Vse 880 Product Guide Es-Es PDF

Software de McAfee VirusScan Enterprise 8.
8
Guía del producto
COPYRIGHT
Copyright © 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de
este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO
ÍNTEGRO.
2 Guía del producto de McAfee VirusScan Enterprise 8.8

Contenido
Prefacio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Destinatarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Convenciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Organización de esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Búsqueda de documentación del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Introducción a VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Componentes e interacción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
La importancia de crear una estrategia de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Descripción y acceso a la Consola de VirusScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consola de VirusScan y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Uso de las funciones del botón secundario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Funcionamiento de los iconos de la bandeja del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Primeros pasos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Parte I — Prevención: evitar las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cómo se detienen las amenazas de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Control del acceso a la interfaz de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Protección de los puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Definición de las reglas de protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Infracciones de punto de acceso y cómo responde ante ellas VirusScan Enterprise. . . . . . . . . . . . . 26
Tipos de reglas definidas por el usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuración de la protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Bloqueo de vulnerabilidades de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Vulnerabilidades de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración de la protección de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Restricción de programas potencialmente no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuración de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Actualización de definiciones de detección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Archivos DAT y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Importancia de tener una estrategia de actualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Guía del producto de McAfee VirusScan Enterprise 8.8 3

Contenido
Tareas de actualización y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Tareas de duplicación y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Funcionamiento del repositorio de AutoUpdate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Funcionamiento de la reversión de archivos DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Exclusión de elementos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Especificación de exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Utilización de comodines para especificar elementos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Uso de tareas programadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Programación de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuración de la planificación de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Parte II — Detección: descubrir las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Análisis de elementos en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Análisis en tiempo real y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comparación de análisis: escribir en disco frente a leer en el disco. . . . . . . . . . . . . . . . . . . . . . . . . . 57
Comparación de análisis: analizar todos los archivos frente a analizar tipos de

archivos predeterminados y adicionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Análisis de secuencias de comandos y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Funcionamiento de Artemis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Determinación del número de directivas de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Configuración de la configuración general y de proceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Análisis de elementos bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Análisis bajo demanda y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Métodos de análisis bajo demanda y su definición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Funcionamiento del análisis de almacenamiento remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Funcionamiento del aplazamiento de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Funcionamiento de la utilización del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración de tareas de análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración de caché global para sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Análisis de correo electrónico bajo demanda y durante la recepción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ePolicy Orchestrator 4.5 o 4.6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Consola de VirusScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Definiciones de la ficha de directivas de análisis de correo electrónico durante la recepción. . . . . . 78
Parte III — Respuesta: gestión de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Detecciones y respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Qué sucede cuando se produce una detección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Infracciones de puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Contenido
Detecciones de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Detecciones de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Detecciones de análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Detecciones de análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Detecciones de análisis de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Elementos en cuarentena. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de alertas y notificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuración de alertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Acceso a consultas y paneles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Configuración de archivos DAT de emergencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Acerca de los archivos DAT de emergencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Descarga de un archivo SuperDAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Instalación de archivos SuperDAT en un repositorio de ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . 90
Instalación del archivo EXTRA.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Parte IV — Supervisión, análisis y ajuste de la protección. . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Supervisión de la actividad en el entorno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Herramientas de supervisión de actividades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Análisis de su protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
La importancia del análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Ejemplos de análisis de protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuración de tareas de servidor de ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuración de tarea de servidor de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Uso de la línea de comandos con VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Opciones de línea de comandos para el análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Opciones de línea de comandos de la tarea de actualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Conexión con sistemas remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Acceso a sistemas remotos con VirusScan Enterprise instalado. . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Envío de muestras de amenazas para su análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Acceso a la Biblioteca de amenazas de McAfee Labs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Reparación de la instalación del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Visualización del archivo de registro de actividades en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . 105
Uso de MERTool durante la solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Desactivación de VirusScan Enterprise durante la solución de problemas. . . . . . . . . . . . . . . . . . . . 107
Herramientas de soporte y solución de problemas recomendadas. . . . . . . . . . . . . . . . . . . . . . . . . . 110
Preguntas más frecuentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Prefacio
Para usar este documento de forma provechosa debe conocer quiénes son los destinatarios del
documento, las convenciones utilizadas, los contenidos y cómo buscar otra documentación de
referencia.
Contenido
Destinatarios
Convenciones
Organización de esta guía
Búsqueda de documentación del producto
Destinatarios
La documentación de McAfee se recopila y se redacta meticulosamente para el público al que
va destinada.
La información de esta guía va dirigida principalmente a:
• Administradores: personas que implementan y aplican el programa de seguridad de la
empresa.
• Usuarios: personas responsables de configurar las opciones del producto en sus sistemas,
o de actualizar sus sistemas.
Convenciones
Esta guía utiliza las siguientes convenciones tipográficas.
Título de libro o énfasis Título de un libro, capítulo o tema; introducción de un
nuevo término; énfasis.
Negrita Texto fuertemente enfatizado.
Introducción de usuario o ruta Comandos y otros textos que introduzca el usuario; la ruta
de una carpeta o un programa.
Código Una muestra de código.
Interfaz de usuario Palabras de la interfaz, incluidos los nombres de opciones,
menús, botones y cuadros de diálogo.
Azul hipertexto Un vínculo activo a un tema o a un sitio Web.
Nota Información adicional, como un método alternativo de
acceso a una opción.
Sugerencia Sugerencias y recomendaciones.
Importante/Cuidado Consejo importante para proteger el sistema informático,
la empresa, la instalación del software o los datos.

Prefacio
Advertencia Consejo fundamental para prevenir daños físicos cuando

se usa un producto de hardware.

