de Symantec y la informacin de contacto y, a
continuacin, haga clic en Siguiente.

En el panel Comunicacin por Web, modifique la direccin de gateway si es

necesario y haga clic en Siguiente.
De forma predeterminada, el campo Nombre de gateway se completa con la
direccin de sta.
10 En el panel Configuracin de alertas, marque Activar alertas para utilizar

AMS2 y despus haga clic en Siguiente.
11 En el panel Preparado para instalar el programa, haga clic en Instalar y siga

las instrucciones de la pantalla para completar la instalacin.
12 Escriba la direccin o el nombre de host del equipo en el que haya instalado

el Servidor de cuarentena y el nmero de puerto.
Necesitar esta informacin cuando configure programas de cliente para
enviar elementos a Cuarentena central.

Adjuntar un servidor antivirus al Servidor de cuarentena le permite enviar archivos
infectados al Servidor de cuarentena. Para obtener detalles sobre la forma de
adjuntar un servidor que no se encuentre en el mismo equipo que el Servidor de
cuarentena, consulte la Gua del administrador de Cuarentena central de Symantec
en el CD de instalacin.
137
138

Para adjuntar un servidor antivirus a la Cuarentena central
Inicie Symantec Quarantine Console.
En el panel izquierdo, haga clic con el botn secundario en Symantec Central

Quarantine y, a continuacin, haga clic en Adjuntar al servidor.
En el panel Seleccin de equipo, haga clic en Este equipo y, a continuacin,

haga clic en Finalizar.
En el men Consola, haga clic en Guardar.
Configurar los grupos para que utilicen Cuarentena central

Para configurar las comunicaciones de red de Cuarentena central, es necesario
especificar el puerto en el cual el Servidor de cuarentena escucha. Es necesario
tambin crear y aplicar a un grupo una poltica antivirus que especifique el equipo
y el puerto del Servidor de cuarentena. Se configura el puerto de escucha del
Servidor de cuarentena con Symantec Quarantine Console y usted crea la poltica
antivirus con la Consola de Symantec Endpoint Protection Manager.
Nota: La interfaz del usuario de la consola de cuarentena permite seleccionar la
IP o el protocolo SPX, y especificar el nmero de puerto que se configura. Este
protocolo y nmero de puerto de IP es TCP. No seleccione SPX. Adems, el nmero
de puerto TCP que usted escribe no es el que aparece para el puerto de escucha
del Servidor de cuarentena cuando se visualiza con herramientas como netstat
-a. Por ejemplo, si usted escribe el nmero de puerto 33, netstat -a muestra el
puerto TCP 8448. Los nmeros hexadecimales y decimales se convierten y se
transportan incorrectamente. Para obtener ms informacin, consulte
http://entsupport.symantec.com/docs/n2000081412370148.
Para configurar el Servidor de cuarentena
En el panel izquierdo de la consola de Cuarentena central de Symantec, en el

rbol de raz de la consola, haga clic con el botn secundario en Symantec
Central Quarantine y, a continuacin, haga clic en Propiedades.
En la ficha General, bajo Protocolos, marque Escucha en IP.

SPX ya no se admite.

En el cuadro Puerto de Escucha en IP, escriba el nmero de puerto en el cual

se escucharn los envos de clientes.
Este nmero de puerto es TCP/IP. No escriba un nmero de puerto conocido
asignado por IANA sin saber si se utiliza en su red. Por ejemplo, no escriba
el nmero de puerto 21 porque est reservado para las comunicaciones FTP.
Para configurar una poltica antivirus

Polticas.
En el panel Ver polticas, haga clic en Antivirus.
En la seccin inferior izquierda del panel Qu desea hacer?, haga clic en

Agregar una poltica antivirus.
Es posible tambin editar una poltica ya existente.
En la ventana Poltica antivirus, en el panel izquierdo, haga clic en Envos.
Bajo Elementos en cuarentena, marque Permitir que los equipos cliente

enven automticamente elementos de la cuarentena a un servidor de
cuarentena.
En el cuadro de nmero Servidor, escriba el nombre de dominio completo o

la direccin IP del Servidor de cuarentena.
En el cuadro de nmero Puerto, acepte o modifique el nmero de puerto

predeterminado.
En el cuadro Reintentar, acepte o modifique el intervalo de reintento cuando

haya errores en las comunicaciones del Servidor de cuarentena.
En la lista desplegable Protocolo, verifique que solamente IP est seleccionado.

11 Aplique la poltica a uno o ms grupos.

LiveUpdate es la utilidad que actualiza los equipos cliente con definiciones de
antivirus, firmas de deteccin de intrusiones, parches de producto, etc. En entornos
no administrados, LiveUpdate generalmente se configura en los equipos cliente
para conectarse directamente a los servidores de Symantec LiveUpdate. En
entornos administrados de redes pequeas a medianas, LiveUpdate generalmente
se configura en los equipos cliente para conectarse a Symantec Endpoint Protection
Manager.
139
140

En redes grandes administradas, los problemas de conservacin de ancho de banda

a travs de gateways de Internet pueden ser muy importantes. Cuando estos
problemas son importantes, es posible instalar y configurar uno o varios servidores
de LiveUpdate para descargar actualizaciones. A continuacin, es posible distribuir
las actualizaciones a los servidores de administracin o directamente a los clientes.
La Figura 6-1 ilustra las tres arquitecturas de red que admiten los servidores de
LiveUpdate.
Figura 6-1
Arquitecturas de distribucin de LiveUpdate
Symantec
LiveUpdate
Servidor de administracin
Servidor proxy de LiveUpdate

Grupo de clientes
Grupo de clientes
Grupo de clientes

La arquitectura de la izquierda es la ms simple de implementar. Para

implementarla, usted modifica una opcin para el sitio de administracin. La
arquitectura del centro es un poco ms difcil de implementar. Para implementarla,
usted modifica una opcin para el sitio de administracin y modifica la poltica
de LiveUpdate que se aplica al grupo. La arquitectura de la derecha es la ms difcil
de implementar e incluye un servidor proxy de LiveUpdate.
Nota: Esta gua de instalacin no describe cmo configurar los sitios o las polticas
de Symantec Endpoint Protection para implementar estas arquitecturas de
LiveUpdate. Esta gua de instalacin describe cmo instalar solamente la utilidad
de administracin de LiveUpdate y el Servidor. Para implementar completamente
estas arquitecturas de LiveUpdate, consulte la Gua de administracin de Symantec
Endpoint Protection. Localice y lea el captulo acerca de la actualizacin de
contenido y componentes.

El servidor de LiveUpdate se instala cuando usted instala la utilidad de
administracin de LiveUpdate. Despus de instalar el servidor de LiveUpdate,
configrelo para que descargue actualizaciones con la utilidad de administracin
de LiveUpdate. De acuerdo con la arquitectura, usted configura su sitio o sus
clientes de administracin para que obtengan actualizaciones de su servidor de
LiveUpdate. Para obtener informacin, vea la Gua de administracin de Symantec
Endpoint Protection .
Para obtener informacin ms detallada sobre cmo utilizar la utilidad de
administracin de LiveUpdate, consulte la Gua de administracin de LiveUpdate
en el CD de instalacin.
Para instalar el servidor de LiveUpdate
Introduzca el CD de instalacin en la unidad de CD-ROM.

administrador > Instalar Administrador de LiveUpdate.
Siga las instrucciones que aparezcan en la pantalla para completar la

instalacin.
141
142

Desinstalar componentes de administracin de Symantec Endpoint Security
Para configurar el servidor de LiveUpdate para descargar actualizaciones
En la barra de tareas de Windows, haga clic en Inicio > Todos los programas
> Utilidad de administracin de LiveUpdate > Utilidad de administracin
de LiveUpdate.
En la ventana Utilidad de administracin de LiveUpdate, en el panel izquierdo,

haga clic en Obtener las actualizaciones.
En la ventana Utilidad de administracin de LiveUpdate, bajo Idiomas de las

actualizaciones, seleccione el idioma para los paquetes descargados.
En Lnea de productos de Symantec, marque las lneas de productos de

Symantec para las que desee recibir paquetes.
Si hace clic en Detalles, puede optar por actualizar componentes de productos
individuales, pero corre el riesgo de perder otras actualizaciones disponibles.
Por ejemplo, es posible que los nuevos archivos de definiciones de virus de
Symantec Endpoint Protection requieran una actualizacin del motor que
tambin se encuentre disponible.
Puesto que todos los productos de Symantec instalados que utilicen
LiveUpdate harn referencia al servidor de la intranet, resulta ms seguro
descargar lneas de productos completas que productos individuales.
Bajo Directorio de descarga, escriba o seleccione el directorio de descarga en

su servidor de LiveUpdate.
sta es la ubicacin donde se almacenarn los paquetes de actualizacin y
los archivos de definiciones de virus una vez que se hayan descargado de
Symantec. (Los archivos se descargan primero a un directorio temporal creado
con la utilidad de administracin de LiveUpdate. Cuando el archivo se ha
descargado por completo, pasa al directorio de descarga especificado). El
directorio de descarga puede ser cualquiera de los que haya en el servidor.
Desinstalar componentes de administracin de

Symantec Endpoint Security
Puede desinstalar todos los componentes de administracin de Symantec Endpoint
Security mediante la opcin Agregar o quitar programas del Panel de control del
equipo local.
Captulo
Migrar de Symantec
AntiVirus y Symantec Client
Security
Descripcin y secuencia de migracin
Rutas de migracin compatibles e incompatibles
Preparar instalaciones de versiones anteriores para la migracin
Acerca de migrar y no conservar los servidores y los grupos de clientes y la

configuracin
Acerca de la migracin de grupos y opciones
Acerca de las opciones que no se migran
Acerca de los paquetes y la implementacin
Migrar opciones de configuracin de grupos de clientes y servidores
Verificar la migracin y actualizar polticas migradas
Migrar clientes no administrados
Qu se ha modificado para los administradores de versiones anteriores
144
Migrar de Symantec AntiVirus y Symantec Client Security


Lea toda la informacin de este captulo antes de migrar clientes y servidores de
versiones anteriores de Symantec AntiVirus y Symantec Client Security. Tambin,
pruebe todos los procedimientos de este captulo en un entorno de prueba antes
de migrar clientes y servidores de versiones anteriores de Symantec AntiVirus y
Symantec Client Security.
Siga esta secuencia para crear su entorno de prueba y probar la migracin:
Cree un entorno de prueba de por lo menos tres equipos. Si es posible, cree un

entorno de prueba que se asemeje a su infraestructura de administracin. Si
tiene varios servidores de administracin, instale varios servidores de
administracin. Por ejemplo, si tiene varios grupos de servidores, cree varios
grupos de servidores.
Instale una versin anterior compatible de Symantec System Center, un

servidor de administracin primario y un cliente administrado en diversos
equipos de prueba.
Desinstale el servidor de informes, si lo instal.
Utilice Symantec System Center para configurar las opciones del servidor de
administracin y el cliente que prepara la migracin.
Instale Symantec Endpoint Protection Manager en un equipo de su entorno

de prueba e inicie sesin.
A continuacin, decida si desea migrar sus grupos y opciones de Symantec System

Center a Symantec Endpoint Protection Manager. Si no desea migrar sus grupos
y opciones, es posible crear nuevos grupos, polticas y paquetes de instalacin con
Symantec Endpoint Protection Manager. Despus, migre los clientes y los
servidores de versiones anteriores, desinstale Symantec System Center y migre
el cliente o el servidor de una versin anterior que protege ese equipo.
Si desea migrar sus grupos y opciones, es necesario entender cmo se migran los
grupos y las opciones, y cmo se implementan en clientes y servidores de versiones
anteriores. Especficamente, es necesario entender lo siguiente:
Lea las opciones para migrar opciones de grupo de Symantec System Center
a las polticas de la Consola de Symantec Endpoint Protection Manager.
Lea cmo se crean los paquetes de instalacin de clientes, dnde se encuentran

y cmo afectan a los equipos cliente despus de la migracin.
Si no implementa los paquetes de instalacin de clientes con herramientas de

otros fabricantes, tales como SMS, lea y comprenda sus opciones para usar el
Asistente de implementacin mediante transferencia para implementar
paquetes de instalacin de clientes.

En particular, piense si desea exportar una lista de equipos cliente a un archivo

de texto desde Symantec System Center para cada servidor de administracin
y, despus, importe este archivo al Asistente de implementacin mediante
transferencia para la implementacin.
Utilice el Asistente de instalacin y migracin para realizar la migracin en

este entorno de prueba y crear sus paquetes de instalacin de clientes.
Decida qu paquetes de instalacin se implementarn para la migracin.
Despus de crear los paquetes de instalacin y decidir cules se implementarn

en los clientes y servidores de administracin de versiones anteriores, se
recomienda implementar los paquetes y verificar la implementacin de stos en
la secuencia siguiente:
Implemente un paquete de instalacin de clientes en uno o ms clientes y

verifique que los clientes aparecen en los grupos correctos en la Consola de
Verifique que la configuracin de LiveUpdate y de la poltica antivirus y contra

software espa para el cliente se haya migrado correctamente.
Implemente un paquete de instalacin de clientes en uno o ms servidores de

administracin de versiones anteriores y verifique que stos aparecen en los
grupos correctos en la Consola de Symantec Endpoint Protection Manager.
Verifique que la configuracin de LiveUpdate y de la poltica antivirus y contra

software espa para el servidor se haya migrado correctamente.
Desinstale Symantec System Center.
Instale un paquete de instalacin de clientes en el equipo que ejecut Symantec

System Center.
Finalmente, si modific las opciones de Symantec System Center segn las

recomendaciones para la migracin, localice estas opciones en LiveUpdate y las
polticas antivirus y contra software espa. A continuacin, recupere la
configuracin original. Por ejemplo, una recomendacin era deshabilitar los
anlisis programados, que deben volver a habilitarse en las polticas antivirus y
contra software espa para cada grupo. Cuando se sienta cmodo y confiado con
la migracin en su entorno de prueba, estar listo para comenzar la migracin de
su red de produccin.

Entienda qu migraciones son compatibles, cules se bloquean y cules son
incompatibles. Si tiene software de una versin anterior que bloquea la migracin,
es necesario desinstalar este software. Si tiene software de una versin anterior
145
146

que no es compatible con la migracin, decida si desea desinstalarlo. Por ejemplo,

si ejecuta Symantec AntiVirus en equipos con NetWare, probablemente desee
guardar el software de versin anterior que se ejecuta en esos equipos.
Migraciones compatibles
Las rutinas de instalacin de clientes comprueban la existencia del siguiente
software y migran el software si se detecta:
Cliente y servidor de Symantec AntiVirus 9.x y posterior
Cliente y servidor de Symantec Client Security 2.x y posterior
Migraciones que se bloquean

Las rutinas de instalacin de clientes comprueban la existencia del siguiente
software y bloquean la migracin si se detecta el software:
Cliente y servidor de Symantec AntiVirus 8.x y anterior
Cliente y servidor de Symantec Client Security 1.x
Symantec Client Firewall 5.0
Symantec System Center, todas las versiones
Symantec Reporting Server 10.x
Confidence Online Heavy by Whole Security, todas las versiones
Norton AntiVirus y Norton Internet Security, todas las versiones
Es necesario desinstalar este software primero y luego instalar los clientes de

Symantec Endpoint Protection.
Migraciones incompatibles
El software siguiente no se migra y puede coexistir en el mismo equipo que el
software de cliente de Symantec Endpoint Protection:
Symantec Client Firewall Administrator, todas las versiones
LiveUpdate Server
Para instalar la ltima versin de LiveUpdate Server, primero desinstale la
versin anterior.
Los equipos con NetWare que ejecutan cualquier versin de Symantec AntiVirus
Los sistemas operativos NetWare no se admiten con esta versin. Contine
protegiendo estos equipos con las versiones anteriores.

Clientes y servidores de Symantec AntiVirus y Symantec Client Security que

se ejecutan en hardware Itanium
El hardware Itanium no se admite con esta versin. Contine protegiendo estos
equipos con las versiones anteriores.
Acerca de la migracin de Cuarentena central

Para migrar la consola y el servidor de Cuarentena central, es necesario desinstalar
y despus reinstalar ambos componentes.
Preparar instalaciones de versiones anteriores para

la migracin
Con Symantec System Center, es necesario modificar la configuracin de los
clientes y los servidores para simplificar el proceso de migracin. Por ejemplo, si
un cliente ejecuta un anlisis antivirus durante la migracin, sta se bloquear
hasta que el anlisis finalice y la migracin puede fallar. Tambin es necesario
deshabilitar la funcin de contrasea de desinstalacin para el software de cliente,
si est habilitada. Si no lo hace, se les solicitar a los usuarios que escriban la
contrasea en el modo interactivo.
Nota: Si migra grupos y opciones desde Symantec System Center, la instancia de
LiveUpdate y las polticas antivirus y contra software espa migrados que se crean
para estos grupos contienen estas modificaciones. Es posible revertir estas
opciones. Por ejemplo, es posible volver a habilitar anlisis programados. Tampoco
es necesario deshabilitar la contrasea de desinstalacin, si est habilitada. La
migracin omite la contrasea.
Preparar todas las instalaciones de versiones anteriores

Estos procedimientos se aplican a todas las instalaciones de software de versiones
anteriores compatibles con la migracin.
Nota: Si utiliza grupos de clientes y esos grupos no heredan una configuracin,
prepare estos grupos de la misma manera en que se preparan los grupos de
servidores y los servidores de administracin.
147
148

Deshabilitar anlisis programados

Si un anlisis est programado para ejecutarse y se est ejecutando al tiempo que
ocurre la migracin del cliente, la migracin puede fallar. Se recomienda
deshabilitar los anlisis programados durante la migracin y volver a habilitarlos
despus de la migracin.
Para deshabilitar anlisis programados
En Symantec System Center, realice una de las siguientes acciones:
Haga clic con el botn secundario en un servidor de administracin.
Haga clic con el botn secundario en un grupo de clientes.
Haga clic en Todas las tareas > Symantec AntiVirus > Anlisis programados.
En el cuadro de dilogo Anlisis programados, en la ficha Anlisis de servidor,

deje sin marcar todos los anlisis programados.
En la ficha Anlisis de clientes, deje sin marcar todos los anlisis programados
y haga clic en Aceptar.
Repita este procedimiento para todos los servidores de administracin

primarios, los servidores de administracin secundarios y todos los grupos
de clientes.
Configurar Cuarentena central y archivos en cuarentena

El Servidor de cuarentena ya no admite actualizaciones de los equipos cliente con
las ltimas definiciones. Por lo tanto, es preferible que no actualice los equipos
cliente con las ltimas definiciones durante una migracin. Adems, la migracin
de archivos en cuarentena no es necesaria.
Para configurar Cuarentena central y elementos de cuarentena
En Symantec System Center, haga clic con el botn secundario en un grupo

de servidores.
Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de
cuarentena.
En el cuadro de dilogo Opciones de cuarentena, haga clic en Opciones de

depuracin.
En el cuadro de dilogo Opciones de depuracin, configure todos los valores

de tiempo en 1 da y configure todos los valores de lmites del tamao del
directorio en 1 MB y marque todas las casillas de verificacin.

En el cuadro de dilogo Opciones de cuarentena, deje sin marcar la opcin

Habilitar cuarentena y Asistente de anlisis y envo.
Bajo Cuando lleguen nuevas definiciones de virus, marque No hacer nada y

Repita este procedimiento para todos los grupos de servidores, si tiene ms

de uno.
Eliminar historiales
Todos los historiales se almacenan en una base de datos. La eliminacin del archivo
de historiales acelera el proceso de migracin.
Para eliminar los historiales

de servidores.
Haga clic en Todas las tareas > Symantec AntiVirus > Configurar historial.
En el cuadro de dilogo Opciones de historias, establezca el valor de Suprimir

despus en 1 da.

de uno.
Deshabilitar LiveUpdate
Si LiveUpdate est ejecutndose en los equipos cliente durante la migracin,
pueden presentarse conflictos. Por lo tanto, es mejor reducir la posibilidad de que
LiveUpdate se ejecute en los equipos cliente durante la migracin.
Para deshabilitar LiveUpdate

de servidores.
Haga clic en Todas las tareas > Symantec AntiVirus > Administrador de
definiciones de virus.
En el cuadro de dilogo Administrador de definiciones de virus, marque

Actualizar solamente el servidor principal de este grupo de servidores y
despus haga clic en Configurar.
En el cuadro de dilogo Configurar actualizaciones del servidor principal,

desactive Programacin para actualizaciones automticas y haga clic en
Aceptar.
149
150

En el cuadro de dilogo Administrador de definiciones de virus, deje sin marcar

las siguientes opciones:
Actualizar definiciones de virus del servidor principal
Programar actualizaciones automticas en los clientes con LiveUpdate
Habilitar LiveUpdate continuo
Marque No permitir al cliente iniciar LiveUpdate manualmente y despus


de uno.
Deshabilitar el servicio de uso mvil

Si el servicio de uso mvil est habilitado en los equipos cliente, la migracin
puede bloquearse y nunca terminar. Si el servicio de uso mvil no est habilitado,
no siga este procedimiento.
Nota: Si sus clientes de uso mvil ejecutan la versin 10.x de Symantec AntiVirus,
desbloquee los grupos de servidores antes de deshabilitar el servicio de uso mvil.
Esta prctica ayuda a garantizar que los clientes de uso mvil estn autenticados
correctamente con certificados en su servidor principal.
Para deshabilitar el servicio de uso mvil

de servidores.
Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil
para clientes.
En el cuadro de dilogo Opciones de uso mvil para clientes, en el cuadro

Validar el servidor principal cada X minutos, escriba 1.
En el cuadro Buscar el servidor principal ms cercano cada X minutos, escriba

1 y presione Aceptar.
Espere algunos minutos.

de servidores.
Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil
para clientes.

En el cuadro de dilogo Opciones de uso mvil para clientes, deje sin marcar
Habilitar uso mvil en clientes con el servicio Symantec AntiVirus Roaming.
Preparar instalaciones de versiones anteriores de Symantec 10.x/3.x

Symantec AntiVirus 10.x y Symantec Client Security 3.x proporcionan funciones
adicionales que se deben configurar correctamente para la migracin correcta.
Desbloquear grupos de servidores

Si no se desbloquean los grupos de servidores antes de la migracin, pueden
presentarse resultados imprevisibles. Adems, si el servicio de uso mvil est
habilitado para los clientes, el desbloqueo del grupo de servidores garantiza que
los clientes se autentiquen correctamente en un servidor principal. Los clientes
que se autentican correctamente en un servidor principal se colocan en la base
de datos. Los clientes que se colocan en la base de datos aparecen automticamente
en el grupo de versiones anteriores correcto de la consola despus de la instalacin.
Para desbloquear un grupo de servidores

de servidores bloqueado y despus haga clic en Desbloqueo de grupo de
servidores.
En el cuadro de dilogo Desbloqueo de grupo de servidores, escriba las

credenciales de autenticacin, si es necesario, y haga clic en Aceptar.
Deshabilitar Proteccin contra intervenciones

Proteccin contra intervenciones puede ocasionar resultados imprevisibles durante
la migracin.
Para deshabilitar Proteccin contra intervenciones
En Symantec System Center, haga clic con el botn secundario en una de las
siguientes opciones:
Grupo de servidores
Servidor de administracin primario o secundario
Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de Proteccin
contra intervenciones para servidores.
En el cuadro de dilogo Opciones de Proteccin contra intervenciones para

servidores, deje sin marcar Habilitar Proteccin contra intervenciones.
151
152

Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuracin
Si seleccion un grupo de servidores en el paso 1, repita este procedimiento

para todos los grupos de servidores, si tiene ms de uno.
Si seleccion un servidor de administracin en el paso 1, repita este

procedimiento para todos los servidores de administracin de todos los
grupos de servidores.
Desinstalar y eliminar servidores de informes

Si instal uno o ms servidores de informes, es necesario desinstalar estos
servidores y, opcionalmente, eliminar los archivos de base de datos. Es necesario
tambin eliminar los servidores de informes de Symantec System Center. Es
posible obtener informacin completa sobre la desinstalacin de servidores de
informes en la ayuda en pantalla de Symantec System Center. Las opciones de
versiones anteriores se almacenaban en el registro. Toda la configuracin ahora
se almacena en una base de datos, junto con los datos de informes.
Para desinstalar servidores de informes
Inicie sesin en un equipo que ejecute el servidor de informes.
Haga clic en Inicio > Configuracin > Panel de control > Agregar o quitar
programas.
En el cuadro de dilogo Agregar o quitar programas, haga clic en Servidor

de informes de Symantec y despus haga clic en Quitar.
Siga las indicaciones que se muestran en la pantalla hasta que se elimine el

servidor de informes.
Repita este paso para todos los servidores de informes.
Para eliminar servidores de informes de Symantec System Center
En Symantec System Center, haga clic con el botn secundario y ample

Informes.
Haga clic con el botn secundario en cada servidor de informes y haga clic
en Eliminar.
Acerca de migrar y no conservar los servidores y los

grupos de clientes y la configuracin
No es obligatorio migrar los grupos y la configuracin para los clientes de una
versin anterior y los servidores de Symantec System Center a Symantec Endpoint

Protection Manager. Si se siente cmodo con operaciones de la Consola de

Symantec Endpoint Protection Manager, puede crear y exportar un paquete de
instalacin e implementarlo en los clientes de una versin anterior y en los
servidores para la migracin. Para obtener informacin, consulte los captulos
sobre la instalacin por primera vez y sobre la instalacin del software de cliente
en esta gua de instalacin.
Nota: Se recomienda crear uno o ms grupos y polticas asociadas para los clientes
de una versin anterior y migrarlos primero. Es posible entonces crear uno o ms
grupos y polticas asociadas para los servidores de una versin anterior y despus
migrarlos a los clientes. Finalmente, desinstale Symantec System Center y migre
el servidor de administracin o el cliente de versin anterior que protegieron el
equipo que ejecut Symantec System Center.

Para migrar el servidor, los grupos de clientes y las configuraciones de Symantec
System Center a Symantec Endpoint Protection Manager, es necesario comprender
cmo funciona este proceso. Por ejemplo, su configuracin existente en Symantec
System Center puede heredarse de los grupos de servidores. Y es necesario elegir
si desea conservar esta relacin.
Los servidores de administracin primarios y secundarios de versiones anteriores
tienen opciones que se aplican solamente a esos servidores, pero no a los clientes
que administran. El motivo es que estos servidores pueden necesitar una proteccin
diferente de la de los clientes que administran. Por ejemplo, estos servidores
pueden proporcionar otros servicios que pueden necesitar excluir ciertos tipos
de archivos de los anlisis. Con Symantec System Center, es posible especificar
que todos los servidores hereden sus opciones de la configuracin especificada
para el grupo de servidores. O es posible especificar opciones personalizadas para
cada servidor.
Despus de migrar la configuracin para los servidores de administracin, las
opciones aparecen en las polticas de LiveUpdate y en las polticas antivirus y
contra software espa. Estas polticas se aplican a los grupos que contendrn los
servidores de administracin despus de migrarlos a un cliente de Symantec
Endpoint Protection. Durante la migracin usted decide si la configuracin se
hereda del grupo de servidores o se especifica para cada servidor.
La configuracin de un cliente de una versin anterior tambin se puede heredar
del grupo de servidores o de un servidor de administracin. Despus de migrar la
configuracin para los clientes, las opciones aparecen en las polticas de LiveUpdate
y en las polticas antivirus y contra software espa. Durante la migracin, usted
153
154

decide si la configuracin se hereda del grupo de servidores o del servidor de

administracin.
La Figura 7-1 ilustra la situacin antes y despus cuando los servidores de
administracin y los clientes heredan su configuracin de los grupos de servidores.
Figura 7-1
Antes y despus de la configuracin heredada de grupos de

servidores
Seleccin de opciones de migracin de polticas de clientes
Symantec System Center antes

de la migracin
Todos los equipos cliente que no estn en ningn grupo de clientes

aparecen aqu
Los equipos cliente de un grupo de clientes aparecen aqu
Cada servidor principal migrado a un cliente aparece en
Servidor
Todos los equipos cliente de este grupo comparten todas las

polticas
La herencia de polticas de grupo de clientes coincide con la
configuracin de herencia de Symantec System Center
El grupo Servidor hereda polticas de SORINA3
Consola de Symantec Endpoint Protection Manager despus de la migracin

e implementacin de clientes

En esta situacin, todos los servidores de administracin en Grupo_Servidores_1

y Grupo_Servidores_2 heredan su configuracin del grupo de servidores en
Symantec System Center. Despus de la migracin al cliente de Symantec Endpoint
Protection, cada equipo que ejecutaba un servidor de administracin de versiones
anteriores aparece en un grupo denominado Servidor. Ese grupo hereda toda la
configuracin del grupo con el mismo nombre que el grupo de servidores original.
Por ejemplo, el servidor de administracin IDPRUEBA99 hereda las polticas
configuradas para Grupo_Servidores_1.
En esta situacin, todos los clientes heredan la configuracin del grupo de
servidores y de cualquier grupo de clientes que pudiera contenerlos. Todos los
clientes que no estaban contenidos en un grupo de clientes en Symantec System
Center, ahora aparecen en el grupo con el mismo nombre que el grupo de servidores
original.
La Figura 7-2 ilustra una situacin antes y despus cuando los servidores de
administracin y los clientes heredan la configuracin que se especifica en el
servidor de administracin principal.
155
156

Figura 7-2
Antes y despus de la configuracin heredada de servidores

principales
Seleccin de opciones de migracin de polticas de clientes

Symantec System Center antes
de la migracin
Todos los equipos cliente aparecen en Clientes, debajo de su servidor

principal
Cada servidor principal migrado a un cliente aparece en Servidor
Este grupo no hereda polticas

El grupo Clientes hereda polticas de SORINA3
El grupo Servidor hereda polticas de SORINA3
Consola de Symantec Endpoint Protection Manager despus de la migracin

e implementacin de clientes
En esta situacin, todos los servidores de administracin en Grupo_Servidores_1

y Grupo_Servidores_2 heredan su configuracin de cada servidor principal en
Symantec System Center. Despus de la migracin al cliente de Symantec Endpoint
Protection, cada equipo que ejecutaba un servidor de administracin de versiones
anteriores aparece en un grupo denominado Servidor. Esta vez, sin embargo, los

grupos no heredan la configuracin. Se personalizan nuevas polticas para cada

equipo que ejecutaba un servidor de administracin de una versin anterior.
En esta situacin, todos los clientes heredan la configuracin que se configura
para los clientes en cada servidor principal. Si los clientes estn en grupos de
clientes en Symantec System Center, ahora aparecen en el grupo Clientes, debajo
del grupo del servidor principal en el cual estaban instalados.

La configuracin de Proteccin contra intervenciones no se migra, y Proteccin
contra intervenciones ahora es parte de la seccin Configuracin general para los
grupos. Proteccin contra intervenciones no es una poltica que se aplique a las
ubicaciones. De forma predeterminada, Proteccin contra intervenciones se
habilita y protege los procesos de Symantec y los objetos internos. Solamente es
posible habilitar e deshabilitar Proteccin contra intervenciones. No tendr control
detallado sobre los procesos u objetos internos.
Las opciones desbloqueadas pueden migrarse o no. Si la configuracin es la
configuracin predeterminada instalada originalmente y nunca fue modificada
ni bloqueada, la configuracin no se migra. La configuracin no se migra porque
las entradas del registro nunca fueron generadas. En algunos casos, la nueva
configuracin de polticas predeterminada de Symantec Endpoint Protection
puede corresponder a la configuracin predeterminada de la versin anterior. En
otros casos, la nueva configuracin de polticas predeterminada de Symantec
Endpoint Protection puede no corresponder a la configuracin predeterminada
de la versin anterior. Se recomienda revisar todas las opciones que aparezcan
despus de la migracin en su poltica antivirus y contra software espa y en su
poltica de configuracin de LiveUpdate.

Para migrar el servidor, los grupos de clientes y las configuraciones de Symantec
System Center a Symantec Endpoint Protection Manager, es necesario comprender
cmo funciona este proceso. Por ejemplo, su configuracin existente en Symantec
System Center puede heredarse de los grupos de servidores. Y es necesario elegir
si desea conservar esta relacin.
Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 y MSI 3.1, o una
versin posterior, para poder ser migrados.
157
158

Acerca de los paquetes de instalacin de clientes que se generan

durante la migracin
Para realizar la migracin, se ejecuta el Asistente de instalacin y migracin.
Cuando se ejecuta el Asistente de instalacin y migracin, usted elige los servidores
de administracin y los clientes para los cuales crear paquetes de instalacin de
clientes.
Nota: Los servidores de administracin migran a los clientes.
Despus de instalar estos paquetes de instalacin de clientes en los clientes de
versiones anteriores, los clientes migrados aparecen automticamente en el grupo
apropiado de la Consola de Symantec Endpoint Protection Manager.
Durante la migracin, se generan automticamente paquetes de instalacin para
varias combinaciones de componentes de cliente. Por ejemplo, se genera un paquete
de instalacin para todas las funciones de Symantec Endpoint Protection. Se
genera un paquete de instalacin slo para la proteccin antivirus y contra software
espa, y as sucesivamente. Estos paquetes se crean en el directorio que usted
especifique durante la migracin.
En este directorio, usted encontrar cinco directorios que contienen distintos
paquetes de instalacin con los nombres siguientes:
Todas las funciones del cliente_xx-bit
Slo funciones de antivirus_xx-bit
Slo funciones de proteccin contra amenazas de red_xx-bit
Slo funciones de proteccin proactiva contra amenazas y de antivirus_xx-bit
Slo funciones de proteccin de dispositivos y proteccin contra amenazas de

red_xx-bit
Para los paquetes de instalacin de 32 bits, estos paquetes ocupan 300 MB del
espacio libre en el disco, y todos los paquetes se generan siempre automticamente.
Para los paquetes de instalacin de 64 bits, estos paquetes ocupan ms de 300 MB
del espacio libre en el disco.
Cuando utiliza el Asistente de instalacin y migracin, usted elige si desea migrar
todos los servidores de administracin y clientes que aparezcan en Symantec
System Center. La otra opcin es seleccionar servidores de administracin
individuales.
Si decide migrar servidores de administracin especficos, debe crear directorios
separados de creacin de paquetes para cada servidor de administracin o cada
combinacin de servidores de administracin. A continuacin, es posible

implementar estos paquetes a los clientes respectivos de versiones anteriores

para la migracin, y los clientes aparecen automticamente en el grupo correcto
en la Consola de Symantec Endpoint Protection Manager.
Nota: Cuando se migran grupos y opciones, el Asistente de instalacin y migracin
almacena el servidor de administracin y los ID de clientes de versiones anteriores
en una tabla en la base de datos de Symantec Endpoint Protection Manager. Cuando
se migran servidores de administracin y clientes de versiones anteriores a
Symantec Endpoint Protection, los clientes recin migrados envan sus ID
anteriores a Symantec Endpoint Protection Manager. Cuando el administrador
recibe los ID anteriores, coloca los clientes recin migrados en el grupo migrado
correspondiente.
Exportar y dar formato a una lista de nombres de equipos cliente para

migrar
La herramienta de implementacin de paquetes de clientes proporcionada por
Symantec recomendada es el Asistente de implementacin mediante transferencia.
Es posible iniciar esta herramienta haciendo doble clic en \Symantec Endpoint
Protection\tomcat\bin\ClientRemote.exe. Es posible tambin iniciar el Asistente
de implementacin mediante transferencia al utilizar el Asistente de instalacin
y migracin.
Nota: Es posible utilizar la tcnica que se describe aqu independientemente de si
usted migra opciones desde Symantec System Center. Esta tcnica es til para
crear listas de todos los clientes y servidores de versiones anteriores e importar
las listas en el Asistente de implementacin mediante transferencia para su
implementacin.
El Asistente de implementacin mediante transferencia detecta automticamente
los equipos Windows que estn encendidos. El asistente entonces permite
seleccionar los equipos e implementar un paquete de instalacin seleccionable
en los equipos detectados. Es posible seleccionar equipos uno a la vez, o seleccionar
el grupo de trabajo o el dominio de equipos.
Otra opcin es crear un archivo de texto que contenga los nombres o las direcciones
IP de sus clientes de versiones anteriores. A continuacin, importe ese archivo en
el Asistente de implementacin mediante transferencia para implementar el
paquete. Es posible entonces iniciar manualmente el Asistente de implementacin
mediante transferencia e implementar los paquetes a los clientes en etapas.
159
160

Se recomienda exportar una lista de clientes para cada servidor de administracin

a un archivo de texto. Despus bralas en una hoja de clculo y elimine todas las
columnas excepto la columna que contiene el nombre o la direccin IP de los
equipos. Es posible entonces guardarla de nuevo en un archivo de texto que pueda
importarse en el Asistente de implementacin mediante transferencia. Este
enfoque permite realizar la implementacin en clientes mediante el servidor de
administracin, y hacer la migracin en etapas.
La desventaja de este enfoque es que el Asistente de implementacin mediante
transferencia tarda cerca de 20 segundos por cada equipo de la lista que no est
encendido. La ventaja de este enfoque es que es posible examinar el archivo de
registro para ver qu equipos no estaban encendidos. De esa forma, tiene un
expediente de los equipos que an no se migraron. En entornos con DHCP
habilitado, se recomienda utilizar nombres de equipo en lugar de direcciones IP,
ya que las direcciones IP pueden modificarse.
Nota: El siguiente procedimiento proporciona detalles sobre cmo utilizar Microsoft
Office Excel. No es obligatorio utilizar Excel. Es posible utilizar cualquier software
de hoja de clculo que importe archivos de texto.
Para exportar y dar formato a una lista de nombres de equipos cliente para migrar
En Symantec System Center, haga clic con el botn secundario en una de las
siguientes opciones y despus haga clic en Exportar lista:
Servidor de administracin primario o secundario
Grupo de clientes
En el cuadro de dilogo Exportar lista, en el cuadro Nombre de archivo, escriba

el nombre de un archivo de texto.
En la lista desplegable Guardar como, seleccione Texto (delimitado por

tabulaciones) (*.txt) y, a continuacin, haga clic en Guardar.
En Microsoft Office Excel, haga clic en Archivo > Abrir.
En el cuadro de dilogo Abrir, en la lista desplegable Tipo de archivo, haga

clic en Todos los archivos.
Busque y seleccione su archivo de texto y haga clic en Abrir.
En el cuadro de dilogo Asistente para importar texto - paso 1 de 3, marque

Delimitados y haga clic en Siguiente.
En el cuadro de dilogo Asistente para importar texto - paso 2 de 3, bajo

Separadores, marque Tabulacin y haga clic en Siguiente.