Este es un documento de referencia para la utilización de las interfaces de usuario de la Consola
de VirusScan y ePolicy Orchestrator. También describe, ordenadamente, cómo abordar la
protección del sistema contra el malware mediante VirusScan Enterprise. Para describir ese
proceso, este documento se divide en cuatro partes principales seguidas de un apéndice:
• Parte I — Prevención: evitar las amenazas. El mejor modo de proteger su sistema es
impedir que el malware obtenga acceso a él. Esta parte del documento describe lo siguiente:
• Protección de los puntos de acceso del sistema, protección de la memoria contra
desbordamientos y protección contra programas no deseados.
• Definiciones de detecciones y cómo se utilizan para proteger el sistema, así como la
importancia de actualizar estas definiciones regularmente.
• Exclusión del análisis de archivos, carpetas y discos.
• Uso de la tarea programada para analizar periódicamente el sistema y actualizar los
archivos empleados por VirusScan Enterprise.
• Parte II — Detección: descubrir las amenazas. Los archivos que se abren o copian de
otros sistemas de archivos o de Internet pueden facilitar el acceso a su sistema. Asimismo,
las llamadas y secuencias de comandos de la interfaz de programación de aplicaciones (API)
pueden introducir una amenaza en su sistema. Estas amenazas se localizan durante los
siguientes procesos de análisis de VirusScan Enterprise:
• Análisis en tiempo real: analiza un archivo en busca de malware cuando se lee el archivo
o se escribe en el disco. Además, protege los sectores de arranque, analiza la memoria
de procesos que ya se están ejecutando, detecta cookies y ofrece protección contra
programas no deseados.
• Análisis bajo demanda: analiza todo el sistema en busca de amenazas siguiendo un
horario programado. También se puede iniciar en cualquier momento desde la Consola
de VirusScan.
• Análisis de correo electrónico durante la recepción y bajo demanda: ofrece protección
contra malware recibido a través de correo electrónico en Microsoft Outlook y Lotus
Notes.
• Protección de desbordamiento del búfer: analiza las llamadas de API realizadas por
determinados procesos para confirmar que no intentan sobrescribir los datos adyacentes
del búfer de memoria.
• ScriptScan: busca amenazas de navegadores u otras aplicaciones a las que se accede y
que utilizan Windows Script Host.
• Parte III — Respuesta: gestionar las amenazas. VirusScan Enterprise puede
configurarse para que realice cualquiera de los pasos siguientes cuando se detecta una
amenaza:
• Denegar acceso a la amenaza o no realizar ninguna otra acción.
• Eliminar o limpiar la amenaza. Al realizar cualquiera de estas acciones, se almacena una
copia del archivo original en la carpeta de cuarentena.
NOTA: VirusScan Enterprise se puede configurar para que envíe o no una notificación al
usuario cuando se produce una detección.

Prefacio
• Parte IV — Supervisión, análisis y ajuste de la protección. Una vez que la protección

ya esté instalada y en ejecución, se deberá supervisar el sistema mediante las consultas e
informes de ePolicy Orchestrator. Asimismo, puede decidir si desea realizar cambios en la
configuración de seguridad a fin de incrementar o reducir el nivel de protección del sistema.
También puede supervisar sus sistemas mediante los registros de la Consola de VirusScan
y las capturas del protocolo SNMP (Simple Network Management Protocol).
• Apéndice. En él se describen algunas funciones adicionales que debe conocer al utilizar
VirusScan Enterprise. Por ejemplo, las opciones de línea de comandos de VirusScan Enterprise
o la conexión a sistemas remotos a través de VirusScan Enterprise, entre otras.

McAfee proporciona la información necesaria durante cada fase de la implementación del
producto, desde la instalación a la utilización y la solución de problemas. Después de publicar
un producto, su información se introduce en la base de datos en línea KnowledgeBase de
McAfee.
1 Visite el McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.
2 En Self Service (Autoservicio), acceda al tipo de información que necesite:
Para acceder a... Haga esto...
Documentación de usuario 1 Haga clic en Product Documentation (Documentación de productos).
2 Seleccione un producto en Product y, a continuación, una versión en

Version.
3 Seleccione un documento del producto.
KnowledgeBase • Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase)

para encontrar respuestas a sus preguntas.
• Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase)
para ver los artículos clasificados por producto y versión.

Introducción
® ®
La familiarización con los componentes del software de McAfee VirusScan Enterprise 8.8 y
el conocimiento del orden en que se debe configurar el software contribuye a proteger los
sistemas contra amenazas.
Contenido
Introducción a VirusScan Enterprise
Componentes e interacción
La importancia de crear una estrategia de seguridad
Descripción y acceso a la Consola de VirusScan
Primeros pasos
Introducción a VirusScan Enterprise

El software de VirusScan Enterprise comienza a proteger su sistema contra amenazas tan pronto
se instala. Si se familiariza con las funciones del software, con las novedades de esta versión
y con sus componentes principales, le resultará más sencillo incrementar la protección.
Qué es y qué hace

VirusScan Enterprise ofrece una protección fácilmente escalable, de rápida aplicación y diseño
móvil para proteger su entorno contra:
• Virus, gusanos y troyanos
• Infracciones de punto de acceso y desbordamientos de búferes vulnerables
• Código y programas potencialmente no deseados
El software detecta amenazas y, a continuación, toma las medidas que usted haya configurado
para la protección de su entorno.
El software se puede configurar como un producto independiente o se puede utilizar
® ®
conjuntamente con McAfee ePolicy Orchestrator , versión 4.0 y posteriores para gestionar y
aplicar las directivas de VirusScan Enterprise y, a continuación, utilizar las consultas y paneles
para realizar un seguimiento de la actividad y las detecciones.
NOTA: En este documento se hace referencia al uso de ePolicy Orchestrator 4.0, 4.5 y 4.6. Para
obtener información sobre el uso de estas versiones de ePolicy Orchestrator, consulte la
documentación del producto de la versión correspondiente.
Novedades
Esta versión incluye las siguientes características nuevas:
• Rendimiento mejorado.

Introducción
• Permite a ePolicy Orchestrator 4.5 y 4.6 gestionar sus sistemas de VirusScan Enterprise.
• La nueva función de exclusión de URL de ScriptScan le permite configurar exclusiones en
vez de tener que editar manualmente el registro.
• AntiSpyware Enterprise Module se ha integrado completamente en el software de VirusScan
Enterprise 8.8.
• Compatibilidad de análisis de correo electrónico de Outlook 2010.
• Compatibilidad de análisis de correo electrónico de Lotus Notes 8.0x hasta 8.5.1.
Como administrador y usuario de VirusScan Enterprise, debe familiarizarse con sus componentes
y la conexión entre ellos. La imagen siguiente muestra estos componentes en un entorno básico.
Figura 1: Componentes de VirusScan Enterprise
Sistema cliente
En este sistema se instalan y configuran VirusScan Enterprise y McAfee Agent (opcional).
• Archivos DAT: archivos de definición de detección, también llamados firmas de malware.
Trabajan conjuntamente con el motor de análisis para identificar las amenazas y emprender
acciones contra ellas.
• Motor de análisis: se utiliza para analizar los archivos, carpetas y discos del equipo cliente
y compararlos con la información contenida en los archivos DAT para identificar virus
conocidos.
NOTA: Los archivos DAT y el motor de análisis se actualizan mediante una conexión de
Internet a las Oficinas centrales de McAfee, o mediante las posibles conexiones a un servidor
designado a través de la intranet de la empresa.
• Artemis (búsqueda de archivos sospechosos en la red heurística): busca programas

sospechosos y DLL que se ejecutan en sistemas cliente protegidos por VirusScan Enterprise.