En el cuadro de dilogo Asistente para importar texto - paso 3 de 3, haga clic

en Finalizar.
10 Inicie el Bloc de notas y cree un nuevo archivo de texto.

11 En Excel, resalte y copie los nombres de equipo que aparecen en la columna
titulada Cliente.
12 En el Bloc de notas, pegue los nombres de los equipos y verifique que la ltima
lnea sea un nombre de equipo y no est en blanco.
13 Guarde el archivo como archivo de texto.
Puertos de comunicaciones que se abren

Cuando se migran opciones de servidores y grupos de clientes, ocurren
comunicaciones por red entre Symantec System Center y Symantec Endpoint
Protection Manager. Si estos componentes se ejecutan en distintos equipos y estos
equipos ejecutan firewalls, es necesario abrir los puertos de comunicacin.
La Tabla 7-1 enumera los puertos que deben abrirse para la migracin de la
configuracin.
Tabla 7-1
Puertos utilizados para la migracin de opciones
Symantec System Center
TCP 139, 445
Puertos TCP efmeros
Puertos TCP efmeros
TCP 139
UDP 137
UDP 137
Cuando se utiliza el Asistente de implementacin mediante transferencia para

implementar software de cliente de Symantec Endpoint Protection, ocurren
comunicaciones por red entre los servidores y los clientes de versiones anteriores
y Symantec Endpoint Protection Manager. Si los servidores y los clientes de una
versin anterior ejecutan firewalls, es necesario abrir los puertos de comunicacin.
La Tabla 7-2 enumera los puertos que deben abrirse para las implementaciones
que utilizan el Asistente de implementacin mediante transferencia.
Tabla 7-2
Puertos utilizados para la implementacin de software de cliente

con el Asistente de implementacin mediante transferencia
Equipos cliente
TCP 139
Puertos TCP efmeros
161
162

Equipos cliente
Puertos TCP efmeros
TCP 139
UDP 137, 138
UDP 137, 138
Acerca de la preparacin de los equipos cliente para la migracin

Varias funciones del sistema operativo Windows pueden interferir en la correcta
migracin de servidores y clientes. Es necesario entender cules son estas
funciones y administrarlas apropiadamente. Por ejemplo, los equipos con Windows
XP y que son parte de un grupo de trabajo necesitan que el uso compartido simple
de archivos est deshabilitado. Si no se deshabilita, no es posible realizar la
autenticacin en esos equipos para la instalacin remota. Los equipos con Windows
XP que estn en un dominio de Windows no necesitan que esta funcin est
deshabilitada.
Tambin necesita entender que si usted instala un firewall de Symantec, se debe
deshabilitar el Firewall de Windows. Si no opta por instalar un firewall de
Symantec, no deshabilite el Firewall de Windows. Adems, puede ser necesario
abrir puertos o deshabilitar firewalls antes de la migracin.
Ver "Habilitar y modificar firewalls de Windows" en la pgina 67.
Ver "Preparar equipos con Windows XP/Vista para la implementacin remota"
en la pgina 70.
Ver "Preparar equipos para la instalacin" en la pgina 73.

Este paso asume que usted no ha instalado Symantec Endpoint Protection Manager
en su entorno de produccin. Si ha instalado Symantec Endpoint Protection
Manager en su entorno de produccin, proceda a leer acerca de migrar el servidor
y los grupos de clientes.
Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo
que ejecuta Symantec System Center, pero no es un requisito. Tambin, si usted
administra una gran cantidad de clientes de una versin anterior de Symantec,
no se recomienda instalar Symantec Endpoint Protection Manager en el mismo
equipo en el que ejecuta Symantec System Center. Finalmente, si tiene equipos
de una versin anterior de NetWare o de Itanium, es necesario continuar
administrando y protegiendo esos equipos con un software de una versin anterior.

Nota: La instalacin de Symantec Endpoint Protection Manager no migra Symantec

System Center.
En el equipo en el que desea instalar Symantec Endpoint Protection Manager,

inserte e inicie el CD de instalacin.
Haga clic en Instalar Symantec Endpoint Protection > Instalar Symantec

Endpoint Protection Manager y siga las indicaciones de instalacin hasta
que aparezca el panel Asistente de instalacin finalizado.
Instale Symantec Endpoint Protection Manager y configrelo para utilizar

una de las siguientes bases de datos:
Base de datos integrada

Ver "Instalar Symantec Endpoint Protection Manager con una base de
datos integrada" en la pgina 76.
Base de datos de Microsoft SQL

Ver "Instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL" en la pgina 81.
Cuando la instalacin y la instalacin de base de datos finaliza, en el panel

Configuracin finalizada, realice una de las siguientes acciones:
Marque S y despus haga clic en Finalizar para migrar el servidor y los

grupos de clientes de Symantec System Center a Symantec Endpoint
Protection Manager. A continuacin, cree los paquetes de instalacin de
clientes para esos grupos.
Marque No y, luego, haga clic en Finalizar para iniciar manualmente el

Asistente de instalacin y migracin ms adelante, o para crear los nuevos
grupos con la Consola de Symantec Endpoint Protection Manager.
Es posible tambin que desee realizar el inicio de sesin de la migracin
despus de registrarse y verificar que Symantec Endpoint Protection
Manager y la Consola estn funcionando.
Nota: Tambin puede migrar un grupo de servidores al mismo tiempo si tiene

varios grupos.
163
164

Migrar opciones de configuracin de grupos de clientes y servidores
Migrar opciones de configuracin de grupos de

clientes y servidores
Despus de instalar Symantec Endpoint Protection Manager, es posible migrar
los grupos de clientes y servidores de administracin. No es obligatorio migrar
todos los grupos de clientes y servidores al mismo tiempo. Tambin es posible
migrar los servidores de administracin y los clientes relacionados con ellos uno
a la vez.
Nota: Todos los equipos que no ejecutan MSI 3.1 se migran a MSI 3.1 primero,
antes de que se instale el software de cliente. Los equipos que no se reinician
despus de la instalacin del software de cliente estn protegidos con las funciones
antivirus y contra software espa, pero no cuentan con firewall. Para implementar
las funciones de firewall, se deben reiniciar los equipos cliente.
Para migrar opciones de configuracin de grupos de clientes y servidores
Realice una de las siguientes acciones:
Si inici el Asistente de instalacin y migracin al finalizar la instalacin

de Symantec Endpoint Protection Manager, vaya al paso 2.
Si no inici al Asistente de instalacin y migracin al finalizar la instalacin

de Symantec Endpoint Protection Manager, haga clic en Inicio >
Programas > Symantec Endpoint Protection Manager > Asistente de
instalacin y migracin.
En el panel de bienvenida del Asistente para migracin y distribucin, haga

clic en Siguiente.
En el panel Qu desea hacer?, haga clic en Migrar desde una versin anterior
de Symantec AntiVirus.
En el siguiente panel sin nombre, marque las casillas de verificacin que

indican cmo se aplicar la configuracin a sus grupos.
Ver "Acerca de la migracin de grupos y opciones" en la pgina 153.
En el siguiente panel sin nombre, realice una de las siguientes acciones:
Para importar toda la configuracin de todos los servidores de

administracin y clientes, haga clic en Detectar servidores
automticamente, escriba la direccin IP de un equipo que ejecute
Symantec System Center y haga clic en Aceptar.

Para importar opciones de un solo servidor de administracin y de los

clientes que ste administra, haga clic en Agregar servidor, escriba la
direccin IP de un equipo que ejecute un servidor de administracin, y, a
continuacin, haga clic en Aceptar.
En el siguiente panel sin nombre, haga clic en Siguiente.
En el siguiente panel sin nombre, configure los paquetes de instalacin de

clientes que desea exportar.
10 Haga clic en Opciones avanzadas del paquete, deje sin marcar los paquetes
que no desea crear y haga clic en Aceptar.
11 Haga clic en Examinar, busque y seleccione un directorio al cual exportar los

paquetes de instalacin de clientes, y haga clic en Abrir.
12 En el panel sin nombre, haga clic en Siguiente.

13 En el siguiente panel sin nombre, realice una de las siguientes acciones:
Marque S, haga clic en Finalizar para exportar los paquetes y despus

implemente los paquetes, primero en los clientes y despus en los
servidores, con el Asistente de implementacin mediante transferencia.
El proceso de exportacin puede tomar diez minutos o ms.
Marque No, slo deseo crearlos; los distribuir ms tarde, haga clic en
Finalizar para exportar los paquetes y despus implemente manualmente
los paquetes, primero en los clientes y despus en los servidores, mediante
ClientRemote.exe desde el directorio \Symantec Endpoint
Protection\tomcat\bin\.
Ver "Implementar software de cliente con el Asistente de implementacin
mediante transferencia" en la pgina 116.

Despus de migrar sus clientes y servidores, es necesario verificar que aparezcan
en los grupos apropiados en la Consola de Symantec Endpoint Protection Manager.
A continuacin, actualice las polticas de LiveUpdate y las polticas antivirus y
contra software espa para revertir algunos o todos los cambios realizados en las
opciones con Symantec System Center. Por ejemplo, para iniciar el proceso de
migracin, usted deshabilit los anlisis programados. Probablemente necesite
volver a habilitar los anlisis programados.
165
166


Tiene tres opciones para migrar clientes no administrados. Es posible instalar
Symantec Endpoint Protection con los archivos de instalacin y setup.exe que
incluye el CD de instalacin. Esta opcin conserva la configuracin del cliente. Es
posible exportar un paquete de la Consola de Symantec Endpoint Protection
Manager en modo no administrado. Esta opcin no conserva la configuracin del
cliente. Es posible exportar un paquete de la Consola de Symantec Endpoint
Protection Manager en el modo no administrado para los archivos que no son
.exe. A continuacin, reemplace serdef.dat en este paquete de instalacin por un
archivo en blanco con el mismo nombre. Esta opcin conserva la configuracin
del cliente.
Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 o una versin
posterior, y MSI 3.1 o una versin posterior. De lo contrario, no se podrn migrar.
Acerca de migrar clientes no administrados con archivos CD

Si tiene clientes de una versin anterior no administrados, es posible migrarlos
a Symantec Endpoint Protection y mantenerlos no administrados. La migracin
de clientes no administrados con los archivos CD tambin conserva la configuracin
de cada cliente. Si ejecuta setup.exe, tambin actualiza automticamente el MSI
en los clientes a 3.1, un requisito.
Cuando se ejecuta setup.exe para instalar Symantec Endpoint Protection en los
clientes no administrados de una versin anterior, se conserva la configuracin
de la versin anterior. Por ejemplo, si un usuario crea un anlisis personalizado
para ejecutarse a la media noche, se conserva esa configuracin.
Es posible utilizar las siguientes opciones para migrar los clientes no
administrados:
Inserte el CD de instalacin en cada cliente para migrar, e instale Symantec

Endpoint Protection desde la interfaz de usuario de instalacin.
Copie los archivos desde el directorio SAV en el CD de instalacin a un directorio

compartido. A continuacin, haga que los usuarios en los equipos cliente
incorporen el directorio compartido y ejecuten setup.exe.
Implemente los archivos que contiene el directorio SAV en el CD de instalacin

con CD\TOOLS\PUSHDEPLOYMENTWIZARD\ClientRemote.exe.
Implemente los archivos que contiene el directorio SAV en el directorio del

CD de instalacin con las herramientas de otro fabricante de la distribucin.

Migrar clientes no administrados con paquetes exportados

Es posible crear paquetes de instalacin con la Consola de Symantec Endpoint
Protection Manager para clientes no administrados. Este tipo de paquete crea
clientes no administrados despus de la migracin pero, de forma predeterminada,
elimina y reajusta las opciones de clientes de versiones anteriores a la nueva
configuracin predeterminada. Es posible anular esta configuracin
predeterminada creando un nuevo archivo serdef.dat en blanco en los archivos
exportados. No es posible modificar el archivo serdef.dat si se exporta a un solo
archivo de instalacin ejecutable.
Para migrar clientes no administrados con paquetes exportados y conservar la
configuracin de la versin anterior

Administrador.
Bajo Tareas, haga clic en Paquetes de instalacin.
Bajo Paquetes de instalacin de clientes, haga clic con el botn secundario en

el paquete que desea crear y haga clic en Exportar paquete.
En el cuadro de dilogo Exportar paquete, deje sin marcar Crear un solo

archivo.EXE para este paquete (obligatorio).
Haga clic en Examinar y seleccione el directorio que contendr el paquete

exportado.
Bajo Configuracin de seguridad, marque Exportar un cliente no

administrado.
Busque el directorio que contiene su paquete exportado y desplcese hasta

el directorio siguiente:
\\Export\program files\Symantec\Symantec Endpoint Protection\
Abra el Bloc de notas, cree un nuevo archivo en blanco denominado serdef.dat

y sobrescriba el archivo serdef.dat que est en este directorio.
Opcionalmente, es posible cambiar el nombre del archivo existente a
serdef_bak.dat antes de agregar la versin en blanco.
10 Implemente el paquete en los clientes de versiones anteriores.

Es posible utilizar ClientRemote.exe.
167
168

Para migrar clientes no administrados con paquetes exportados y cambiar las

opciones de versiones anteriores por la configuracin predeterminada

Administrador.
Bajo Tareas, haga clic en Paquetes de instalacin.
Bajo Paquetes de instalacin de clientes, haga clic con el botn secundario en

el paquete que desea crear y haga clic en Exportar paquete.
En el cuadro de dilogo Exportar paquete, marque Crear un solo archivo.EXE

para este paquete (recomendado, pero no es obligatorio).
Haga clic en Examinar y seleccione el directorio que contendr el paquete

exportado.
Bajo Configuracin de seguridad, marque Exportar un cliente no

administrado.
Implemente el paquete en los clientes de versiones anteriores.

Es posible utilizar ClientRemote.exe.
Qu se ha modificado para los administradores de

versiones anteriores
La Tabla 7-3 describe qu modificaciones hubo para los administradores de
versiones anteriores.
Tabla 7-3
Nuevas funciones
Funcin
Descripcin
El software de servidor no
proporciona la proteccin de
Symantec AntiVirus
Symantec Endpoint Protection Manager no incluye

Symantec Endpoint Protection. Para proteger las
instancias de Symantec Endpoint Protection Manager,
es necesario instalar software de cliente de Symantec
Endpoint Protection en el servidor.
Los servidores con versiones anteriores de Symantec
AntiVirus y de Symantec Client Security incluan la
proteccin de Symantec AntiVirus.
Se redise la interfaz de usuario Se ha rediseado la interfaz de usuario del cliente.

del software de cliente

Funcin
Descripcin
Se redise la consola de
administracin
Symantec System Center se ha dejado de usar. La nueva

consola de administracin se llama consola de Symantec
Los servidores de administracin Los servidores de administracin de versiones anteriores

secundarios ya no se utilizan
se pueden instalar como servidores secundarios que
responden a un servidor de administracin primario
para un grupo de servidores.
Proveedores de actualizaciones
de grupo
Los clientes de Symantec Endpoint Protection pueden

configurarse para proporcionar actualizaciones de
firmas y de contenido a los clientes de un grupo. Cuando
los clientes se configuran de esta manera, se denominan
Proveedores de actualizaciones de grupo. Los
Proveedores de actualizaciones de grupo no necesitan
estar en el grupo o en los grupos que actualizan.
Los grupos de servidores pueden Las operaciones de versiones anteriores de Symantec

ser pensados como sitios
System Center giraban en torno a grupos de servidores.
Cada grupo tena un servidor principal y los clientes
eran administrados por ese servidor principal.
Symantec Endpoint Protection utiliza el concepto de un
sitio, donde varios sitios pueden ser parte de una
instancia de instalacin. Cuando se instalan sitios
adicionales en una instancia, no se especifica una clave
secreta durante la instalacin. Cada vez que se especifica
una clave secreta cuando se instala un sitio, se crea una
nueva instancia de instalacin. Los equipos en distintas
instancias de instalacin no se comunican entre ellos.
Se ampla el reconocimiento de
la ubicacin
Las operaciones de versiones anteriores admitan el

reconocimiento de la ubicacin slo para las operaciones
del firewall.
Symantec Endpoint Protection ampla la funcin de
reconocimiento de la ubicacin al nivel de grupo. Cada
grupo puede ser dividido en varias ubicaciones y, cuando
un cliente est en esa ubicacin, se pueden aplicar
polticas a esa ubicacin.
169
170

Funcin
Descripcin
Las polticas ahora controlan la

mayora de las opciones del
cliente
Las operaciones de versiones anteriores de Symantec

System Center permitan aplicar una serie de opciones
de configuracin a los grupos de equipos mediante
cuadros de dilogo.
La configuracin ahora se controla con las polticas que
se pueden aplicar hasta el nivel de la ubicacin. Por
ejemplo, dos polticas que afectan la configuracin de
LiveUpdate. Una poltica especifica cuntas veces se
ejecuta LiveUpdate y controla la interaccin de usuario.
La otra poltica especifica el contenido que se permite
instalar en los equipos cliente con LiveUpdate.
Grc.dat ya no se utiliza
Las comunicaciones de versiones anteriores de

Symantec AntiVirus eran gobernadas por la presencia
de un archivo Grc.dat en los equipos cliente, que se deja
de usar. Un archivo denominado Sylink.xml ha
sustituido a Grc.dat y aparece en el directorio de
instalacin del cliente. Para sustituir Sylink.xml, ejecute
smc -stop, sustituya Sylink.xml y despus ejecute smc
-start. Es posible tambin utilizar smc -import
Sylink.xml.
Algunas opciones an se
configuran en los grupos
Algunas opciones de configuracin de versiones

anteriores de Symantec System Center an se aplican
en el nivel de grupo. Por ejemplo, la configuracin de la
contrasea de desinstalacin del cliente aplicada a todos
los equipos en un grupo. Adems, la nueva poltica de
contenido de LiveUpdate se aplica al grupo.
NetWare ya no se admite
Servidores de administracin de versiones anteriores

de NetWare ya no se admiten. No migre los servidores
de administracin de versiones anteriores de NetWare;
contine administrndolos con el software de versin
anterior.
Los dominios estn ahora

disponibles para su uso
Los dominios permiten crear grupos globales adicionales

si se desea utilizar grupos globales adicionales. Esta
funcin es avanzada y se debe utilizar solamente si es
necesario. El dominio Sistema es el dominio
predeterminado.