Introducción
Cuando la defensa frente a malware en tiempo real detecta un programa sospechoso, envía
una solicitud de DNS que contiene una huella digital del archivo sospechoso a un servidor
de base de datos central alojado por McAfee Labs.
• McAfee Agent (opcional): proporciona comunicación segura entre productos administrados
por McAfee y el servidor de McAfee ePolicy Orchestrator. El agente también proporciona
servicios locales como actualización, registro, propiedades y eventos de informes,
programación de tareas, comunicación y almacenamiento de directivas.
Oficinas centrales de McAfee

Las Oficinas centrales de McAfee, donde se encuentran McAfee Labs y el Soporte Técnico de
McAfee, proporcionan los siguientes servicios de VirusScan Enterprise:
• Actualizaciones de DAT: se almacenan en un servidor de bases de datos central de McAfee
y utilizan AutoUpdate. Estos archivos de actualización de DAT se copian en los clientes de
VirusScan Enterprise o en repositorios DAT opcionales para proporcionar información contra
amenazas conocidas y ofrecer listas nuevas de virus conocidos en tiempo real.
• Actualizaciones del motor de análisis: se almacenan en un servidor central de bases
de datos. Estas actualizaciones se descargan según sea necesario para mantener al día el
motor de análisis de VirusScan Enterprise.
• McAfee Labs: esta biblioteca de amenazas contiene información detallada sobre virus,
troyanos, amenazas falsas y amenazas de programas potencialmente no deseados (PUP,
Potentially Unwanted Program), su procedencia, cómo infectan el sistema y cómo gestionarlos.
La función Artemis envía la huella digital del archivo sospechoso a McAfee Labs, donde se
analiza y se determina qué acción emprender.
Servidor
El servidor opcional utiliza los componentes siguientes para gestionar y actualizar de forma
remota los sistemas clientes:
• ePolicy Orchestrator: administra y aplica las directivas de VirusScan Enterprise de forma
centralizada y, a continuación, utiliza las consultas y paneles para llevar un seguimiento de
la actividad y las detecciones.
NOTA: En este documento se hace referencia al uso de ePolicy Orchestrator 4.0, 4.5 y 4.6.
Si desea obtener información sobre ePolicy Orchestrator, consulte la documentación del
producto correspondiente a su versión.
• Repositorio DAT: recupera las actualizaciones de DAT del sitio de descargas de McAfee.
Desde ese punto, los archivos DAT pueden replicarse por toda la organización y proporcionar
acceso para todos los demás equipos. De este modo se minimiza la cantidad de datos
transferidos por la red mediante la automatización del proceso de copia de los archivos
actualizados a los sitios compartidos.

La protección de los sistemas cliente contra virus, gusanos y troyanos mediante VirusScan
Enterprise requiere de una estrategia bien planificada: definición de la prevención y la detección
de amenazas, respuesta a las amenazas, y ajuste y análisis continuos.

Introducción
Prevención: evitar las amenazas

Defina sus necesidades de seguridad para garantizar que todas las fuentes de datos están
protegidas y, a continuación, desarrolle una estrategia para detener las intrusiones antes de
que obtengan acceso a su entorno. Configure estas funciones para impedir las intrusiones:
• Seguridad de la interfaz de usuario: configure la protección de contraseña y visualización
para controlar el acceso a la interfaz de usuario de VirusScan Enterprise.
• Protección de acceso: utilice las reglas de protección de acceso para proteger el equipo de
un comportamiento no deseado con respecto a archivos, registro y puertos.
• Protección de desbordamiento del búfer: impida que amenazas o programas anómalos
desborden el límite del búfer y sobrescriban memoria adyacente mientras se escriben datos
en un búfer. Estos desbordamientos de búferes vulnerables pueden provocar la ejecución
de código arbitrario en el equipo.
• Protección frente a programas no deseados: elimine programas potencialmente no deseados,
como spyware y adware, del equipo.
Detección: descubrir las amenazas

Desarrolle una estrategia efectiva para detectar las intrusiones a medida que se producen.
Configure estas funciones para detectar amenazas:
• Tarea de actualización: obtenga actualizaciones automáticas de DAT y del motor de análisis
desde el sitio Web de descargas de McAfee.
• Analizador en tiempo real: detecte las posibles amenazas procedentes de cualquier fuente,
como los archivos leídos o escritos en un disco. También pueden analizarse cookies
potencialmente no deseadas en la carpeta de cookies.
• Tareas del análisis bajo demanda: detecte amenazas potenciales mediante las tareas de
análisis inmediatas y programadas. Pueden analizarse también cookies potencialmente no
deseadas y entradas del registro relacionadas con software espía no deseado que no se
hayan limpiado con anterioridad.
• Análisis de correo electrónico durante la recepción y bajo demanda: detecte posibles
amenazas en los clientes de correo electrónico de Microsoft Outlook mediante el análisis de
mensajes, datos adjuntos y carpetas públicas durante la recepción. Detecte posibles amenazas
en los clientes de correo electrónico Lotus Notes al acceder a los mensajes.
• Directiva de Quarantine Manager: especifique la ubicación de la cuarentena y el tiempo
durante el que se mantendrán los elementos en cuarentena. Restaure los elementos en
cuarentena cuando así se requiera.
Respuesta: gestión de amenazas

Utilice archivos de registro de productos, acciones automáticas y otras funciones de notificación
para decidir la mejor forma de administrar las detecciones.
• Acciones: configure las funciones para tomar medidas respecto a las detecciones.
• Archivos de registro: supervise los archivos de registro de productos para ver un historial
de elementos detectados.
• Consultas y paneles: utilice las consultas y los paneles de ePolicy Orchestrator para supervisar
la actividad de análisis y las detecciones.
Configuración: supervisión, análisis y ajuste de la protección

Después de configurar inicialmente VirusScan Enterprise, siempre es recomendable supervisar
y analizar la configuración. De este modo se mejora el rendimiento del sistema y de la red, y

Introducción
se aumenta el nivel de protección ante los virus. Por ejemplo, las siguientes funciones y
herramientas de VirusScan Enterprise se pueden modificar como parte de los procesos de
supervisión, análisis y ajuste:
• Archivos de registro (Consola de VirusScan): consulte un historial de elementos detectados.
El análisis de esta información advierte sobre la necesidad de aumentar la protección o
cambiar la configuración a fin de mejorar el rendimiento del sistema.
• Consultas y paneles (consola de ePolicy Orchestrator): supervise la actividad de análisis y
las detecciones. El análisis de esta información advierte sobre la necesidad de aumentar la
protección o cambiar la configuración a fin de mejorar el rendimiento del sistema.
• Tareas programadas: modifique las tareas (como AutoUpdate) y los tiempos de análisis para
así mejorar el rendimiento ejecutándolas en horario de poca actividad.
• Repositorios DAT: reduzca el tráfico que soportan las redes intranet o Internet de la empresa
trasladando estos archivos de origen a una ubicación más próxima a los clientes que necesiten
las actualizaciones.
• Modificación de las directivas de análisis: incremente el rendimiento o la protección antivirus
en función del resultado del análisis de los archivos de registro o de las consultas. El
rendimiento se puede mejorar, por ejemplo, mediante la configuración de exclusiones,
estableciendo cuándo utilizar análisis de perfil de riesgo alto o bajo, o estableciendo cuándo
desactivar el análisis al escribir.
ATENCIÓN: Si la opción de análisis Cuando se lee del disco no está activada, el sistema
queda desprotegido ante los numerosos ataques de malware.

La Consola de VirusScan es la interfaz de la versión independiente de las actividades del
programa. Se puede utilizar para configurar, supervisar y actualizar el producto.
NOTA: Esta información es aplicable únicamente a la versión independiente del producto, no
a la versión administrada de ePolicy Orchestrator.
Consola de VirusScan y su funcionamiento

Tras familiarizarse con el funcionamiento y los componentes de VirusScan Enterprise, es necesario
conocer cómo se accede a sus funciones. Puede abrir la Consola de VirusScan Enterprise 8.8
mediante uno de estos métodos:
• En el menú Inicio, seleccione Programas | McAfee | Consola de VirusScan.
• Seleccione con el botón secundario el icono del escudo de VirusScan Enterprise en la bandeja
del sistema y, a continuación, seleccione Consola de VirusScan.
Barra de menús
Utilice los elementos de los menús para crear tareas, configurar propiedades y obtener
información adicional.
• Tarea: cree y configure tareas como análisis en busca de amenazas o actualizaciones de
los archivos DAT.
• Editar: copie, pegue y elimine la tarea seleccionada, o bien cámbiele el nombre.
• Ver: visualice la barra de estado o la barra de herramientas y actualice la pantalla.

Introducción
• Herramientas: configure las opciones de la interfaz de usuario, bloquee o desbloquee la

seguridad de la interfaz de usuario, configure alertas, tenga acceso al visor de eventos, abra
una consola remota si tiene derechos de administrador, importe o edite la lista de repositorios
y recupere una versión anterior de los archivos DAT.
• Ayuda: obtenga acceso a los temas de la ayuda en línea, a la biblioteca de amenazas del
sitio Web de McAfee Labs, al sitio Web de envío de muestras y al sitio Web del servicio de
soporte técnico. Asimismo, puede reparar la instalación del producto y abrir el cuadro de
diálogo Acerca de para leer la información de propiedad intelectual y qué versiones del
producto, licencia, archivos de definición, motor de análisis, controlador adicional y revisión
están instalados.
NOTA: Cada opción de menú tiene una tecla de método abreviado asociada. Puede que en
algunos sistemas operativos estos accesos directos no estén disponibles a menos que utilice
F10 o ALT para obtener acceso a los menús.
Barra de herramientas
Utilice los iconos para obtener acceso a comandos de uso habitual:
• Mostrar las propiedades de la tarea seleccionada.
• Iniciar la tarea seleccionada.
• Detener la tarea seleccionada.
• Copiar la tarea seleccionada.
• Pegar la tarea seleccionada.
• Eliminar la tarea seleccionada.
• Configurar las propiedades de alerta.
• Ejecutar el visor de eventos.
• Tener acceso a la Biblioteca de información en el sitio Web de McAfee Labs.
• Conectar a un equipo remoto si se poseen derechos de administrador.
• Crear un nuevo análisis bajo demanda.
Lista de tareas
Muestra las tareas predeterminadas y las nuevas tareas que cree, así como el estado y el último
resultado de cada tarea.
Barra de estado
Muestra el estado de la actividad en curso.
Uso de las funciones del botón secundario

Utilice las funciones del botón secundario para tener un acceso rápido a las acciones que más
se utilizan, como crear tareas, ver estadísticas y registros de tareas, abrir páginas de propiedades
de las tareas, analizar un archivo o carpeta específico o realizar una tarea de actualización
inmediata.

Introducción
Descripción de las funciones
Ubicación Descripción Ejemplos
La consola Haga clic con el botón secundario en Consola de • En la consola, haga clic con el botón
VirusScan para visualizar las funciones del botón secundario en una tarea para tener
secundario. Las funciones varían dependiendo de si acceso a sus propiedades. En función de
se ha seleccionado una tarea en la lista de tareas y la tarea que seleccione, es posible que
qué tarea se ha seleccionado. también pueda iniciarla, detenerla,
activarla o desactivarla y ver estadísticas
y el registro de actividades. En algunos
casos también puede cambiar el nombre
de una tarea o eliminarla.
• Haga clic con el botón secundario en una
zona en blanco de la consola para crear
un nuevo análisis o para actualizar una
tarea.
Explorador de Haga clic con el botón secundario en un archivo o en Puede realizar un análisis completo del
Windows una carpeta para Analizar en busca de amenazas archivo o de la carpeta que piensa que está
inmediatamente. Puede seleccionar una acción para amenazada.
el análisis: Al iniciar el análisis, se llama directamente
• Limpiar: informa del elemento detectado y lo al analizador bajo demanda con todas las
limpia. opciones de análisis activadas. Seleccione
la opción de acción. No se puede
• Continuar: informa de la detección y continúa
personalizar ninguna otra opción de
con el análisis.
análisis.
La bandeja del Consulte Funcionamiento de los iconos de la bandeja del sistema para ver una descripción de los
sistema iconos del botón secundario de VirusScan Enterprise.
Funcionamiento de los iconos de la bandeja del sistema

Cuando VirusScan Enterprise está instalado, uno de los siguientes iconos aparece en la bandeja
del sistema de Windows, siempre que haya configurado esta función durante el proceso de
instalación.
"M" en un icono con forma de escudo

Aparece en sistemas administrados por ePolicy Orchestrator con la versión 4.5 o posterior de
McAfee Agent. Este icono indica lo siguiente:
• Estado — Este icono no cambia para indicar alertas del activador de protección de acceso
ni si el análisis en tiempo real está desactivado en clientes administrados por ePolicy
Orchestrator con McTray versión 2.x o posterior (con McAfee Agent 4.5 o posterior). Los
cambios de estado se muestran en forma de descripciones.
• Descripciones — Las descripciones del icono incluyen:
• Estado de McAfee: OK — Normal. Las opciones indican:
• Ver estado de seguridad: muestra una marca de verificación.
• Configuración rápida | Análisis de virus en tiempo real - Activado: muestra
una marca de verificación.
• Estado de McAfee: Problema detectado — Análisis en tiempo real desactivado. Las
opciones indican:

Introducción
• Ver estado de seguridad: muestra un signo de exclamación.

NOTA: Haga clic en Ver estado de seguridad para mostrar el cuadro de diálogo
del estado de seguridad de McAfee con el problema "Análisis en tiempo real
desactivado" en la columna Estado.
• Configuración rápida | Análisis de virus en tiempo real - Desactivado: no

aparece ninguna marca de verificación.
• Estado de McAfee: Problema detectado — Evento de protección de acceso activado. Las
opciones indican:
• Ver estado de seguridad: muestra un signo de exclamación.
NOTA: Haga clic en Ver estado de seguridad para mostrar el cuadro de diálogo
del estado de seguridad de McAfee con el problema "Consulte el archivo de registro
de la protección de acceso" en la columna Estado.
• Configuración rápida | Análisis de virus en tiempo real - Activado: muestra