Funcin
Descripcin
Symantec Endpoint Protection Los productos de versiones anteriores denominados

ahora incluye compatibilidad con Symantec Client Security incluan Symantec AntiVirus
firewall
y Symantec Client Firewall. Symantec Endpoint
Protection ahora incluye un firewall nuevo y mejorado,
y una interfaz de usuario.
El bloqueo de dispositivo est
disponible
Si desea deshabilitar ciertos dispositivos de hardware

en equipos cliente, ahora es posible configurar polticas
para bloquear el acceso de los usuarios a una lista de
dispositivos de hardware. Estos dispositivos incluyen
elementos como puertos USB, unidades del disquete y
mdems.
Estos dispositivos tambin incluyen elementos que
deben tratarse con precaucin. Por ejemplo, es posible
deshabilitar tarjetas de interfaz de red (NIC), que
deshabilitan la comunicacin por red de los equipos
cliente, incluso con la Consola de Symantec Endpoint
Protection Manager. La nica manera de recuperacin
en esta situacin es desinstalar Symantec Endpoint
Protection y despus volver a habilitar la NIC con el
Administrador de dispositivos de Windows.
Symantec Client Firewall

Administrator ya no se utiliza
Symantec Client Firewall Administrator era la

herramienta que se utilizaba para crear las polticas de
Symantec Client Firewall. La nueva Consola de Symantec
Endpoint Protection Manager ahora integra estas
funciones de forma predeterminada.
La conmutacin por error y el

balanceo de carga se pueden
implementar en los servidores de
administracin
Si tiene una red grande y necesita conservar el consumo

de ancho de banda, es posible instalar los servidores de
administracin adicionales en una configuracin con
carga balanceada. Si tiene una red grande y necesita
contar con redundancia, es posible configurar servidores
de administracin adicionales en una configuracin de
conmutacin por error.
La replicacin se puede
implementar entre sitios
Si tiene una red grande y necesita replicacin, es posible

configurar sitios en una instancia de instalacin para
que reproduzcan datos.
Nota: Cuando se instala un sitio para replicacin, no se

especifica una clave secreta. Los sitios que se instalan
con una clave secreta no se comunican entre ellos.
171
172

Funcin
Descripcin
Ya no se utiliza el servidor de
administracin de alertas
Los productos de versiones anteriores incluan el

Servidor de administracin de alertas que admita la
generacin de alertas. El nuevo Symantec Endpoint
Protection Manager ahora incluye estas funciones de
forma predeterminada.
La informacin del cliente ahora Los productos de versiones anterior almacenaban la

se almacena en una base de datos informacin en el registro. Symantec Endpoint
Protection Manager ahora almacena toda la informacin
sobre los equipos cliente en una base de datos SQL (la
base de datos integrada o una base de datos de Microsoft
SQL).
Funciones mejoradas de
LiveUpdate
LiveUpdate ahora admite la descarga y la instalacin

de una amplia variedad de contenido, incluidos
definiciones, firmas, listas blancas para evitar falsos
positivos, motores y actualizaciones de producto.
Captulo
Migrar software de versin

anterior de Symantec
Sygate
Acerca de la migracin a Symantec Endpoint Protection 11.x
Acerca de la migracin a Symantec Network Access Control 11.x
Acerca de las actualizaciones de Enforcer
Situaciones de migracin de servidores
Procedimientos de migracin de servidores de administracin
Cambios de la interfaz y de las funciones del usuario de la consola despus de

la migracin
Migrar consolas de administracin remotas
Acerca de la configuracin de polticas migradas y nuevas
Acerca de la eliminacin de la proteccin de contrasea del cliente de la

configuracin del grupo
Migrar software de cliente de versiones anteriores de Symantec Sygate
174
Migrar software de versin anterior de Symantec Sygate

Acerca de la migracin a Symantec Endpoint

Protection 11.x
Es posible migrar Symantec Sygate Enterprise Protection 5.1, y versiones
posteriores, y Symantec Network Access Control 5.1, o posterior, a Symantec
Endpoint Protection 11.x. Ningn otro software de versiones anteriores de Sygate
se admite para esta migracin. Para migrar versiones anteriores de software
Sygate, primero mgrelas a Symantec Sygate Enterprise Protection 5.1.
Acerca de la migracin del servidor de Symantec Sygate y el software

de administracin
La meta de la migracin es instalar Symantec Endpoint Protection Manager y la
Consola de Symantec Endpoint Protection Manager para Symantec Endpoint
Protection 11.x. El software de administracin y el servidor de una versin anterior
que es posible migrar consta de los dos productos siguientes:
Servidor de administracin, consola y base de datos de Symantec Sygate

Enterprise Protection 5.1
Los componentes del servidor se denominan Symantec Policy Manager y
Consola Symantec Policy Management.
Servidor de administracin, consola y base de datos de Symantec Network

Access Control 5.1
Los componentes del servidor tambin se denominan Symantec Policy Manager
y Consola Symantec Policy Management.
El producto anterior Symantec Sygate Enterprise Protection 5.1 incluye todas las
funciones que el producto anterior Symantec Network Access Control 5.1
proporciona. El subconjunto de funciones que Symantec Network Access Control
proporciona son las funcionalidades de polticas de integridad del host y de
Enforcer.
Nota: Los valores de marca de hora de las polticas de integridad del host no se
migran correctamente. Despus de la migracin, examine todas las opciones de
Integridad del host configuradas para los valores de tiempo y modifquelas si es
necesario.
Symantec Endpoint Protection 11.0 es similar a Symantec Sygate Enterprise
Protection 5.1 con una excepcin. La excepcin es que Symantec Endpoint
Protection no incluye las funcionalidades de Integridad del host o de Enforcer.
Por lo tanto, si usted migra los servidores de Symantec Sygate Enterprise
Protection 5.1 que proporcionan funcionalidades de Integridad del host o de

Enforcer, es necesario tambin comprar e instalar Symantec Endpoint Protection

Manager para Symantec Network Access Control 11.0 en esos servidores migrados
para recuperar el acceso a esas funciones.
Nota: La migracin de servidores migra todas las polticas y opciones existentes
configuradas para los servidores y el sitio.
Rutas compatibles con la migracin del servidor

El software siguiente se admite para la migracin a Symantec Endpoint Protection
Manager y la consola de administracin para Symantec Endpoint Protection:
Symantec Policy Manager y Consola de administracin 5.1

Para acceder a las funciones de Integridad del host y de Enforcer, tambin es
necesario instalar Symantec Endpoint Protection Manager para Symantec
Network Access Control 11.0.
Administrador y Consola 5.1 de Symantec Network Access Control

Es posible migrar este software a Symantec Endpoint Protection 11.0. Para
acceder a las funciones de Integridad del host y de Enforcer, tambin es
necesario instalar Symantec Endpoint Protection Manager para Symantec
Network Access Control 11.0.
Rutas no compatibles con la migracin del servidor

Symantec Endpoint Protection Manager para la migracin de Symantec Endpoint
Protection se bloquea cuando se detecta cualquiera de los siguientes elementos
de software:
Sygate Policy Manager 5.0
Sygate Management Server 3.x y 4.x
Whole Security Management Server, todas las versiones
Antes de que pueda instalar Symantec Endpoint Protection Manager para Symantec
Endpoint Protection, es necesario desinstalar este software.
Nota: Si intenta migrar a Symantec Endpoint Protection Manager 5.1 y si se detecta
el software no compatible, la migracin tambin se bloquea.
175
176

Acerca de la migracin del software de cliente de versiones anteriores

de Symantec Sygate
La meta de la migracin es instalar Symantec Endpoint Protection 11.x. El software
de versin anterior del agente que es posible migrar consiste en los dos productos
siguientes:
Symantec Protection Agent 5.1
Symantec Enforcement Agent 5.1
Symantec Protection Agent incluye todas las funciones que Symantec Enforcement
Agent proporciona. El subconjunto de funciones que Symantec Enforcement Agent
proporciona incluye slo Integridad del host.
Para migrar los equipos cliente que ejecutan Symantec Protection Agent o
Symantec Enforcement Agent, instale Symantec Endpoint Protection 11.0 en esos
equipos y se completar la migracin.
Al igual que Sygate Protection Agent, el software de cliente de Symantec Endpoint
Protection 11.0 incluye todas las funciones que Symantec Protection Agent y
Symantec Enforcement Agent proporcionan y ms. Por lo tanto, si tiene instancias
de Sygate Protection Agent que proporcionan Integridad del host, no es necesario
instalar Symantec Network Access Control 11.0 en esos clientes. Sin embargo, es
necesario instalar Symantec Endpoint Protection Manager para Symantec Network
Access Control 11.0 en los servidores de administracin para recuperar el acceso
a esas funciones de los clientes.
Nota: La migracin del agente migra todas las opciones existentes configuradas
para los clientes, mientras se exporte el paquete de instalacin del cliente para
sus grupos existentes. Luego realice la actualizacin automtica para esos grupos.
Rutas de clientes compatibles con la migracin

El software siguiente se admite para la migracin a Symantec Endpoint Protection:
Symantec Protection Agent 5.1
Symantec Protection Agent 5.1 con Symantec AntiVirus 9.x y versiones

superiores
Symantec Protection Agent 5.1 con Symantec Client Security 2.x y versiones
superiores
Symantec Enforcement Agent 5.1
Symantec Enforcement Agent 5.1 con Symantec AntiVirus 9.x y versiones

superiores

Acerca de la migracin a Symantec Network Access Control 11.x
Symantec Enforcement Agent 5.1 con Symantec Client Security 2.x y versiones
superiores
Rutas de clientes no compatibles con la migracin

La migracin de clientes de Symantec Endpoint Protection 11.0 se bloquea cuando
se detecta cualquiera de las siguientes opciones de software:
Sygate Protection Agent 5.0
Sygate Enforcement Agent 5.0
Sygate Security Agent 3.x y 4.x
Todas las versiones de Whole Security Confidence Online Enterprise Edition.
Symantec Protection Agent 5.1 y Symantec AntiVirus 7.x y 8.x
Symantec Protection Agent 5.1 y Symantec Client Security 1.x
Symantec Enforcement Agent 5.1 y Symantec AntiVirus 7.x y 8.x
Symantec Enforcement Agent 5.1 y Symantec Client Security 1.x
Acerca de la migracin a Symantec Network Access

Control 11.x
Es posible migrar Symantec Network Access Control 5.1 a Symantec Network
Access Control 11.x. Ningn otro software de versiones anteriores de Sygate se
admite para esta migracin. Para migrar otras versiones, primero mgrelas a
Symantec Sygate Enterprise Protection 5.1.
Acerca de la migracin del software de servidor de versiones anteriores

de Symantec Sygate
Symantec Network Access Control y Symantec Network Access Control 5.1 es el
nico software que se admite para la migracin a Symantec Endpoint Protection
Manager y la consola de administracin para Symantec Network Access Control
11.x.
La migracin de Symantec Endpoint Protection Manager para Symantec Network
Access Control se bloquea cuando se detecta cualquiera de los siguientes elementos
de software:
Sygate Policy Manager 5.0
Sygate Management Server 3.x y 4.x
177
178

Whole Security Management Server, todas las versiones
Acerca de la migracin del software de cliente de versiones anteriores

de Symantec Sygate
Symantec Enforcement Agent 5.1 es el nico software que se admite para la
migracin a Symantec Network Access Control 11.0.
Nota: La migracin del agente migra todas las opciones existentes configuradas
para los clientes, mientras se exporte el paquete de instalacin de clientes para
sus grupos existentes. Luego realice una actualizacin automtica para esos
grupos.
La migracin de clientes de Symantec Network Access Control 11.0 se bloquea
cuando se detecta cualquiera de los siguientes elementos de software:
Sygate Enforcement Agent 5.0
Sygate Protection Agent 5.0 y superior
Sygate Security Agent 3.x y 4.x
Todas las versiones de Whole Security Confidence Online Enterprise Edition
Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec AntiVirus
Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec Client

Security

Symantec Endpoint Protection Manager es compatible con los mdulos Gateway,
DHCP Enforcer y LAN Enforcer de Symantec que se ejecutan en dispositivos de
hardware de versin 6100 solamente. Estos dispositivos admiten las versiones de
software 5.1, 5.1.5 y 11.x. Symantec Endpoint Protection Manager admite
solamente las versiones de software 5.1.5 y 11.x. Symantec Endpoint Protection
Manager no admite la versin de software 5.1. Tampoco se admiten las versiones
anteriores de Symantec Enforcer proporcionadas como software solamente.
Si su dispositivo Enforcer 6100 est ejecutando la versin 5.1 del software, es
necesario actualizar la imagen del software a la versin 5.1.5 o 11.x. Symantec
recomienda actualizar la imagen de la versin anterior del software a la versin
11.x a fin de utilizar la ltima versin. Todas las opciones de configuracin de
Enforcer se almacenan en el servidor de Symantec Endpoint Protection, de forma
que la configuracin de Enforcer se migra durante la migracin del servidor.


Migrar software de versiones anteriores de Symantec Sygate Enterprise Protection
tiene la misma complejidad que la arquitectura de red. Si tiene un servidor de
administracin de una versin anterior que administre clientes, instale los ltimos
componentes de administracin en el equipo que ejecuta los componentes de
administracin de Symantec Policy Manager 5.1. Eso es suficiente. Si hay
servidores adicionales de versiones anteriores que ejecutan la replicacin,
deshabilite la replicacin antes de la migracin y vuelva a habilitarla despus de
la migracin.
Si hay servidores adicionales de versiones anteriores que ejecutan conmutacin
por error o balanceo de carga, deshabilite el servicio de Symantec Policy Manager
en esos equipos. A continuacin, migre los servidores uno por uno. Comience con
el servidor que usted instal primero con el archivo de licencia y el secreto
precompartido. Despus de que se migren los servidores, stos administran
automticamente los clientes de versiones anteriores. A continuacin, utilice la
funcin de actualizacin automtica para migrar los equipos cliente a la ltima
versin, que es la manera ms fcil de migrar clientes.
Nota: Las situaciones del servidor admiten migraciones de Symantec Endpoint
Protection y de Symantec Network Access Control.
Migrar una instancia de instalacin que utiliza un servidor de

administracin
Migrar una instancia de instalacin que utiliza un servidor de administracin es
un proceso directo, ya que solamente se migra un sitio. Se instala Symantec
Endpoint Protection Manager en el equipo que ejecuta Symantec Sygate Enterprise
Protection. A continuacin, proceda a actualizar su software de cliente. La base
de datos tambin se migra. No importa si la base de datos es mantenida por el
servidor de bases de datos integradas o por una instancia de Microsoft SQL Server
local o remoto.
Para migrar un sitio que utiliza un servidor de administracin
Migre su servidor de administracin.

Ver "Migrar un servidor de administracin" en la pgina 183.
179
180

Migrar una instancia de instalacin que utiliza una base de datos de

Microsoft SQL y varios servidores de administracin
Migrar una instancia de instalacin que utiliza una base de datos y varios
servidores de administracin tiene las tres implicaciones siguientes:
Los servidores de administracin estn configurados para el balanceo de carga

o la conmutacin por error.
La base de datos se ejecuta en Microsoft SQL Server porque la conmutacin

por error y el balanceo de carga slo se admiten en Microsoft SQL Server.
La replicacin no se realiza porque hay solamente una base de datos.
Todas las instancias de instalacin tienen un sitio en el cual primero se instal el

servidor de administracin. Solamente uno de estos servidores de administracin
fue instalado con una licencia y un secreto precompartido. Es necesario migrar
este servidor de administracin primero. A continuacin, migre los otros servidores
de administracin instalados para la conmutacin por error y el balanceo de carga.
Para migrar una instancia de instalacin que utiliza una base de datos de Microsoft
SQL y varios servidores de administracin
En todos los servidores de administracin que no fueron instalados con la

licencia y el secreto precompartido, deshabilite el servicio de Symantec Policy
Manager con las Herramientas administrativas de Windows.
Ver "Detener los servidores antes de la migracin de balanceo de carga y
conmutacin por error" en la pgina 184.
Realice la autenticacin e inicie sesin en el equipo que contiene la instancia

de Symantec Policy Manager instalada con la licencia y el secreto
precompartido.
No inicie sesin en Symantec Policy Manager.
Migre el servidor de administracin.

Migre todos los servidores de administracin adicionales uno por uno.
Migrar una instancia de instalacin que utiliza varias bases de datos

integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas
y servidores de administracin tiene las dos implicaciones siguientes:

No se realiza conmutacin por error ni balanceo de carga porque la base de

datos integrada no admite servidores de conmutacin por error o balanceo de
carga.
Los servidores de administracin estn configurados solamente para

replicacin, porque no es posible instalar varios servidores de bases de datos
integradas sin instalarlos como servidores de replicacin.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de

administracin. Solamente uno de estos servidores de administracin fue instalado
con una licencia y un secreto precompartido. Es necesario migrar este servidor
de administracin primero. A continuacin, migre los otros servidores de
administracin instalados para la replicacin.
Para migrar una instancia de instalacin que utiliza varias bases de datos integradas
y servidores de administracin
En todos los servidores de administracin, deshabilite la replicacin.

Ver "Deshabilitar la replicacin antes de la migracin" en la pgina 184.

precompartido.
No inicie sesin en Symantec Policy Manager.

Migre todos los servidores de administracin adicionales uno por uno.
Despus de migrar los servidores, habilite la replicacin en cada servidor.

Ver "Habilitar la replicacin despus de la migracin" en la pgina 185.
Migrar una instancia de instalacin que utiliza varias bases de datos

SQL y servidores de administracin
Migrar un sitio que utiliza varias bases de datos SQL y servidores de administracin
tiene las dos implicaciones siguientes:
Se configura la replicacin porque utiliza varias bases de datos de Microsoft

SQL 2000.
Los servidores de administracin pueden estar configurados para el balanceo

de carga o la conmutacin por error.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de

administracin. Solamente uno de estos servidores de administracin fue instalado
con una licencia y un secreto precompartido. Es necesario migrar este servidor
181
182

de administracin primero. A continuacin, migre los otros servidores de

administracin instalados para la replicacin, la conmutacin por error y el
balanceo de carga.
Nota: Es posible tener una base de datos integrada que se replique con la base de
datos de Microsoft SQL. La base de datos integrada, sin embargo, no admite
servidores de conmutacin por error y balanceo de carga.
Para migrar una instancia de instalacin que utiliza varias bases de datos SQL y
servidores de administracin
En todos los servidores de administracin que realicen la replicacin en una

base de datos, deshabilite la replicacin.
Ver "Deshabilitar la replicacin antes de la migracin" en la pgina 184.
En todos los servidores de administracin que realicen balanceo de carga y

conmutacin por error para esa base de datos y que no fueron instalados con
la licencia y el secreto precompartido, deshabilite el servicio de Symantec
Policy Manager con las Herramientas administrativas de Windows.
Ver "Detener los servidores antes de la migracin de balanceo de carga y
conmutacin por error" en la pgina 184.

precompartido, pero no inicie sesin en Symantec Policy Manager.

Migre todos los servidores de administracin adicionales que realicen

conmutacin por error y balanceo de carga uno por uno.
Repita los pasos anteriores hasta que haya migrado todos los sitios.
Vuelva a habilitar la replicacin en un sitio por vez hasta que todos los sitios
realicen replicacin nuevamente.
Ver "Habilitar la replicacin despus de la migracin" en la pgina 185.
Procedimientos de migracin de servidores de

administracin
Utilice estos procedimientos para migrar servidores y consolas de administracin,
y bases de datos de administracin que se basan en las situaciones correspondientes

a sus entornos y sitios. El orden en el cual usted sigue estos pasos depende de la
situacin de la migracin.
Ver "Situaciones de migracin de servidores" en la pgina 179.
Migrar un servidor de administracin

Es necesario migrar todos los servidores de administracin antes de migrar
clientes. Si migra los servidores de administracin en un entorno que admita
balanceo de carga, conmutacin por error o replicacin, es necesario preparar y
migrar los servidores de administracin en un orden muy especfico.
Ver "Situaciones de migracin de servidores" en la pgina 179.
Advertencia: Identifique y siga su situacin de migracin para que la migracin
no presente errores.
Si migra los servidores de Symantec Sygate Enterprise Protection que han
implementado polticas de integridad del host o proteccin de Enforcer, primero
instale Symantec Endpoint Protection Manager para Symantec Endpoint
Protection. A continuacin, repita el procedimiento e instale Symantec Endpoint
Protection Manager para Symantec Network Access Control a fin de acceder a las
funciones de Integridad del host y de Enforcer.
Para migrar un servidor de administracin
Inserte uno de los siguientes CD de instalacin en el servidor que desea migrar

e inicie la instalacin:
En el panel de Symantec AntiVirus, haga clic en Instalar Symantec

Endpoint Protection y despus haga clic en Symantec Endpoint
Protection Manager.
En el panel de Symantec Network Access Control, haga clic en Instalar

Symantec Network Access Control y despus haga clic en Symantec
Haga clic en las indicaciones de instalacin hasta que la instalacin comience.

La instalacin inicial de archivos dura varios minutos.
En el panel Asistente de instalacin finalizado, haga clic en Finalizar.
183
184

En el panel de bienvenida del Asistente para la actualizacin de servidores

de administracin, haga clic en Siguiente.
En la indicacin de informacin, haga clic en Continuar.
Cuando el Estado de actualizacin del servidor es correcto, haga clic en

Siguiente.
En el panel La actualizacin se realiz correctamente, haga clic en Finalizar.
10 Cuando aparece el panel de inicio de sesin de Symantec Endpoint Protection

Manager, inicie sesin en la consola usando sus credenciales de inicio de
sesin de la versin anterior.
11 (Opcional) Si necesita instalar Symantec Endpoint Protection Manager para

Symantec Network Access Control, cierre la sesin de Symantec Endpoint
Protection Manager. Despus repita este procedimiento e instale Symantec
Endpoint Protection Manager para Symantec Network Access Control desde
el CD de instalacin de Symantec Network Access Control.
No es necesario reiniciar el equipo, pero puede notar mejoras del rendimiento
si reinicia el equipo e inicia sesin.
Detener los servidores antes de la migracin de balanceo de carga y

conmutacin por error
Si tiene servidores de versiones anteriores de Symantec que realicen balanceo de
carga y conmutacin por error, debe detener el servicio de Symantec Policy
Manager en todos esos servidores. Esto impide que los servidores de versiones
anteriores intenten actualizar la base de datos durante la migracin, ya que no se
necesita que los servidores de versiones anteriores intenten actualizar la base de
datos actualizada.
Para detener los servidores que proporcionan balanceo de carga y conmutacin
por error
administrativas.
En la ventana Servicios, bajo Nombre, desplcese hasta Symantec Policy

Manager y haga clic con el botn secundario sobre esta opcin.
Haga clic en Detener.
Deshabilitar la replicacin antes de la migracin

Si tiene sitios de versiones anteriores de Symantec configurados para la replicacin,
es necesario deshabilitar la replicacin antes de la migracin. Los sitios no deben
intentar replicar datos entre la base de datos de la versin anterior y la actualizada

durante la migracin o despus de ella. Es necesario deshabilitar la replicacin

en cada sitio en que corresponda, lo cual significa que es necesario iniciar sesin
en al menos dos sitios e deshabilitar la replicacin en ellos.
Para deshabilitar la replicacin
Inicie sesin en la Consola Symantec Policy Management si no est conectado.
En la ficha Servidores, en el panel izquierdo, expanda Sitio local y despus

expanda Asociados de replicacin.
Para cada sitio que se mencione bajo Asociados de replicacin, haga clic con
el botn secundario en el sitio y despus haga clic en Eliminar.
En la indicacin Eliminar asociado, haga clic en S.
Cierre sesin en la consola y repita este procedimiento en todos los sitios que
repliquen datos.
Habilitar la replicacin despus de la migracin

Despus de que usted migre todos los servidores que utilizaron la replicacin, la
conmutacin por error y el balanceo de carga, debe volver a habilitar la replicacin.
Despus de la migracin, agregue un asociado de replicacin para habilitar la
replicacin. Slo debe agregar asociados de replicacin en el equipo en el que
instal el servidor de administracin. Los asociados de replicacin aparecen
automticamente en los otros servidores de administracin.
Para habilitar la replicacin despus de la migracin

el botn secundario en el sitio y despus haga clic en Agregar asociado.
En el panel Agregar asociado de replicacin, haga clic en Siguiente.
En el panel Informacin del sitio remoto, escriba la informacin que identifica

al asociado de replicacin, escriba la informacin de autenticacin y, luego,
En el panel Programar replicacin, configure la programacin para cuando

ocurra la replicacin automticamente y, luego, haga clic en Siguiente.
En el panel Replicacin de paquetes de cliente y archivos de registro, active

los elementos para replicar y, luego, haga clic en Siguiente.
Replicar los paquetes implica generalmente grandes cantidades de requisitos
de trfico y de almacenamiento.
185
186

Cambios de la interfaz y de las funciones del usuario de la consola despus de la migracin
En el panel Completar el Asistente para agregar asociados de replicacin,

Repita este paso para todos los servidores de administracin que replican
datos con este servidor de administracin.
Cambios de la interfaz y de las funciones del usuario

de la consola despus de la migracin
Los siguientes cambios de las interfaces de usuario aparecen despus de la
migracin:
El men Iniciar programa de Symantec Policy Manager se modifica en la

Consola de Symantec Endpoint Protection Manager.
El directorio de instalacin y el nombre del servicio conservan el nombre de

versin anterior de Symantec Policy Manager y no cambian el nombre.
Las polticas de proteccin de SO de versin anterior aparecen como polticas

de proteccin de dispositivos de hardware.
Varios nuevos tipos de polticas estn disponibles para LiveUpdate, AntiVirus

y AntiSpyware, y as sucesivamente. No es posible utilizar las nuevas polticas
hasta que migre los clientes.
Los paquetes de instalacin de clientes de una versin anterior se quitan de la

base de datos de modo que no aparezcan en la consola migrada. Sin embargo,
estos paquetes an permanecen en el directorio de paquetes de versin anterior.
Es necesario exportar los nuevos paquetes de instalacin de clientes a un
directorio diferente.
El Programador de informes est disponible ahora desde la ficha Informes en

lugar del cuadro de dilogo Propiedades del sitio del servidor.
Se ha desaprobado la administracin de la licencia y no se necesita ms.
La Administracin de paquetes est disponible ahora en el panel Servidores

en lugar de en el panel Administrador de clientes de una versin anterior.
Los componentes de la Biblioteca de polticas tales como Listas de servidores

de administracin y Servicios de red estn disponibles ahora en el panel
Polticas, en las listas de Polticas e identificados como Componentes de
polticas.
Las funciones de la ficha de Servidores y administradores se han consolidado

en el panel Administrador.
La migracin del servidor depura todos los paquetes de instalacin de clientes

de la base de datos. Estos paquetes ya no se admiten, y la eliminacin de

paquetes no afecta a los clientes conectados. Esta purgacin previene solamente

las nuevas implementaciones de los paquetes de clientes de una versin
anterior.

Para migrar consolas de administracin remotas de versiones anteriores, se
instalan las ltimas consolas de administracin remotas en los equipos que
ejecutan las consolas de versiones anteriores. Los iconos de versiones anteriores
de Symantec Policy Manager y el men de inicio del programa no se migran. Sin
embargo, cuando hace clic en el icono o elemento de men, stos muestran la
nueva indicacin de inicio de sesin de Symantec Endpoint Protection Manager.
Las consolas de administracin remotas de versiones anteriores descargan e
instalan Sun Java 1.4 runtime. Esta nueva versin de la consola de administracin
remota descarga e instala Sun Java 1.5 al equipo remoto. Si no es necesario Sun
Java 1.4 runtime para ninguna otra aplicacin, es posible quitarla con la utilidad
de Windows Agregar o quitar programas.
Para migrar consolas de administracin remotas
En el equipo en el cual se instalar la consola de administracin, inicie un

navegador Web.
En el cuadro URL, escriba uno de los identificadores siguientes para el equipo

que ejecuta el administrador de polticas:
http://nombre_equipo: 9090
http://direccin_IP_equipo: 9090
9090 es el puerto predeterminado, que puede modificarse en el archivo

tomcat\conf\server.xml.
En la ventana Consola Symantec Policy Management, haga clic en Aqu para

descargar e instalar JRE 1.5.
Responda y siga las indicaciones e inicie sesin en la Consola de Symantec

Acerca de la configuracin de polticas migradas y

nuevas
La Consola de Symantec Endpoint Protection Manager permite administrar clientes
de versiones anteriores. Si migr a Symantec Endpoint Protection, la consola
tambin contiene las polticas migradas de firewall y de prevencin de intrusiones
187
188

Acerca de la eliminacin de la proteccin de contrasea del cliente de la configuracin del grupo
que contienen la configuracin anterior. Adems, tambin estn disponibles las

nuevas polticas. Como resultado, es necesario familiarizarse con las nuevas
polticas que afectan a sus grupos antes de migrar clientes de versiones anteriores.
Por ejemplo, si decide agregar proteccin antivirus y contra software espa a sus
clientes durante la migracin, familiarcese con la configuracin de la poltica
antivirus y contra software espa. La configuracin de LiveUpdate y las polticas
de contenido de LiveUpdate tambin afectan a Symantec Endpoint Protection y
a Symantec Network Access Control. Como resultado, es necesario conocer
profundamente estas polticas y cmo afectan a sus grupos y ubicaciones antes
de la migracin de clientes.
Acerca de la eliminacin de la proteccin de

contrasea del cliente de la configuracin del grupo
La configuracin de los grupos se migra e incluye las opciones de proteccin de
contrasea del cliente del grupo. Si la configuracin del grupo habilita una o ms
contraseas, por ejemplo para la desinstalacin, la migracin del cliente presentar
errores para ciertas versiones de MR. Se recomienda deshabilitar estas contraseas
en los grupos migrados con la Consola de Symantec Endpoint Protection Manager
antes de migrar software de cliente de versiones anteriores. La configuracin de
proteccin mediante contrasea aparece en Configuracin general para cada
grupo. Es posible volver a habilitar estas contraseas despus de la migracin.
Advertencia: Si no deshabilita la contrasea de desinstalacin e implementa nuevos
paquetes de instalacin de clientes, es posible que deba escribir esta contrasea
en cada equipo cliente para realizar la migracin del cliente. Si implementa 100
o ms clientes, puede tener que enviar por correo electrnico la contrasea a los
usuarios finales.
Migrar software de cliente de versiones anteriores

de Symantec Sygate
La manera ms fcil de migrar software de Symantec Protection Agent y Symantec
Enforcement Agent es usando la funcin de actualizacin automtica. Se admiten
el resto de los mtodos de implementacin de software de cliente, pero el enfoque
de actualizacin automtica es la manera ms fcil. La migracin puede durar
hasta 30 minutos. Por lo tanto, es necesario migrar cuando la mayora de los
usuarios no estn conectados a sus equipos.

Nota: Pruebe este enfoque de migracin antes de distribuir la migracin a una

gran cantidad de equipos. Es posible crear un nuevo grupo y colocar una pequea
cantidad de equipos cliente en ese grupo.
Para migrar software de cliente
Inicie sesin en la Consola de Symantec Endpoint Protection Manager

recientemente migrada, si no est conectado.
Haga clic en Administrador > Paquetes de instalacin.
En el panel inferior izquierdo, bajo Tareas, haga clic en Actualizar los grupos
con el paquete.
En el panel Bienvenido al Asistente para actualizar grupos, haga clic en

Siguiente.
En el panel Seleccionar paquete de instalacin de clientes, en el men

desplegable A continuacin se enumeran los paquetes de cliente existentes,
realice una de las siguientes acciones:
Haga clic en Symantec Endpoint Protection <versin correspondiente>.
Haga clic en Symantec Network Access Control <versin

correspondiente>.
En el men desplegable Seleccione a continuacin la funcin personalizada,

haga clic en las funciones que usted desea instalar en sus clientes para la
migracin y haga clic en Siguiente.
En el panel Especificar grupos, marque uno o ms grupos que contengan los

equipos cliente que usted desea para migrar y haga clic en Siguiente.
En el panel Configuracin de actualizacin de paquetes, marque Descargar

cliente desde el servidor de administracin.
Nota: Es posible preparar y seleccionar opcionalmente un paquete en un
servidor Web.
Haga clic en Opciones de actualizacin.
10 En el cuadro de dilogo Agregar paquete de instalacin de clientes, en General

y Notificacin, especifique una programacin de cundo migrar los equipos
cliente, y especifique un mensaje que se mostrar a los usuarios durante la
migracin.
11 Para obtener informacin sobre las opciones de estas fichas, haga clic en
Ayuda.
189
190


13 En el cuadro de dilogo Instalar paquetes de cliente, haga clic en Siguiente.
14 En el panel Completando el Asistente para actualizar clientes, haga clic en
Finalizar.
Captulo
Actualizar a los nuevos

productos de Symantec
Acerca de la actualizacin a nuevos productos de Symantec
Actualizar Symantec Endpoint Protection Manager
Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec

Acerca de actualizar clientes de Symantec Network Access Control con

Acerca de la actualizacin a nuevos productos de

Symantec
Symantec Endpoint Protection Manager admite la administracin y la
implementacin de los siguientes productos de Symantec:
Es posible actualizar Symantec Endpoint Protection con Symantec Network Access

Control y Symantec Network Access Control con Symantec Endpoint Protection.

Para actualizar Symantec Endpoint Protection Manager para Symantec Endpoint
Protection, instale Symantec Endpoint Protection Manager para Symantec Network
192

Access Control en los mismos equipos en los que ejecuta Symantec Endpoint
Protection Manager para Symantec Endpoint Protection.
Para actualizar Symantec Endpoint Protection Manager para Symantec Network
Access Control, instale Symantec Endpoint Protection Manager para Symantec
Endpoint Protection en los mismos equipos en los que ejecuta Symantec Endpoint
Protection Manager para Symantec Network Access Control.
Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection
Manager antes de actualizar la instalacin existente de Symantec Endpoint
Protection Manager. Si no lo hace, daar la instalacin existente de Symantec
Realizar una copia de respaldo de la base de datos

Antes de la actualizacin, debe realizar una copia de respaldo de la base de datos.
Para realizar una copia de respaldo de la base de datos
> Herramientas de la base de datos de Symantec.
En el cuadro de dilogo Kit de herramientas de administracin de Symantec,

haga clic en Realizar copia de respaldo de base de datos.
Cuando aparezca la indicacin de Mensaje, haga clic en Aceptar.
En el cuadro de dilogo Kit de herramientas de administracin de Symantec,

haga clic en Salir.
Deshabilitar la replicacin
Si su sitio utiliza replicacin, es necesario deshabilitarla antes de actualizar
Symantec Endpoint Protection Manager. Debe deshabilitar la replicacin en cada
sitio en que se produzca.
Para deshabilitar la replicacin

el botn secundario en el sitio y despus haga clic en Eliminar.