una marca de verificación.
• Opciones de menú — Las opciones del menú del botón secundario incluyen:
• Actualizar seguridad: actualiza los archivos DAT y otros cambios.
• Configuración rápida: muestra:
• Propiedades del análisis en tiempo real: abre las propiedades del analizador en
tiempo real.
• Análisis en tiempo real activado o desactivado: activa o desactiva el analizador
en tiempo real.
tiempo real.
• Mensajes de análisis en tiempo real: abre los mensajes o las estadísticas del
análisis en tiempo real.
• Abrir el archivo de registro de protección de acceso: abre el archivo de registro.
• Gestionar funciones | VirusScan Enterprise: abre la Consola de VirusScan.
• Analizar equipo en busca de | Amenazas: inicia un análisis inmediato.
• Ver estado de seguridad: muestra el cuadro de diálogo del estado de seguridad de
McAfee.
• Monitor de estado de McAfee Agent: muestra el cuadro de diálogo del Monitor de
estado de McAfee Security.
• Acerca de: abre el cuadro de diálogo Acerca de.
"M" en un cuadrado
Aparece en sistemas independientes que usan McTray 1.0 y en sistemas gestionados por ePolicy
Orchestrator con la versión 4.0 de McAfee Agent que usan McTray 1.0. Este icono indica lo
siguiente:
• Estado — Se pueden visualizar los siguientes estados:
•
"M" en un cuadrado: estado normal.

Introducción
•
"M" en un cuadrado con un signo de exclamación: indica que se ha activado un
evento de infracción de protección de acceso o que el análisis en tiempo real está
desactivado. Las opciones de menú con el botón secundario indican:
•
"V" en un escudo con un círculo y una línea: indica que el análisis en tiempo real
está desactivado.
•
"V" en un escudo con contorno rojo: indica que el análisis en tiempo real está
activado, pero que se debe consultar el archivo de registro de Protección de acceso.
• Descripción — Muestra "McAfee".

• Consola de VirusScan: abre Consola de VirusScan.
• Desactivar o activar el análisis en tiempo real: activa o desactiva el analizador en
tiempo real.
tiempo real.
• Estadísticas del análisis en tiempo real: abre las estadísticas del análisis en tiempo
real.
• Mensajes de análisis en tiempo real: abre los mensajes o las estadísticas del análisis
en tiempo real.
• Análisis bajo demanda: crea un análisis bajo demanda que se puede configurar una
vez.
• Actualizar ahora: lleva a cabo una tarea de actualización inmediata.
• Acerca de VirusScan Enterprise: abre el cuadro de diálogo Acerca de.
"V" en un icono con forma de escudo

Aparece en sistemas independientes que no disponen de McTray 1.0. Este icono indica lo
siguiente:
• Estado — Se pueden visualizar los siguientes estados:
•
"V" en un icono con forma de escudo: normal.
•
"V" en un escudo con un círculo y una línea: indica que el análisis en tiempo real
está desactivado.
•
"V" en un escudo con contorno rojo: indica que el análisis en tiempo real está activado,
pero que se debe consultar el archivo de registro de Protección de acceso.
• Descripciones — Las descripciones incluyen:
•
"V" en un icono con forma de escudo: McAfee OAS (Analizador en tiempo real):
activado, normal.
•
"V" en un escudo con un círculo y una línea: McAfee OAS: desactivado.
•
"V" en un escudo con contorno rojo: McAfee OAS: activado, consulte el registro de
la protección de acceso.

Introducción
Primeros pasos
• Actualizar seguridad: actualiza los archivos DAT y otros cambios.

• Configuración rápida: muestra:
tiempo real.
• Análisis en tiempo real activado o desactivado: activa o desactiva el analizador
en tiempo real.
• Mensajes de análisis en tiempo real: abre los mensajes o las estadísticas del
análisis en tiempo real.
• Abrir el archivo de registro de protección de acceso: abre el archivo de registro.
• Gestionar funciones | VirusScan Enterprise: abre la Consola de VirusScan.
• Analizar equipo en busca de | Amenazas: inicia un análisis inmediato.
• Ver estado de seguridad: muestra el cuadro de diálogo del estado de seguridad de
McAfee.
• Monitor de estado de McAfee Agent: muestra el cuadro de diálogo del Monitor de
estado de McAfee Security.
• Acerca de: abre el cuadro de diálogo Acerca de.
Primeros pasos
Al instalar el software, éste utiliza los archivos DAT incluidos en el producto, los cuales
proporcionan seguridad general a su entorno. McAfee le recomienda obtener los archivos DAT
más recientes y personalizar la configuración para cumplir sus requisitos antes de desplegar el
producto en sistemas cliente.
Realice estas acciones inmediatamente después de instalar el producto.
1 Establecer la seguridad de la interfaz de usuario. Configure las opciones de contraseña
y de visualización para impedir que los usuarios puedan tener acceso a componentes
específicos o a toda la interfaz de usuario de VirusScan Enterprise. Para obtener más
información, consulte Control del acceso a la interfaz de usuario.
2 Actualizar los archivos DAT. Realice una tarea Actualizar ahora para asegurarse de
que dispone de los archivos DAT más recientes. Si desea más información, consulte
Actualización de definiciones de detección.
3 Evitar intrusiones. Configure estas funciones para impedir posibles amenazas a sus
sistemas:
• Protección de acceso. Configure reglas de protección de acceso para impedir que se
efectúen cambios no deseados en el equipo y habilite la opción que impide que los
procesos de McAfee finalicen. Consulte Protección de los puntos de acceso del sistema
para obtener más información.
• Protección contra desbordamiento del búfer. Habilite la detección de
desbordamiento del búfer y especifique exclusiones. Consulte Bloqueo de las
vulnerabilidades de desbordamiento del búfer para obtener más información.
• Directiva de programas no deseados. Configure la directiva que usarán los
analizadores en tiempo real, bajo demanda y de correo electrónico para detectar posibles
programas no deseados. Seleccione categorías de programas no deseados para su
detección en una lista predefinida y luego defina programas adicionales que se deben

Introducción
Primeros pasos
detectar o excluir. Consulte Restricción de programas potencialmente no deseados para

obtener más información.
4 Detectar intrusiones. Configure estas funciones para que se detecten las posibles
amenazas en los sistemas, se envíe una notificación al usuario y, después, se lleven a cabo
ciertas acciones cuando se produzcan detecciones:
• AutoUpdate. Configure tareas de actualización para obtener los archivos DAT, el motor
de análisis y las actualizaciones del producto más recientes. Si desea más información,
consulte Actualización de definiciones de detección.
• Analizador en tiempo real. Configure el analizador para que detecte las posibles
amenazas y actúe contra ellas cuando se tenga acceso a ellas en el entorno. Active el
análisis de programas no deseados y analice las cookies de la carpeta de cookies.
Consulte Análisis de elementos en tiempo real para obtener más información.
• Analizador bajo demanda. Configure tareas de análisis para que detecten y actúen
contra las posibles amenazas de su entorno. Active el análisis de programas no deseados
y analice las cookies de la carpeta de cookies y las entradas del registro relacionadas
con spyware que no se hayan eliminado con anterioridad. Consulte Análisis de elementos
bajo demanda para obtener más información.
• Analizadores de correo electrónico. Configure el análisis durante la recepción y
bajo demanda de los clientes de correo electrónico Microsoft Outlook y Lotus Notes.
Habilite el análisis de programas no deseados. Consulte Análisis de correo electrónico
durante la recepción y bajo demanda para obtener más información.
5 Enviar alertas y poner las amenazas en cuarentena. Configure estas funciones para
recibir avisos cuando se produzcan detecciones y administrar los elementos en cuarentena:
• Alertas y notificaciones. Configure cómo y cuándo debe recibir notificaciones y alertas
de detección. Consulte Configuración de alertas y notificaciones para obtener más
información.
• Directiva de Quarantine Manager. Configure la ubicación de la carpeta de cuarentena
y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente. Consulte Elementos en cuarentena para obtener más información.

Parte I — Prevención: evitar las amenazas
La prevención es la primera medida en una estrategia de protección a fin de impedir que las
amenazas logren acceder al sistema.
Contenido
Protección de acceso
Protección de los puntos de acceso del sistema
Bloqueo de vulnerabilidades de desbordamiento del búfer
Restricción de programas potencialmente no deseados
Actualización de definiciones de detección
Exclusión de elementos de análisis
Uso de tareas programadas
Evitar el acceso de amenazas a su sistema cliente es la primera línea de defensa contra el
malware. La función de protección de acceso de VirusScan Enterprise compara las acciones
solicitadas con una lista de reglas configuradas. Cada regla se puede configurar para bloquear
y/o informar de infracciones de acceso cuando se producen.
La protección de acceso evita cambios no deseados en el equipo mediante la restricción del
acceso a determinados puertos, archivos, recursos compartidos y valores y claves de registro.
También protege los procesos de McAfee al impedir que los usuarios los detengan. Esta
protección resulta esencial antes y durante los brotes.
Esta función usa reglas predefinidas y reglas definidas por el usuario para especificar los
elementos a los que se puede acceder y a los que no se puede acceder. Cada regla se puede
configurar para bloquear y/o informar de infracciones de acceso cuando se producen. Las
categorías y las reglas predefinidas se pueden actualizar desde los sitios de actualización de
McAfee.
NOTA: El analizador en tiempo real, que detecta infracciones de acceso, debe estar activado
para detectar los intentos de acceso a puertos, archivos, recursos compartidos, valores de
registro y claves de registro.
Cómo obtienen acceso las amenazas

Los métodos más comunes utilizados por las amenazas para obtener acceso a un sistema son:
• Macros: incluidas en documentos de procesamiento de textos y aplicaciones de hojas de
cálculo.

• Archivos ejecutables: estos programas, que aparentemente son benignos, pueden incluir
virus junto con el programa esperado. Algunos ejemplos comunes de extensiones de archivo
son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
• Correo electrónico: bromas, juegos e imágenes incluidos en mensajes de correo electrónico
que contienen archivos adjuntos.
• Secuencias de comandos: si se permite su ejecución, las secuencias de comandos como
ActiveX y JavaScript pueden introducir virus. Están asociadas con páginas Web y correos
electrónicos.
• Mensajes de Internet Relay Chat (IRC): los archivos enviados junto con estos mensajes
pueden contener malware como parte del mensaje. Por ejemplo, los procesos de inicio
automático pueden incluir gusanos y troyanos.
• Archivos de ayuda de aplicaciones y navegadores: la descarga de estos archivos de
ayuda expone el sistema a virus incrustados y ejecutables.
• Combinación de todos: los creadores del malware más sofisticado combinan todos los
métodos de entrega anteriores e incluso incluyen un elemento de malware dentro de otro
a fin de intentar acceder al equipo.
Contenido
Cómo se detienen las amenazas de acceso
Control del acceso a la interfaz de usuario
Cómo se detienen las amenazas de acceso

Si activa o cambia la configuración de protección de acceso, podrá configurar la protección
antispyware, la protección antivirus, la protección común y la protección de máquina virtual,
así como definir sus propias reglas de protección. A continuación se indica el proceso básico
que VirusScan Enterprise utiliza para proteger el acceso.
Pasos realizados cuando se produce una amenaza

1 Un usuario o proceso intenta realizar una acción.
2 La función de protección de acceso analiza dicha acción conforme a las reglas definidas.
3 Cuando se rompe una regla, la acción solicitada por el usuario o proceso se administra
mediante la información configurada en las reglas. Por ejemplo, la acción puede bloquearse,
bloquearse enviando un informe, o puede no provocar ninguna reacción.
4 El archivo de registro de protección de acceso se actualiza y se genera un evento destinado
al administrador global de ePolicy Orchestrator.
Ejemplo de amenaza de acceso

1 Un usuario descarga el programa MiPrograma.exe desde Internet.
NOTA: En este ejemplo, MiPrograma.exe no es malware.
2 El usuario inicia el programa, que aparentemente se abre según lo esperado.

3 A continuación, MiPrograma.exe inicia un proceso secundario llamado Molestame.exe, el cual
intenta modificar el sistema operativo de modo que siempre se cargue al iniciar.
4 La protección de acceso procesa la solicitud y la compara con una regla existente configurada
para bloquear e informar.

5 Cuando Molestame.exe intenta modificar el sistema operativo, se le deniega el acceso. Al

mismo tiempo, la protección de acceso registra los detalles del intento y genera una alerta
para el administrador global de ePolicy Orchestrator.
Informe de registro y alertas generadas

El siguiente es un ejemplo de entada de registro creada por la función de protección de acceso.
2/10/2010 11:00 a. m. Bloqueado por regla de protección de acceso TestDomain\TestUser
C:\Users\TestUser\Desktop\Molestame.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\
Impedir que los programas se registren para ejecutarse automáticamente
En esta tabla se describen los datos incluidos en la entrada anterior de protección de acceso:
Entrada de registro Descripción
2/10/2010 Fecha
11:00 a. m. Hora
Bloqueado por regla de protección de acceso Acción tomada
TestDomain\TestUser Credenciales
C:\Users\TestUser\Desktop\Molestame.exe Nombre del proceso que incumplió la regla
\REGISTRY\MACHINE\SOFTWARE\Microsoft... Ubicación a la que intentó acceder el proceso
Impedir que los programas se registren para ejecutarse Regla de protección de acceso que se activó
automáticamente
Las consultas de ePolicy Orchestrator proporcionan una información similar. Para obtener más
información, consulte Acceso a consultas y paneles.
Control del acceso a la interfaz de usuario

La configuración de la seguridad de la interfaz en los equipos clientes es una parte importante
de la protección de su entorno.
Como administrador, puede:
• Controlar el acceso de los usuarios a la interfaz de VirusScan Enterprise.
• Establecer una contraseña para evitar que los usuarios accedan o cambien las funciones
seleccionadas.
• Bloquear y desbloquear la interfaz de usuario según sea necesario.
Contenido
Cómo afecta a los usuarios la configuración de una contraseña
Configuración de la seguridad de la interfaz de usuario
Cómo afecta a los usuarios la configuración de una contraseña