En la indicacin Eliminar asociado, haga clic en S.
Cierre sesin en la consola y repita este procedimiento en todos los sitios que
repliquen datos.
Detener el servicio de Symantec Endpoint Protection Manager

Antes de realizar la actualizacin, debe detener manualmente el servicio de
Symantec Endpoint Protection Manager en cada servidor de administracin de
su sitio. Despus de que realice la actualizacin, el servicio se inicia
automticamente.
Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection
Manager antes de que realice este paso o se daar la instalacin existente de
Para detener el servicio de Symantec Endpoint Protection Manager
administrativas.
En la ventana Servicios, bajo Nombre, desplcese hasta Symantec Endpoint

Protection Manager y haga clic con el botn secundario sobre esta opcin.
Haga clic en Detener.
Cierre la ventana Servicios.

Advertencia: Cierre la ventana Servicios o la actualizacin puede fallar.
Repita este paso para todos los Symantec Endpoint Protection Manager.

Es necesario actualizar todas las instancias de Symantec Endpoint Protection
Manager en los que detuvo el servicio de Symantec Endpoint Protection.
Para actualizar Symantec Endpoint Protection Manager
Inserte uno de los siguientes CD de instalacin en el servidor que desea

actualizar e inicie la instalacin:
193
194

En el panel Symantec Endpoint Protection, haga clic en Instalar Symantec

Endpoint Protection y, luego, haga clic en Symantec Endpoint Protection
Manager.
En el panel de Symantec Network Access Control, haga clic en Instalar

Symantec Network Access Control y despus haga clic en Symantec
En el panel Asistente para la actualizacin, haga clic en Siguiente.
En el panel Informacin, haga clic en Continuar.
Cuando la actualizacin termine, haga clic en Siguiente.
En el panel La actualizacin se realiz correctamente, haga clic en Finalizar.
Habilitar la replicacin despus de la migracin

Despus de que migre todos los servidores que utilizaban la replicacin, incluidos
los servidores que fueron configurados para la conmutacin por error y el balanceo
de carga, debe volver a habilitar la replicacin. Despus de la migracin, agregue
un asociado de replicacin para habilitar la replicacin. Slo debe agregar asociados
de replicacin en el equipo en el que instal el servidor de administracin. Los
asociados de replicacin aparecen automticamente en los otros servidores de
administracin.
Para habilitar la replicacin despus de la migracin

el botn secundario en el sitio y despus haga clic en Agregar asociado.
En el panel Agregar asociado de replicacin, haga clic en Siguiente.
En el panel Informacin del sitio remoto, escriba la informacin que identifica

sobre el asociado de replicacin, escriba la informacin de autenticacin y,
luego, haga clic en Siguiente.
En el panel Programar replicacin, configure la programacin para cuando

ocurra la replicacin automticamente y, luego, haga clic en Siguiente.
En el panel Replicacin de paquetes de cliente y archivos de registro, active

los elementos para replicar y, luego, haga clic en Siguiente.
Replicar los paquetes implica generalmente grandes cantidades de requisitos
de trfico y de almacenamiento.

Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control
En el panel Completar el Asistente para agregar asociados de replicacin,

Repita este paso para todos los equipos que replican datos con este equipo.
Acerca de actualizar clientes de Symantec Endpoint

Protection con Symantec Network Access Control
Los clientes de Symantec Endpoint Protection incluyen Symantec Network Access
Control y no necesitan ser actualizados. Despus de actualizar Symantec Endpoint
Protection Manager para Symantec Network Access Control, puede aplicar polticas
de integridad del host en sus clientes existentes.
Acerca de actualizar clientes de Symantec Network

Access Control con Symantec Endpoint Protection
Se actualizan los clientes de Symantec Network Access Control con la instalacin
de Symantec Endpoint Protection en esos clientes. La instalacin detecta
automticamente el cliente de Symantec Network Access Control, lo quita y
despus instala el software de cliente de Symantec Endpoint Protection. Es posible
implementar el software de cliente usando mtodos de implementacin de clientes
compatibles.
195
196

Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection
Apndice
Funciones y propiedades de
instalacin de Symantec
Endpoint Protection
En este Apndice se incluyen los temas siguientes:
Acerca de las funciones y propiedades de instalacin
Funciones y propiedades de la instalacin de clientes
Parmetros de Windows Installer
Propiedades del Centro de seguridad de Windows
Acerca de la utilizacin del archivo de registro para comprobar errores
Identificacin del punto de falla de una instalacin
Ejemplos de lnea de comandos

Las funciones y propiedades de instalacin son las cadenas que aparecen en
archivos de texto y lneas de comando. Los archivos de texto y las lneas de
comando se procesan durante todas las instalaciones de software de cliente para
Symantec Endpoint Protection. Las funciones de instalacin controlan qu
componentes se instalan, y las propiedades de instalacin controlan qu
subcomponentes se habilitan o se deshabilitan despus de la instalacin. Las
funciones y las propiedades de instalacin estn disponibles para el software del
cliente de Symantec Endpoint Protection solamente, y tambin estn disponibles
para el sistema operativo Windows. Las funciones y las propiedades de instalacin
198
Funciones y propiedades de instalacin de Symantec Endpoint Protection

no estn disponibles para el software de cliente de Symantec Network Access

Control, o para las instalaciones de Symantec Endpoint Protection Manager.
Las funciones y las propiedades de instalacin se especifican en dos maneras:
como lneas en el archivo Setaid.ini y como valores en comandos de Windows
Installer (MSI). Los comandos de MSI se pueden especificar en cadenas de Windows
Installer y en vpremote.dat, para la implementacin personalizada del Asistente
de implementacin mediante transferencia. Los comandos de Windows Installer
y Setaid.ini se procesan siempre para todas las instalaciones de software de clientes
administrados. Si se especifican distintos valores para las mismas funciones y
valores, las funciones y los valores de Setaid.ini toman siempre precedencia,
porque este archivo se procesa ltimo.
Por ejemplo, si una funcin de MSI especifica que se instalar el Firewall y
Prevencin de intrusiones, y setaid.ini especifica que no se instale el Firewall y
Prevencin de intrusiones, no se instalarn el Firewall ni Prevencin de intrusiones.
Acerca de la configuracin de Setaid.ini

Setaid.ini aparece en todos los paquetes de instalacin. Setaid.ini toma siempre
precedencia sobre cualquier configuracin que pueda aparecer en una cadena de
comando de MSI que se utilice para iniciar la instalacin. Setaid.ini aparece en el
mismo directorio que setup.exe. Si exporta a un solo archivo .exe, no es posible
configurar Setaid.ini. Sin embargo, el archivo se configura automticamente
cuando se exportan los archivos de instalacin del cliente de Symantec Endpoint
Protection desde la consola.
Las lneas siguientes muestran algunas de las opciones que es posible configurar
en Setaid.ini. El valor 1 habilita una funcin y el valor 0 deshabilita una funcin.
[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=
[FEATURE_SELECTION]
Core=1
SAVMain=1
EmailTools=1
OutlookSnapin=1
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1

COHMain=1
ITPMain=1
Firewall=1
Nota: Las funciones se muestran con sangra para mostrar jerarqua. Las funciones
no incluyen esta sangra dentro del archivo Setaid.ini. Los nombres de funciones
en Setaid.ini diferencian entre maysculas y minsculas.
Ver "Funciones y propiedades de la instalacin de clientes" en la pgina 200.
Los valores de funciones que se configuran en 1 instalan las funciones. Los valores
de funciones que se configuran en 0 no instalan las funciones. Es necesario
especificar e instalar las funciones principales correctamente para instalar las
funciones del cliente segn las indicaciones del rbol de funciones.
Ver Figura A-1 en la pgina 200.
La nica vez que Setaid.ini no se procesa es cuando se instala el software de cliente
con los archivos del directorio SAV del CD de instalacin. Es posible instalar estos
archivos con herramientas de distribucin de otros fabricantes, como SMS.
Es necesario tambin tener en cuenta las siguientes opciones de configuracin de
setaid.ini que asignan propiedades de MSI para la instalacin del cliente de
Symantec Endpoint Protection:
DestinationDirectory se asigna a INSTALLDIR
KeepPreviousSetting se asigna a MIGRATESETTINGS
AddProgramIntoStartMenu se asigna a ADDSTARTMENUICON
Acerca de la configuracin de cadenas de comando de MSI

El software de instalacin de Symantec Endpoint Protection utiliza paquetes de
Windows Installer (MSI) 3.1 para la instalacin y la implementacin. Si utiliza la
lnea de comandos para instalar o para implementar un paquete de instalacin,
puede personalizar la instalacin con los parmetros estndar de Windows Installer
y las funciones y propiedades especficas de Symantec.
Para utilizar este programa de instalacin de Windows, se necesitan privilegios
elevados. Si se intenta realizar la instalacin sin los privilegios elevados, el proceso
fallar sin que se muestre ninguna notificacin. Para obtener la informacin ms
actualizada acerca de los parmetros y los comandos de instalacin de Symantec,
consulte la base de conocimientos del sitio Web de Symantec.
199
200

Nota: No se admite la funcin de anuncios de Microsoft Installer. Las funciones y

propiedades especificadas en Setaid.ini tienen precedencia sobre las funciones y
propiedades especificadas por MSI. Los nombres de las funciones y propiedades
en los comandos de MSI diferencian entre maysculas y minsculas.

Las funciones y las propiedades de la instalacin de clientes afectan las
instalaciones de clientes de Symantec Endpoint Protection.
Funciones del cliente de Symantec Endpoint Protection

Las funciones de Symantec Endpoint Protection pueden instalarse especificndolas
en archivos Setaid.ini y en comandos de MSI. La mayora de las funciones tienen
una relacin de elemento principal y secundario. Si desea instalar una funcin
secundaria que tenga una funcin principal, es necesario tambin instalar la
funcin principal.
La Figura A-1 ilustra el rbol de funciones para el software de cliente de Symantec
Figura A-1
rbol de funciones
El rbol de funciones muestra cuatro funciones primarias a la izquierda. Siempre

se debe especificar la funcin Core para la instalacin, pues contiene las funciones
base de comunicaciones de los clientes. Las otras tres funciones se pueden instalar
como funciones independientes. SAVMain instala la proteccin antivirus y contra
software espa, PTPMain instala la proteccin proactiva contra amenazas e
ITPMain instala la proteccin contra amenazas de red.

Nota: COHMain y DCMain necesitan dos servidores principales. COHMain, que es

el Anlisis de amenazas proactivo, necesita PTPMain y SAVMain. DCMain, que
es el Control de aplicaciones y dispositivos, necesita PTPMain e ITPMain.
Para setaid.ini y MSI, si usted especifica una funcin secundaria, pero no especifica
su funcin principal, la funcin secundaria se instala. Sin embargo, la funcin no
podr utilizarse porque la funcin principal no est instalada. Por ejemplo, si
especifica la instalacin de la funcin de firewall, pero no especifica la instalacin
de ITPMain, su funcin principal, el firewall no se instala.
La Tabla A-1 describe las funciones que se pueden instalar para la instalacin del
cliente de Symantec Endpoint Protection, junto con cualquier propiedad disponible.
Tabla A-1
Funciones del cliente de Symantec Endpoint Protection
Funcin
Descripcin
Funciones principales
obligatorias
Core
Instala los archivos que se utilizan Ninguno

para las comunicaciones entre los
clientes y Symantec Endpoint
Protection Manager. Esta funcin
es obligatoria.
SAVMain
Instala los archivos de las funciones Ninguno

antivirus y contra software espa
bsicas.
SymProtectManifest Instala la funcin Proteccin contra Ninguno

intervenciones.
EmailTools
Instala los archivos bsicos de la

SAVMain
funcin Auto-Protect para el correo
electrnico.
NotesSnapin
Instala la funcin de correo

electrnico de Auto-Protect para
Lotus Notes.
SAVMain, EmailTools
OutlookSnapin
Instala la funcin de correo

electrnico de Auto-Protect para
Microsoft Exchange.
SAVMain, EmailTools
Pop3Smtp
Instala la funcin Auto-Protect para SAVMain, EmailTools

correo electrnico de Internet.
201
202

Funcin
Descripcin
Funciones principales
obligatorias
PTPMain

funcin de Proteccin proactiva
contra amenazas.
Ninguno
COHMain
Instala la funcin Anlisis de

amenazas proactivo.
PTPMain, SAVMain
DCMain
Instala la funcin Control de

aplicaciones y dispositivos.
PTPMain, ITPMain
ITPMain

funcin de Proteccin contra
amenazas de red.
Ninguno
Firewall
Instala la funcin del firewall.
IPTMain

Protection
La Tabla A-2 describe las propiedades de instalacin que pueden configurarse
para SAVMain y SymProtect.
Tabla A-2

Protection
Propiedad
Descripcin
RUNLIVEUPDATE=<valor>
Determina si se debe ejecutar LiveUpdate como parte de la instalacin,

donde <valor> corresponde a uno de los valores siguientes:
1: ejecuta LiveUpdate durante la instalacin (configuracin
predeterminada).
0: no ejecuta LiveUpdate durante la instalacin.
De forma predeterminada, todos los clientes de Symantec Endpoint

Protection en un grupo reciben las ltimas versiones de todo el
contenido y de todas las actualizaciones del producto. Si se configura
un grupo de clientes para que obtenga actualizaciones de un servidor
de administracin, los clientes reciben slo las actualizaciones que
el servidor est configurado para descargar. Si la poltica de contenido
de LiveUpdate se configura para permitir todas las actualizaciones,
pero el servidor de administracin no se configura para descargar
todas las actualizaciones, los clientes reciben slo lo que el servidor
descarga.

Propiedad
Descripcin
ENABLEAUTOPROTECT=<valor>
Determina si Auto-Protect para el sistema de archivos est activado

una vez finalizada la instalacin, donde <valor> corresponde a uno
de los valores siguientes:
1: habilita Auto-Protect despus de la instalacin (valor
predeterminado).
0: deshabilita Auto-Protect despus de la instalacin.
SYMPROTECTDISABLED=<valor>
Determina si se debe habilitar Proteccin contra intervenciones como

parte de la instalacin, donde <valor> corresponde a uno de los valores
siguientes:
1: deshabilita Proteccin contra intervenciones despus de la
instalacin.
0: habilita Proteccin contra intervenciones despus de la
instalacin (valor predeterminado).

Los paquetes de instalacin de Symantec Endpoint Protection emplean los
parmetros estndar de Windows Installer junto a un conjunto de extensiones
para la instalacin y la implementacin desde la lnea de comandos. Consulte la
documentacin de Windows Installer para obtener informacin adicional acerca
del uso de los parmetros estndar de Windows Installer. Es posible tambin
ejecutar msiexec.exe desde una lnea de comandos para ver la lista completa de
parmetros.
La Tabla A-3 describe el grupo de parmetros bsicos que se utilizan para las
instalaciones de clientes de Symantec Endpoint Protection.
Tabla A-3
Comandos
Parmetro
Descripcin
Symantec AntiVirus.msi
Archivo de instalacin de Symantec AntiVirus.msi para el cliente de Symantec

Endpoint Protection. Si algn archivo .msi contiene espacios, escriba el nombre
del archivo entre comillas cuando se utilice con /I y /x.
Obligatorio.
Msiexec
Archivo ejecutable de Windows Installer.

Obligatorio.
203
204

Parmetro
Descripcin
/I <"nombre de archivo
msi">
Instala el archivo .msi especificado. Si el nombre del archivo contiene espacios,

escriba el nombre entre comillas. Si el archivo .msi no est en el mismo directorio
desde el que se ejecuta Msiexec, especifique el nombre de la ruta de acceso. Si el
nombre de la ruta de acceso contiene espacios, escrbalo entre comillas. Por ejemplo,
msiexec.exe /I C: <ruta a> Symantec AntiVirus .msi
Obligatorio.
/qn
Permite realizar la instalacin de forma silenciosa.
/x <"nombre de archivo
msi">
Permite desinstalar los componentes especificados.
/qb
Permite instalar con una interfaz de usuario bsica que muestra el progreso de la
instalacin.
Opcional.
Opcional.
/l*v <archivo de
registro>
Crea un archivo de registro detallado, donde <archivo de registro> corresponde al

nombre del archivo que se quiere crear.
Opcional.
INSTALLDIR=<ruta>
Permite designar una ruta personalizada en el equipo de destino, donde <ruta>

corresponde al directorio de destino especificado. Si la ruta incluye espacios, deber
escribirla entre comillas.
Nota: El directorio predeterminado es C:\Program Files\Symantec Endpoint

Protection.
Opcional.
REBOOT=<valor>
Controla el reinicio del equipo tras la instalacin, donde <valor> corresponde a un

argumento vlido.
Los argumentos vlidos son:
Force: exige que se reinicie el equipo. Necesario para la desinstalacin.
Suppress: impide que se reinicie el equipo en la mayora de las ocasiones.
ReallySuppress: impide todos los reinicios como parte del proceso de instalacin,
incluso las instalaciones silenciosas.
Opcional.
Nota: Utilice ReallySuppress para suprimir un reinicio cuando se realiza una

desinstalacin silenciosa del cliente de Symantec Endpoint Protection.

Parmetro
Descripcin
ADDLOCAL= <funcin>
Permite seleccionar las funciones que se quieren instalar, donde <funcin>

corresponde a un componente especfico o a una lista de componentes. Si esta
propiedad no se utiliza, todas las funciones aplicables se instalan de forma
predeterminada, y los clientes de correo electrnico de Auto-Protect se instalan
slo para los programas de correo detectados.
Para agregar todas las funciones apropiadas para las instalaciones de clientes,
utilice el comando ALL como en ADDLOCAL=ALL.
Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 200.
Nota: Cuando especifique una nueva funcin para instalarla, deber incluir los
nombres de las funciones que ya estn instaladas en el equipo de destino y que
quiera conservar. Si no se especifican las funciones que se quieren conservar,
Windows Installer las desinstala. Al especificar las funciones existentes, no se
sobrescriben las funciones instaladas. Para desinstalar una funcin existente, utilice
el comando REMOVE.
Opcional.
REMOVE=<funcin>
Desinstala un programa instalado previamente o una funcin especfica del

programa instalado, donde <funcin> puede corresponder a uno de los siguientes
elementos:
<funcin>: desinstala la funcin o la lista de funciones del equipo de destino.
ALL: desinstala el programa y todas las funciones instaladas. Si no se especifica

otra funcin, All es el valor predeterminado.
Opcional.

Es posible personalizar las propiedades del Centro de seguridad de Windows (WSC,
Windows Security Center) durante la instalacin del cliente de Symantec Endpoint
Protection. Estas propiedades se aplican slo a clientes no administrados. Symantec
Policy Manager controla estas propiedades para los equipos cliente administrados.
La Tabla A-4 describe las propiedades que se pueden configurar para controlar la
interaccin entre usuarios y el Centro de seguridad de Windows (WSC) que se
ejecuta en Windows XP con Service Pack 2.
205
206

Acerca de la utilizacin del archivo de registro para comprobar errores
Tabla A-4
Propiedad
Descripcin
WSCCONTROL=<valor>
Controla WSC, donde <valor> corresponde a uno de

los valores siguientes:
0: no controlar (valor predeterminado).
1: deshabilitar uno, la primera vez que se

detecta.
2: deshabilitar siempre.
WSCAVALERT=<valor>
WSCFWALERT=<valor>
WSCAVUPTODATE=<valor>
3: restaurar si est deshabilitado.
Configura alertas de antivirus para WSC, donde

<valor> corresponde a uno de los valores siguientes:
0: habilitar.
1: deshabilitar (valor predeterminado).
2: no controlar.
Configura alertas de firewall para WSC, donde

<valor> corresponde a uno de los valores siguientes:
0: habilitar.
1: deshabilitar (valor predeterminado).
2: no controlar.
Configura el tiempo de desactualizacin de WSC

para definiciones antivirus, donde <valor>
corresponde a uno de los valores siguientes:
1 - 90: nmero de das (el valor predeterminado es
30).
DISABLEDEFENDER=<valor>
Determina si se deshabilita Windows Defender

durante la instalacin, donde <valor> corresponde
a uno de los valores siguientes:
1: deshabilita Windows Defender (configuracin
predeterminada).
0: no deshabilita Windows Defender.
Acerca de la utilizacin del archivo de registro para

comprobar errores
Windows Installer y el Asistente de implementacin mediante transferencia crean
archivos de registro que se pueden utilizar para verificar si una instalacin se

realiz correctamente. En los archivos de registro se enumeran los componentes

que se instalaron correctamente y se brindan detalles relacionados con el paquete
de instalacin. Estos archivos tambin pueden emplearse como una herramienta
eficaz para solucionar las instalaciones que fallen.
Si la instalacin se realiza correctamente, se indicar con una entrada en el archivo
de registro cerca del final. Si la instalacin no es correcta, una entrada indica que
la instalacin fall. Tpicamente, busque Value 3 para encontrar incidentes. Se
especifica el archivo de registro y la ubicacin con el parmetro /l*v <nombre de
archivo de registro>. El archivo de registro (vpremote.log) que se crea cuando
se utiliza el Asistente de implementacin mediante transferencia se encuentra
en el directorio \\Windows\temp.
Nota: Cada vez que se ejecuta el paquete de instalacin, se sobrescribe el archivo
de registro. No se permite aadir registros al final de un archivo de registro
existente.

Puede utilizar el archivo de registro como ayuda para identificar el componente
o la accin que hace que falle una instalacin. Si no es posible determinar el motivo
del error, es necesario conservar el archivo de registro. Proporcione el archivo al
soporte tcnico de Symantec, si se le solicita.
Para identificar el punto de falla de una instalacin
En un programa de edicin de texto, abra el archivo de registro que gener

la instalacin.
Busque lo siguiente:
Value 3
Lo ms probable es que la accin que haya tenido lugar antes de la lnea que
contenga esta entrada sea la que haya causado la falla. Las lneas que aparecen
despus de esta entrada corresponden a los componentes cuya instalacin
se ha revertido debido a que ha fallado el proceso.

La Tabla A-5 incluye ejemplos comunes de lnea de comandos.
207
208

Tabla A-5
Tarea
Lnea de comando
Instalar silenciosamente todos los componentes de cliente msiexec /I "Symantec AntiVirus.msi"

de Symantec Endpoint Protection con las opciones
INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v
predeterminadas en el directorio C:\SFN.
c:\temp\msi.log
Suprimir un reinicio del equipo y crear un archivo de
registro detallado.
Instalar silenciosamente el cliente de Symantec Endpoint msiexec /I "Symantec AntiVirus.msi"
Protection con proteccin antivirus y contra software
ADDLOCAL=Core,SAVMain,EmailTools,OutlookSnapin,
espa y con la proteccin contra amenazas de red.
Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log
Crear un archivo de registro detallado.
El equipo se debe reiniciar para implementar la proteccin
contra amenazas de red.
Apndice
Actualizar el software de
cliente de Symantec
Acerca de las actualizaciones y los parches
Acerca de las actualizaciones y los parches

Para comprender las actualizaciones y los parches, es necesario entender dos
trminos de Windows Installer, MSI y MSP. Estos trminos no son siglas. MSI es
un tipo de archivo y extensin. MSI es tambin un trmino comn que se utiliza
para describir un paquete de instalacin completo que se instala con Windows
Installer. MSP es un tipo de archivo y extensin, y es un trmino comn utilizado
para describir un parche para un paquete de instalacin de MSI. El MSP no puede
ser aplicado a menos que el MSI en el que se basa el parche est disponible o
instalado en un equipo cliente.
Peridicamente, Symantec crea versiones de mantenimiento para el software de
cliente de Symantec. Cada versin de mantenimiento est disponible en dos formas,
MSI y MSP. La forma MSI incluye el paquete completo de instalacin de archivos.
La forma MSP incluye solamente los archivos de instalacin que deben actualizarse
en la nueva versin de mantenimiento. En la forma MSP, se asume que la versin
de mantenimiento actual est instalada en el equipo cliente y que se puede aplicar
un parche a la ltima versin.
Cuando los clientes reciben actualizaciones del producto de Symantec o de los
servidores internos de LiveUpdate, reciben y procesan los archivos MSP. Cuando
los clientes reciben actualizaciones del producto de Symantec Endpoint Protection
Manager, reciben y procesan una tercera forma de actualizacin, que se llama
210

microdef. Symantec Endpoint Protection Manager recibe y procesa los archivos

MSP de un servidor de LiveUpdate y entonces reconstruye y almacena los archivos
MSI. A continuacin, genera la diferencia entre los archivos MSI originales y los
archivos modificados, que se denomina microdef, y despus actualiza los clientes
con los microdefs.

Es posible actualizar el software de cliente del producto de Symantec
automticamente con un permiso de actualizaciones de producto con una Poltica
de configuracin de LiveUpdate. Cuando se permiten las actualizaciones del
producto, los microdefs o los parches del producto se instalan en los clientes
cuando los usuarios hacen clic en LiveUpdate o cuando se ejecuta una sesin
programada de LiveUpdate. Cuando se niegan las actualizaciones del producto,
el software de cliente no se actualiza, incluso si otro producto de Symantec ejecuta
LiveUpate en el equipo cliente. Cuando se niegan las actualizaciones del producto,
el software de cliente se puede actualizar slo manualmente con la Consola de
Cuando se descarga Symantec Endpoint Protection Manager y se aplican parches
a los procesos, se crea un microdef, que aparece automticamente como un nuevo
paquete. El nuevo paquete aparece en el panel Paquetes de instalacin de clientes.
Es posible entonces seleccionar el paquete y actualizar los grupos y las ubicaciones
manualmente con la funcin Actualizar los grupos con el paquete.
Nota: Si la poltica de configuracin de LiveUpdate especifica que los clientes
descargan actualizaciones de Symantec Endpoint Protection Manager o de un
Proveedor de actualizaciones de grupo, las actualizaciones tienen la forma de
microdefs. Si la poltica de configuracin de LiveUpdate especifica que los clientes
descargan actualizaciones de un servidor de LiveUpdate, las actualizaciones tienen
la forma de archivos MSP (parche).

Polticas.
Bajo Ver polticas, haga clic en encendido y destaque LiveUpdate.
En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la poltica.
En el panel derecho, en la ficha Configuracin de LiveUpdate, haga clic en

encendido y destaque Poltica de LiveUpdate.
En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la poltica.

Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
En el panel Configuracin avanzada, bajo Descargar actualizaciones del

producto usando LiveUpdate, realice una de las siguientes acciones:
Para actualizar automticamente el software de cliente, marque Descargar

actualizaciones del producto usando LiveUpdate.
Para actualizar manualmente el software de cliente con la funcin

Actualizar grupos con la funcin de paquete con la Consola de Symantec
Endpoint Protection Manager, desmarque Descargar actualizaciones del
producto usando LiveUpdate.
Haga clic en Aceptar y, luego, aplique la poltica a un grupo o una ubicacin

en un grupo.
211
212

Apndice
Recuperacin despus de
un desastre
Cmo prepararse para la recuperacin despus de un desastre
Acerca del proceso de recuperacin despus de un desastre
Restaurar Symantec Endpoint Protection Manager
Restaurar el certificado del servidor
Restaurar comunicaciones de clientes
Cmo prepararse para la recuperacin despus de

un desastre
Para realizar la recuperacin despus de un desastre, es necesario prepararse
para ello. Para prepararse, debe recolectar archivos e informacin durante la
instalacin de Symantec Endpoint Protection Manager y despus de ella. Por
ejemplo, debe documentar su clave precompartida durante la instalacin y localizar
y trasladar el archivo de almacn de claves a una ubicacin segura.
La Tabla C-1 enumera y describe las tareas de alto nivel necesarias para prepararse
para la recuperacin despus de un desastre.
214

Tabla C-1
Tareas que se deben realizar para prepararse para la recuperacin

despus de un desastre
Tarea
Informacin adicional
Haga una copia de respaldo de la base de

datos regularmente, preferiblemente de
forma semanal, y almacene las copias de
respaldo en un lugar apartado.
El directorio de la copia de respaldo de la

base de datos es \\Program Files\Symantec\
Manager\data\backup. El archivo de copia
de respaldo se denomina <fecha>_<marca
de hora>.zip.
Localice su archivo de almacn de claves y

su archivo server.xml.
Durante la instalacin, se realiza una copia

de respaldo de estos archivos en el directorio
denominado \\Program Files\Symantec\
El nombre del archivo del almacn de claves
es keystore_<marca de hora>.jks. El almacn
Manager\Server Private Key Backup.
de claves contiene los pares de claves
privadas/pblicas y el certificado
Es posible tambin hacer una copia de
autofirmado. El nombre de archivo
respaldo de estos archivos desde el panel
server.xml es server_<marca de hora>.xml. Administrador de la Consola de Symantec
Cree y abra un archivo de texto con un
programa de edicin de texto. Asigne al
archivo el nombre Backup.txt, o un nombre
similar. Abra server.xml, busque la
contrasea keystorepass, cpiela y pguela
en el archivo de texto.
Deje el archivo de texto abierto.
La contrasea se utiliza para storepass y

keypass. Storepass protege el archivo JKS.
Keypass protege la clave privada. Estas
contraseas se escriben para restaurar el
certificado.
La cadena de la contrasea tiene el siguiente
formato:
keystorePass="WjCUZx7kmX$qA1u1". Copie
y pegue la cadena que est entre comillas.
No incluya las comillas.

Tarea
Si tiene solamente un dominio, busque y

copie el archivo sylink.xml desde un
directorio en \\Program Files\Symantec\
Manager\data\outbox\agent\. A
continuacin, pguelo en \\Program
Files\Symantec\ Symantec Endpoint
Protection Manager\Server Private Key
Backup\.
Los ID de dominio son obligatorios si no tiene

una copia de respaldo de la base de datos.
Este ID est en el archivo sylink.xml de los
equipos cliente en cada dominio.
Si tiene varios dominios, para cada dominio,

busque y copie un archivo sylink.xml en un
equipo cliente y pguelo en \\Program
Files\Symantec\ Symantec Endpoint
Protection Manager\Server Private Key
Backup.
Abra cada archivo sylink.xml, busque el ID Se agrega este ID a un nuevo dominio que
de dominio, cpielo y pguelo en el archivo usted cree para que contenga los clientes
de texto Backup.txt.
existentes.
La cadena del archivo sylink.xml tiene el
siguiente formato:
DomainId="B44AC676C08A165009ED819B746F1".
Copie y pegue la cadena que est entre
comillas. No incluya las comillas.
En el archivo Backup.txt, escriba la
contrasea de cifrado que utiliz cuando
usted instal el primer sitio en la instancia
de instalacin.
Se vuelve a escribir esta clave cuando se

reinstala Symantec Endpoint Protection
Manager. Es necesario volver a escribir la
clave idntica si no tiene una copia de
respaldo de la base de datos para restaurar.
No es obligatorio si tiene una copia de
respaldo de la base de datos para restaurar,
pero igual es recomendable.
En el archivo de texto Backup.txt, escriba la

direccin IP y el nombre de host del equipo
que ejecuta Symantec Endpoint Protection
Manager.
Si ocurre un problema de hardware

irreversible, es necesario reinstalar
Symantec Endpoint Protection Manager en
un equipo que tenga la misma direccin IP
y nombre de host.
215
216

Acerca del proceso de recuperacin despus de un desastre
Tarea
En el archivo Backup.txt, escriba el nombre Mientras que el nombre del sitio no se

del sitio que identifica a Symantec Endpoint necesita terminantemente para la
Protection Manager.
reinstalacin, ayuda a crear una restauracin
coherente.
Guarde y cierre el archivo Backup.txt, que
ahora contiene la informacin esencial
necesaria para la recuperacin despus de
un desastre.
Copie estos archivos en soportes extrables Despus de proteger los archivos, es
y almacene los soportes en una ubicacin
necesario quitarlos del equipo que ejecuta
segura, preferiblemente en una caja fuerte. Symantec Endpoint Protection Manager.
La Figura C-1 ilustra un archivo de texto que contiene la informacin necesaria

para realizar una correcta recuperacin despus de un desastre.
Figura C-1
Archivo de texto bien formado para recuperacin despus de un

desastre
Si crea este archivo, es posible copiar y pegar esta informacin cuando sea
necesario durante la recuperacin despus de un desastre.
Acerca del proceso de recuperacin despus de un

desastre
El proceso de recuperacin despus de un desastre implica realizar secuencialmente
los tres pasos siguientes:
Restaure Symantec Endpoint Protection Manager

Restaure el certificado del servidor
Restaure las comunicaciones de los clientes
Cmo restaurar las comunicaciones de los clientes depende de si tiene acceso a

una copia de respaldo de la base de datos.

En caso de que se produzca un desastre, recupere los archivos que fueron
asegurados despus de la instalacin inicial. A continuacin, abra el archivo
Backup.txt que contiene las contraseas, los ID del dominio y as sucesivamente.
Acerca de identificar el equipo nuevo o reconstruido

Si se produjo una falla de hardware catastrfica, es posible que deba reconstruir
el equipo. Si reconstruye el equipo, debe asignarle la direccin IP y el nombre del
host originales. Esta informacin se debe encontrar en el archivo Backup.txt.
Volver a instalar Symantec Endpoint Protection Manager

La tarea principal que debe realizar cuando vuelva a instalar Symantec Endpoint
Protection Manager es escribir el nombre de clave precompartido que usted utiliz
para la instalacin del anterior Symantec Endpoint Protection Manager.
Para volver a instalar Symantec Endpoint Protection Manager
Inserte el CD de instalacin e inicie la instalacin de Symantec Endpoint

Protection Manager.
En el panel de bienvenida, marque Instalar mi primer sitio y despus haga

clic en Siguiente.
Contine con la instalacin hasta que el sistema le solicite la clave

precompartida.
En el panel Informacin del sitio, en los cuadros Contrasea de cifrado, escriba

el nombre de la contrasea que est en el archivo de texto.
Si est realizando la restauracin sin una copia de respaldo de la base de
datos, la restauracin fallar si no escribe la contrasea correctamente.
217
218

Cuando el sistema se lo solicite, reconstruya el mismo tipo de base de datos

y contine con la instalacin hasta que aparezca el panel del Asistente para
la instalacin del servidor de administracin: Configuracin finalizada.
En el panel Configuracin finalizada, bajo Desea ejecutar el Asistente para

migracin y distribucin ahora? , marque No y despus haga clic en Finalizar.

El certificado del servidor es un almacn de claves Java que contiene el certificado
pblico y los pares de claves pblica y privada. Es necesario escribir la contrasea
que contiene el archivo de Backup.txt. La contrasea est tambin en el archivo
server_<marca de hora>.xml.
Para restaurar el certificado del servidor
Inicie sesin en la Consola y despus haga clic en Administrador.
En el panel Administrador, bajo Tareas, haga clic en Servidores.
Bajo Ver servidores, expanda Sitio local y despus haga clic en el nombre del
equipo que identifica el sitio local.
Bajo Tareas, haga clic en Administrar certificado del servidor.
En el panel Administrar certificado del servidor, marque Actualizar el

certificado del servidor y despus haga clic en Siguiente.
Bajo Seleccione el tipo de certificado para importar, marque Almacn de

claves JKS y despus haga clic en Siguiente.
Si ha implementado otro tipo de certificado, seleccione ese tipo.
En el panel Almacn de claves JKS, haga clic en Examinar, busque y seleccione

el archivo de almacn de claves keystore_<marca de hora>.jks incluido en la
copia de respaldo y despus haga clic en Aceptar.
Abra su archivo de texto de recuperacin despus de un desastre y seleccione

y copie la contrasea del almacn de claves.
10 Active el cuadro de dilogo Almacn de claves JKS y pegue la contrasea del

almacn de claves en los cuadros Almacn de claves y Clave.
El nico mecanismo de pegado compatible es Ctrl + V.
11 Haga clic en Siguiente.

Si recibe un mensaje de error que diga que hay un archivo no vlido de almacn
de claves, probablemente haya escrito contraseas no vlidas. Reintente
copiar y pegar la contrasea. Este mensaje de error es engaoso.

12 En el panel Completado, haga clic en Finalizar.

13 Cierre la sesin en la Consola.
14 Haga clic en Inicio > Configuracin > Panel de control > Herramientas
administrativas > Servicios.
15 En el cuadro de dilogo Servicios, haga clic con el botn secundario en

Symantec Endpoint Protection Manager y despus haga clic en Detener.
No cierre la ventana Servicios hasta que haya terminado con la recuperacin
despus de un desastre y vuelva a establecer comunicaciones de clientes.
16 Haga clic con el botn secundario en Symantec Endpoint Protection Manager

y despus haga clic en Inicio.
Al detener e iniciar Symantec Endpoint Protection Manager se restaura
completamente el certificado.