Establezca una contraseña para la interfaz de usuario para disuadir a los usuarios con intenciones
maliciosas.
Cuando se protege la interfaz de usuario mediante contraseña en los equipos cliente, se ven
afectados los usuarios siguientes:
• No administradores: usuarios que no tienen derechos de administrador. Los no
administradores ejecutan todas las aplicaciones de VirusScan Enterprise en modo de sólo

lectura. Pueden ver algunos parámetros de configuración, ejecutar análisis guardados y

ejecutar actualizaciones y análisis inmediatos. No pueden cambiar ninguno de los parámetros
de configuración, ni crear, eliminar o modificar tareas de actualización o análisis guardadas.
• Administradores: usuarios que tienen derechos de administración. Los administradores
deben escribir la contraseña para acceder a las fichas y controles protegidos en modo de
lectura y escritura. Si no se proporciona una contraseña para un elemento protegido, los
ven en modo de sólo lectura.
Configuración de la seguridad de la interfaz de usuario

Utilice las propiedades de la interfaz de usuario de Directivas de opciones generales para
configurar las opciones de contraseña y visualización disponibles para los usuarios.
ATENCIÓN: Considere cuidadosamente las implicaciones en la seguridad antes de modificar
estas propiedades. Estas opciones le permiten restringir o permitir que los usuarios modifiquen
su configuración de seguridad y podrían dejar desprotegidos los sistemas ante numerosos
ataques de malware.
Configure las propiedades de la interfaz de usuario de Directivas de opciones generales mediante
las consolas de interfaz de usuario indicadas a continuación.
ePolicy Orchestrator 4.5 o 4.6

Configure las propiedades de la interfaz de usuario de Directivas de opciones generales.
Tarea
Para obtener la descripción de cada opción, haga clic en ? en cada ficha.
1 Haga clic en Menú | Directiva | Catálogo de directivas y, a continuación, en la lista
de productos seleccione VirusScan Enterprise 8.8.0. La lista de categorías muestra las
categorías de directivas en VirusScan Enterprise 8.8.0.
2 Edite una directiva existente o cree una nueva:
Editar una directiva existente
a Desde la lista Categoría, seleccione la categoría de la directiva.
b En la columna Acciones, haga clic en Editar configuración para abrir la página de
configuración de directivas.
Crear una nueva directiva
a Haga clic en Acciones | Nueva directiva para abrir el cuadro de diálogo Nueva
directiva.
b Desde la lista Categoría, seleccione una directiva que ya exista.
c En la lista Crear una nueva directiva basada en esta otra existente, seleccione
una de las configuraciones.
d Escriba el nombre de la nueva directiva.
e Escriba las notas que sean necesarias.
f Haga clic en Aceptar. La nueva directiva aparece en la lista de directivas existentes.
g En la columna Acciones de la directiva nueva, haga clic en Editar configuración para
abrir la página de configuración de directivas.
3 En la lista Configuración para, seleccione Estación de trabajo o Servidor.

4 En la ficha Opciones de visualización, configure los iconos de la bandeja del sistema

de VirusScan Enterprise que pueden ver los usuarios, si se pueden conectar a sistemas
remotos y la opción de idioma.
5 En la ficha Opciones de contraseña, configure las tareas de VirusScan Enterprise y las
opciones de interfaz de usuario que pueden modificar los usuarios junto con la contraseña
correcta.
ePolicy Orchestrator 4.0

Configure las propiedades de la interfaz de usuario de Directivas de opciones generales.
Tarea
Para obtener la descripción de cada opción, haga clic en ? en cada ficha.
1 Haga clic en Sistemas | Catálogo de directivas y, a continuación, en la lista de productos
seleccione VirusScan Enterprise 8.8.0. La lista de categorías muestra las categorías de
directivas en VirusScan Enterprise 8.8.0.
b En la columna Acciones, haga clic en Editar para abrir la página de configuración de
directivas.
a Haga clic en Nueva directiva para abrir el cuadro de diálogo Nueva directiva.
b En la lista Crear una nueva directiva basada en esta otra existente, seleccione
c Escriba el nombre de la nueva directiva.
d Haga clic en Aceptar. La nueva directiva aparece en la lista de directivas existentes.
correcta.
Consola de VirusScan
Configure las propiedades de la interfaz de usuario de Opciones generales.
Tarea
Para obtener la descripción de cada opción, haga clic en Ayuda en cada ficha.
1 Haga clic en Herramientas | Opciones generales para abrir el cuadro de diálogo de
configuración de Opciones generales.


correcta.

La protección de acceso evita cambios no deseados en el equipo mediante la restricción del
acceso a determinados puertos, archivos, recursos compartidos y valores y claves de registro.
También protege los procesos de McAfee al impedir que los usuarios los detengan. Esta
protección resulta esencial antes y durante los ataques.
Esta función usa reglas y categorías predefinidas y reglas definidas por el usuario para especificar
los elementos a los que se puede y no se puede tener acceso. Cada regla se puede configurar
para bloquear y notificar las infracciones de puntos de acceso cuando se producen. Las reglas
y categorías predefinidas están sujetas a actualizaciones de contenido a través de los sitios de
actualización de McAfee.
Contenido
Definición de las reglas de protección de acceso
Infracciones de punto de acceso y cómo responde ante ellas VirusScan Enterprise
Tipos de reglas definidas por el usuario
Configuración de la protección de acceso
Definición de las reglas de protección de acceso

Las reglas se organizan en estos tipos y proporcionan estos niveles de protección.
Descripciones de tipo de regla
Tipo de regla Descripción
Antivirus Estas reglas preconfiguradas protegen el equipo ante los comportamientos comunes
de las amenazas de malware. Puede habilitar, deshabilitar y cambiar la configuración,
pero no puede eliminar las reglas.
Dos ejemplos de reglas de este tipo son:
• Evitar la desactivación o el cambio de procesos críticos, la creación o modificación
remota de archivos ejecutables, el pirateo de archivos ejecutables, la falsificación
de procesos de Windows y que los gusanos de envío masivo de correo envíen correo.
• Proteger los archivos de la libreta de direcciones frente a los ladrones de contraseñas
y direcciones de correo electrónico.
Los siguientes niveles de protección se aplican a las reglas antivirus:
• Protección estándar
• Protección máxima
• Control de ataques
Comunes Estas reglas preconfiguradas impiden la modificación de archivos y opciones usados

comúnmente. Puede habilitar, deshabilitar y cambiar la configuración, pero no puede
eliminar las reglas.
Tres ejemplos de reglas de este tipo son:
• Impedir la modificación de los archivos y la configuración de McAfee.