Si tiene acceso a una copia de respaldo de la base de datos, puede restaurar dicha
base de datos y despus reanudar las comunicaciones de los clientes. La ventaja
sobre la restaruacin con una copia de respaldo de la base de datos es que los
clientes reaparecen en sus grupos y estn sujetos a las polticas originales. Si no
tiene acceso a una copia de respaldo de la base de datos, es posible an recuperar
las comunicaciones con sus clientes, pero stos aparecen en el grupo temporal.
Es posible entonces reconstruir la estructura del grupo y de las polticas.
Restaurar comunicaciones de clientes con una copia de respaldo de

la base de datos
No es posible restaurar una base de datos en un equipo que ejecute un servicio
activo de Symantec Endpoint Protection Manager, por lo tanto, es necesario
detenerlo e iniciarlo algunas veces.
Para restaurar las comunicaciones de clientes con una copia de respaldo de la base
de datos
Si cerr la ventana Servicios, haga clic en Inicio > Configuracin > Panel de
control > Herramientas administrativas > Servicios.
En el cuadro de dilogo Servicios, haga clic con el botn secundario en

Symantec Endpoint Protection Manager y despus haga clic en Detener.
No cierre la ventana Servicios hasta que haya terminado con este paso.
219
220

Cree el directorio siguiente:

\\Program Files\Symantec\Symantec Endpoint Protection
Manager\data\backup
Copie el archivo de la copia de respaldo de la base de datos en el directorio.

De forma predeterminada, el archivo de la copia de respaldo de la base de
datos recibe el nombre de <fecha>_<marca de hora> .zip.
> Copia de respaldo y restauracin de la base de datos.

haga clic en Restaurar.
En el cuadro de dilogo Restaurar sitio, seleccione el archivo de respaldo que

usted copi al directorio de copia de respaldo y despus haga clic en Aceptar.
El tiempo de restauracin de la base de datos vara y depende del tamao de
la base de datos.
Cuando aparezca la indicacin de Mensaje, haga clic en Aceptar.
Haga clic en Salir.
10 Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager
> Asistente para la configuracin del servidor de administracin.
11 En el panel de bienvenida, haga clic en Volver a configurar el servidor de

administracin y, a continuacin, en Siguiente.
12 En el panel Informacin de servidor, modifique los valores de la entrada de

informacin, si fuera necesario, para que coincida con las entradas de
informacin anteriores y, luego, haga clic en Siguiente.
13 En el panel Eleccin del servidor de bases de datos, active el tipo de base de

datos para que coincida con el tipo anterior y, luego, haga clic en Siguiente.
14 En el panel Informacin de la base de datos, modifique e inserte los valores

de la entrada de informacin para que coincida con las entradas de
informacin anteriores, y luego haga clic en Siguiente.
La configuracin puede tardar varios minutos.
15 En el cuadro de dilogo Configuracin finalizada, haga clic en Finalizar.

16 Inicie sesin en la Consola de Symantec Endpoint Protection Manager.
17 Haga clic con el botn secundario en sus grupos y despus haga clic en
Ejecutar comando en el grupo > Actualizar contenido.
Si los clientes no responden despus una media hora, reinicie los clientes.

Restaurar comunicaciones de clientes sin una copia de respaldo de la

base de datos
Para cada dominio que utilice, es necesario crear un nuevo dominio y reinsertar
el mismo ID del dominio en la base de datos. Estos ID del dominio estn en el
archivo de texto de recuperacin despus de un desastre si alguien los escribi en
este archivo. El dominio Sistema es el dominio predeterminado.
Se recomienda crear un nombre de dominio que sea idntico al nombre de dominio
anterior. Para volver a crear el dominio (predeterminado) Sistema, aada un valor
como como _2 (System_2). Despus de restaurar dominios, es posible entonces
eliminar el dominio anterior del sistema, y cambiar el nombre del nuevo dominio
a Sistema.
Para restaurar las comunicaciones de clientes sin una copia de respaldo de la base
de datos
En la consola, haga clic en Administrador.
En el panel Administrador del sistema, haga clic en Dominios.
En la esquina superior derecha, haga clic en Acerca.
Mantenga presionado Mays + Ctrl + Alt, y despus haga doble clic en el

cuadro de dilogo Acerca de, tres veces rpidamente.
En Tareas, haga clic en Agregar dominio.
221
222

Abra el archivo de texto de recuperacin despus de un desastre, seleccione

y copie el ID del dominio, active el cuadro de dilogo Agregar dominio, y
despus pegue el ID del dominio en el cuadro ID del dominio.
Si no aparece el cuadro ID del dominio, repita los pasos 4, 5, 6 y 7 hasta que
aparezca el cuadro. Ctrl + V es el nico mecanismo compatible para pegar.
10 (Opcional) repita los pasos 7, 8 y 9 para cada dominio que desea recuperar.
11 En Tareas, haga clic en Administrar dominio.
12 Reinicie todos los equipos cliente.
Los equipos aparecen en el grupo Temporal.
13 (Opcional) si usted utiliza slo un dominio, elimine el dominio predeterminado

Sistema sin usar y cambie el nombre del dominio creado recientemente a
Sistema.
ndice
Smbolos
27, 83
.MSI
instalacin mediante parmetros de lnea de
comandos 199
A
acerca de
archivos MSI y MSP 210
Auto-Protect 26
balanceo de carga 27
configuracin de setaid.ini 198
conmutacin por error 27
grupos 30
grupos y clientes 114
inspeccin de estado 24
instalacin de software de cliente de
Symantec 111
microdefs 210
migracin de software de cliente de versiones
anteriores de Symantec Sygate 176
paquetes de instalacin de clientes generados
durante la migracin 158
prevencin de intrusiones 25
Proteccin contra amenazas de virus y software
espa 25
Proteccin proactiva contra amenazas 25
replicacin 27
Symantec Endpoint Protection 24, 112
Symantec Endpoint Protection Manager 27
Symantec Network Access Control 26, 113
Windows Installer 3.1 113
Active Directory y derechos de usuario 56
actualizacin a Microsoft SQL Server 103
actualizaciones
actualizar de Symantec Endpoint Protection a
Symantec Network Access Control 191
actualizar de Symantec Network Access Control
a Symantec Endpoint Protection 191
actualizaciones de Enforcer 178
ajustes de pila para Symantec Endpoint Protection

Manager 102
almacn de claves 214
arquitectura de red
conmutacin por error y balanceo de carga 54
ejemplo de implementacin grande 52
planificacin para la implementacin 51
replicacin 55
Asistente de implementacin mediante transferencia
implementacin de software de clientes 116
Importacin de listas de equipos 119
puertos utilizados 161
uso para la migracin de productos de
Symantec 159
Auto-Protect
acerca de 26
anlisis del correo electrnico 26
prueba 45
B
balanceo de carga 27
base de datos
instalacin de Microsoft SQL 81
instalar base de datos integrada 78
admite hasta 1000 clientes 51
configuracin de instalacin 76
instalacin 78
C
clientes de Symantec Endpoint Protection
funciones de MSI 200
propiedades de MSI 202
clientes no administrados
instalacin 114
migracin de Symantec con paquetes
exportados 167
migrar de Symantec 166
configuracin de poltica antivirus 43
configuracin del icono de estado de la seguridad 47
conmutacin por error 27
224
ndice
conmutacin por error y balanceo de carga

arquitectura de red 54
configuracin 96
instalacin 95
Consola de Symantec Endpoint Protection Manager
bsqueda de grupos 39
inicio de sesin por primera vez 38
Control de cuentas de usuario y preparacin de
equipos con Windows Vista 71
Cuarentena central
adjuntar un servidor de administracin 137
configuracin de servidores y clientes para
utilizar 138
instalacin 133
D
derechos administrativos para instalar
56
desinstalacin
cmo desinstalar la base de datos 109
componentes de administracin 142
software de cliente 131
software de cliente con un Objeto de directiva
de grupo de Active Directory 130
Symantec Endpoint Protection Manager 109
direcciones IP y creacin de un archivo de texto para
la instalacin 119
dispositivos de hardware y bloqueo 25
E
entornos administrados e interaccin de clientes y
servidores 30
entornos no administrados 29
F
Firewall de Windows Vista 70
firewall de Windows XP 69
firewalls de Windows
utilizacin 68
y firewalls de Symantec 68
G
grupos 30
grupos y clientes 114
H
herramienta de distribucin de clientes Buscar
equipos no administrados 117
herramientas de implementacin de otros
fabricantes 121
I
ID del dominio
reconocimiento 215
reemplazo 221
implementacin
con Buscar equipos no administrados 117
paquetes de clientes con el Asistente de
implementacin mediante transferencia 116
paquetes de clientes desde una unidad
asignada 116
inspeccin de estado 24
instalacin
acerca de la configuracin de la base de datos
integrada 76
acerca de las opciones de configuracin de la
base de datos de Microsoft SQL Server 86
acerca de los firewalls de escritorio 65
clientes mediante Active Directory 123
con una base de datos de Microsoft SQL 81, 90
conmutacin por error y balanceo de carga 95
solamente 94
creacin de un archivo de texto con direcciones
IP para su importacin 119
Cuarentena central 133
derechos administrativos 56
ejemplos de lnea de comandos de MSI 207
eliminacin de virus y riesgos de seguridad
previa 73
etapas 73
instalacin de Symantec Endpoint Protection
Manager por primera vez 35
mediante comandos de MSI 199
mediante un objeto de directiva de grupo de
Active Directory 123
opciones de software de cliente no
administrado 114
preparacin 73
preparacin de equipos con Windows Vista 71
preparacin de equipos con Windows XP 71
primera vez 33
propiedades del Centro de seguridad de Windows
de MSI 205
ndice
prueba 34
red de prueba 34
replicacin 100
requisitos 57
requisitos de sistema y de red 56
servidor con una base de datos integrada 76
sobre los puertos de comunicacin 65
usando productos de otros fabricantes 121
utilidad de administracin de LiveUpdate 141
instalacin de clientes
configuracin e implementacin por primera
vez 37
preparacin de equipos con Windows Vista 71
preparacin de equipos con Windows XP 71
instalacin por primera vez 33
instalacin remota y puerto TCP 139 65
L
LiveUpdate
acerca del uso de un servidor 139
arquitecturas de red compatibles 140
configuracin de los dos tipos de polticas 41
configuracin de una poltica de contenido de
LiveUpdate 42
configuracin para actualizaciones de
clientes 41
configuracin para actualizaciones de sitio 39
M
microdefs
acerca de 210
procesamiento 210
Microsoft Active Directory
acerca de su uso para la implementacin de
clientes 121
configuracin de plantillas 128
creacin de la imagen de instalacin
administrativa 124
instalacin del software de cliente con un Objeto
de directiva de grupo 123
Microsoft SMS
acerca de su uso para la implementacin de
clientes 121
distribucin de archivos de definicin de
paquetes 121
actualizacin a 103
opciones de instalacin de la base de datos 86
Microsoft SQL Server 2000

instalacin y configuracin de componentes de
cliente 83
requisitos de configuracin de clientes y
servidores 82
requisitos de configuracin del cliente 83
requisitos de instalacin y configuracin 82
Microsoft SQL Server 2005
instalacin y configuracin de componentes de
cliente 85
requisitos de configuracin de clientes y
servidores 84
requisitos de instalacin y configuracin 83
migracin
acerca de la migracin de grupos y opciones de
Symantec 153
acerca de los grupos y las opciones 144
acerca de Symantec AntiVirus y Symantec Client
Security 144
antes y despus de la configuracin
heredada 154
clientes no administrados con paquetes
exportados 167
consolas de administracin remotas de Symantec
Sygate 187
Cuarentena central 147
de clientes no administrados 166
exportacin de una lista de nombres de equipos
cliente de versiones anteriores para
migrar 159
mediante archivos CD 166
migracin de grupos de clientes y servidores de
Symantec 164
mdulos de Enforcer 178
preparacin de equipos cliente de Symantec 162
preparacin de instalaciones de productos de
Symantec de versiones anteriores 147
preparacin de instalaciones de versiones
anteriores de Symantec 10.x/3.x 151
procedimientos para servidores de
administracin de Symantec Sygate 183
puertos que deben abrirse en los equipos
cliente 161
rutas admitidas y no admitidas 146
rutas compatibles con Symantec Sygate 175
rutas no compatibles con Symantec Sygate 175
secuencia de implementacin de paquetes 145
situaciones de Symantec Sygate 179
225
226
ndice
sobre no conservar el servidor de Symantec y

los grupos de clientes y la configuracin 153
software de cliente de versiones anteriores de
Symantec Sygate 176, 188
software Symantec Sygate de versiones
anteriores 174
Symantec Network Access Control 5.1 177
migracin de Symantec Enforcement Agent 5.1 178
migracin de Symantec Network Access Control
5.1 177
migraciones que se bloquean 146
MSI
actualizar software de cliente con 209
ejemplos de lnea de comandos 207
funciones y propiedades 198
precedencia de procesamiento con setaid.ini 198
MSP
actualizar software de cliente con 209
cuando est utilizado para actualizar el software
de cliente 210
N
Novell ZENworks 121
P
paquetes de instalacin de clientes
creacin 115
generados durante la migracin 158
implementacin con el Asistente de
implementacin mediante transferencia 116
implementacin desde una unidad asignada 116
poltica de integridad del host
creacin 48
prueba 50
polticas de integridad del host 26
preparacin de Windows Vista 71
prevencin de intrusiones 25
Proteccin contra amenazas de red 24
Proteccin contra amenazas de virus y software
espa 25
Proteccin proactiva contra amenazas 25
prueba de la deteccin antivirus 44
puertos
requisitos para la comunicacin 65
requisitos para la instalacin 65
puertos de comunicacin y obligatorios 65
R
Restaurar el certificado del servidor 218
recuperacin despus de un desastre
acerca del proceso 216
preparacin 213
restauracin de comunicaciones de clientes 219
restaurar Symantec Endpoint Protection
Manager 217
reinicios del equipo 74
replicacin 27
configuracin 102
instalacin 100
requisitos de instalacin y configuracin
Microsoft SQL Server 2000 82
Microsoft SQL Server 2005 83
requisitos de sistema y de red 56
requisitos de Windows Installer 3.1 113
requisitos del sistema
acerca de 57
para el servidor de Cuarentena central 61
para la consola de cuarentena 60
para la Consola de Symantec Endpoint
Protection 59
para Symantec Endpoint Protection 62
para Symantec Endpoint Protection Manager y
la Consola 58
para Symantec Endpoint Protection Manager,
Consola y base de datos integrada 57
para Symantec Network Access Control 63
para VMWare 64
restauracin de certificado del servidor 218
S
serdef.dat 166167
Servidor de seguridad de conexin a Internet 68
servidores Web utilizados por Symantec Endpoint
Protection Manager 27
setaid.ini
configuracin 198
precedencia de procesamiento con funciones y
propiedades de MSI 198
software de cliente
actualizaciones con MSI y MSP 209
instalacin 56
solucin de problemas
con Buscar equipos no administrados 117
Manager funciona lenta o no responde 102
ndice
Control de cuentas de usuario en Vista y

GPO 126
implementacin remota en Windows XP y
Vista 70
implementaciones de Windows Vista 71
puertos que deben abrirse para las migraciones
de versiones anteriores de Symantec 161
uso de archivos de registro de la instalacin 207
Windows XP en implementaciones de grupos de
trabajo 71
Sylink.xml 215
integracin con las instalaciones de clientes de
Objeto de directiva de grupo 125
sylink.xml
regeneracin 107
ajuste del tamao de pila 102
componentes con los cuales funciona 28
configuracin por primera vez 36
funcionamiento 29
funciones 30
instalacin por primera vez 35
servidores Web utilizados 27
Symantec Enforcer 27
Symantec Network Access Control 26
configuracin y prueba 48
polticas de integridad del host 26
Symantec System Center
preparacin de la configuracin para
migraciones de productos 10.x/3.x 151
preparacin de la configuracin para todas las
migraciones de productos de versiones
anteriores 147
T
Tivoli 121
U
utilidad de administracin de LiveUpdate e
instalacin 141
V
VMWare 64
W
Windows Installer
comandos 199
creacin de un script de inicio 128
funciones y propiedades 198

parmetros 203
227

Symantec Endpoint Installation - Guide

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Symantec Endpoint Installation - Guide

Cargado por

Copyright:

Formatos disponibles

Gua de instalacin para

Gua de instalacin para Symantec Endpoint Protection

Soluciones de Servicio y Soporte

Renovacin de la suscripcin de actualizaciones antivirus

contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec

Los sitios Web de Symantec:

Symantec Security Response:

Pgina de Servicio y Soporte Empresarial de Symantec:

Boletines de noticias de productos:

EE.UU., Pacfico Asitico / ingls:

Europa, Oriente Medio y frica / ingls:

Amrica Latina / ingls:

Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar

Componentes de soporte telefnico y de Web que le proporcionan respuestas

Actualizaciones de producto que proporcionan proteccin automtica y

Actualizaciones de contenido para definiciones de virus y firmas de seguridad

Soporte global de los expertos de Symantec Security Response, disponible las

Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de

Nmero de versin del producto

Informacin del hardware

Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz

Versin y nivel de parche

Router, gateway y direccin IP

Descripcin del problema

Mensajes de error/archivos de registro

Soluciones intentadas antes de ponerse en contacto con Symantec

Cambios recientes en la configuracin del software y/o cambios en la red

Servicio de Atencin al Cliente de Symantec

Informacin general sobre productos (caractersticas, idiomas disponibles,

Solucin de problemas bsicos, tales como comprobar el nmero de versin

Informacin ms reciente sobre actualizaciones y nuevas versiones de

Cmo actualizar su producto.

Cmo registrar su producto y/o licencias.

Informacin sobre los programas de licenciamiento de Symantec.

Informacin sobre seguros de actualizacin y contratos de mantenimiento.

Actualizacin de su registro de producto para reflejar un cambio de nombre o

Consejos sobre las opciones de soporte tcnico de Symantec.

El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de

Para contactar el Servicio y Soporte mundial

Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas

Visite el Servicio y Soporte de Symantec en la Web para obtener informacin

Boletines de noticias de productos:

Europa, Oriente Medio, frica y Amrica Latina / ingls:

Amrica Latina / ingls:

Servicio de Atencin al Cliente de Symantec

Servicio de Atencin al Cliente de Symantec Direccin postal

Pte. Roque Saenz Pea 832 - Piso 6

Avenida Francisco de Miranda. Centro Lido

Central telefnica: +58 (212) 905-6327

Carrera 18# 86A-14

Alfredo Barros Errazuriz 1954

Boulevard Adolfo Ruiz Cortines 3642 Piso 8,

Sitio Web: http://www.service.symantec.com/mx

9155 South Dadeland Blvd.

Central telefnica: +86 10 8518 3338

Symantec Hong Kong

Sitio Web: http://www.symantec.co.kr

Symantec Corporation (Malaysia) Sdn Bhd

Symantec New Zealand

Se ha hecho todo lo posible para que la informacin contenida en este documento

Soluciones de Servicio y Soporte

Presentacin de los productos de Symantec

Instalacin por primera vez