Tipo de regla Descripción

• Proteger los archivos y la configuración de Mozilla y Firefox, la configuración de
Internet Explorer y la configuración de la red.
• Evitar la instalación de objetos auxiliares del explorador y la ejecución automática
de programas desde la carpeta Temp.
Los siguientes niveles de protección se aplican a las reglas comunes:
• Protección estándar
• Protección máxima
Protección de máquina Estas reglas preconfiguradas impiden la interrupción de procesos de VMWare y la

virtual modificación de archivos VMWare. Puede habilitar, deshabilitar y cambiar la
configuración, pero no puede eliminar las reglas.
Algunos ejemplos de reglas son:
• Impedir la interrupción de procesos de VMWare.
• Impedir la modificación de los archivos de la estación de trabajo, del servidor o
de la máquina virtual de VMWare.
Definidas por el usuario Estas reglas personalizadas complementan la protección proporcionada por las reglas
Antivirus y Comunes.
Anti spyware Algunos ejemplos de reglas son:

• Proteger los favoritos y las opciones de Internet Explorer.
• Impedir que los programas ejecuten secuencias de comandos desde la carpeta
Temp.
Descripciones de los niveles de protección
Nivel de protección Descripción
Estándar Reglas comunes y antivirus que protegen algunos archivos y opciones prioritarios
contra modificaciones pero que en general permiten la instalación y la ejecución de
software inofensivo.
Máximo Reglas comunes y antivirus que protegen las opciones y archivos prioritarios contra
modificaciones. Este nivel ofrece más protección que el estándar pero también puede
impedir la instalación de software inofensivo. Si no puede instalar software, le
recomendamos que desactive la función Protección de acceso primero, y que vuelva
a activarla tras la instalación.
Control de brotes Reglas antivirus que bloquean el acceso al equipo por parte de código destructivo
hasta que se consiga un archivo DAT. Estas reglas están preconfiguradas para bloquear
el acceso a los recursos compartidos durante un brote.
Infracciones de punto de acceso y cómo responde ante ellas

VirusScan Enterprise
Se produce una infracción de acceso cuando un proceso o usuario restringido intenta iniciar,
detener u obtener acceso a componentes de su equipo.
Cuando se produce una infracción de punto de acceso:
• La información se incluye en el archivo de registro si ha seleccionado la opción Informar
para la regla que detectó la infracción.
• El evento se registra en el registro de eventos local y en SNMP si ha configurado esta opción
en Propiedades de alerta.

• Se envía información del evento a Alert Manager y ePolicy Orchestrator si así ha configurado
esos productos.
• Una acción de Bloquear e Informar para una regla determina qué sucede cuando una
regla detecta una infracción.
• En el sistema cliente independiente, un marco rojo rodea el icono de la bandeja del sistema
y permanece visible durante 30 minutos a menos que lo restablezca.
NOTA: Para restablecer el icono, abra el Archivo de registro de protección de acceso
desde el icono de la bandeja del sistema. Si lo abre utilizando cualquier otro método, el
icono no se restablece a su estado normal.
Tipos de reglas definidas por el usuario

Cuando se configura una nueva regla de protección de acceso definida por el usuario, se pueden
crear también reglas de bloqueo de puertos, bloqueo de archivos y carpetas, y bloqueo de
registro.
Estas reglas se describen en la tabla que sigue a continuación.
Descripciones de la regla
Regla Descripción
Regla de bloqueo de Bloquee el tráfico entrante o saliente de la red en determinados puertos o intervalos de
puertos puertos.
NOTA: Cuando se bloquea un puerto, los accesos al protocolo TCP (Transmission Control
Protocol) y al protocolo UDP (User Datagram Protocol) quedan bloqueados.
NOTA: Cuando se bloquea un puerto, todos los protocolos que usan dicho puerto o
rango de puertos quedan bloqueados. Por ejemplo, los accesos al protocolo TCP
(Transmission Control Protocol) y al protocolo UDP (User Datagram Protocol) quedan
bloqueados.
Regla de bloqueo de Bloquee el acceso de escritura a archivos y carpetas, la ejecución de archivos, así como
archivos/carpetas la creación y eliminación de archivos.
NOTA: Una vez que se restringe el acceso a un archivo o a una carpeta, la restricción
se mantiene hasta que el administrador decida eliminarla. Esto ayuda a impedir las
intrusiones y detiene su difusión durante un ataque.
Regla de bloqueo del Proteja las claves o los valores del Registro mediante el bloqueo de las siguientes
Registro acciones: escribir, crear o eliminar.
Configuración de la protección de acceso

Utilice las Directivas de protección de acceso para proteger los puntos de acceso a su
sistema y evitar la interrupción de procesos de McAfee.
ATENCIÓN: Si no se activa la protección de acceso ni se impide la interrupción de los servicios
de McAfee, el sistema quedará desprotegido ante los diversos ataques de malware.
Hay dos tipos de reglas de protección de acceso que puede configurar.
• Reglas predefinidas. Le permiten:
• Abrir la categoría de la regla de protección de acceso en una de las consolas de interfaz
de usuario.

• Seleccionar el bloqueo y la acción a realizar en caso de que la regla se incumpla.

• Reglas definidas por el usuario. Le permiten:
• Crear la categoría de regla definida por el usuario con una de las consolas de interfaz de
usuario.
• Seleccionar qué tipo de bloqueo impone la regla: bloqueo de puertos, bloqueo de archivos
y carpetas o bloqueo de registro.
• Configurar los detalles de la regla.
• Guardar la regla y, si fuera necesario, modificarla en el futuro.
Tareas
Configuración de reglas predefinidas
Configuración de reglas definidas por el usuario
Opciones de regla de bloqueo de puertos
Opciones de regla de bloqueo de archivos y carpetas
Opciones de regla de bloqueo de registro
Opciones de inclusión o exclusión de procesos específicos
Eliminación de reglas definidas por el usuario
Configuración de reglas predefinidas

Utilice las reglas predefinidas para proteger el equipo de cambios no deseados. Estas reglas se
pueden activar y editar, pero no se pueden eliminar.
Las reglas predefinidas de protección de acceso incluyen:
• Protección estándar antispyware
• Protección máxima antispyware
• Protección estándar de antivirus
• Protección máxima de antivirus
• Control de brotes de antivirus
• Protección común estándar
• Protección común máxima
• Protección de máquina virtual
Si desea obtener más información acerca de estas reglas predefinidas de protección de acceso,
consulte Definición de las reglas de protección de acceso.
Configure las reglas predefinidas de protección de acceso mediante una de estas consolas de
interfaz de usuario.

Configure las reglas predefinidas de protección de acceso en las Directivas de protección de
acceso.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en ? en la interfaz.


directiva.
4 En la página Directiva de protección de acceso, haga clic en la ficha Protección de acceso
para visualizar las reglas de protección de acceso.
5 Seleccione una de las categorías predefinidas de reglas en el panel izquierdo y, a
continuación, seleccione la regla específica en el panel derecho.
6 Configure las opciones Bloquear y/o Informar.
7 Haga clic en Editar para configurar los Detalles de la regla.

Configure las reglas predefinidas de protección de acceso en las Directivas de protección de
acceso.
Tarea
directivas.

4 En la página Directiva de protección de acceso, haga clic en la ficha Protección de acceso
para visualizar las reglas de protección de acceso.
Configure las reglas predefinidas de protección de acceso en las propiedades de Protección de
acceso.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en Ayuda en la interfaz.
1 En la lista Tarea, haga clic con el botón secundario en Protección de acceso y, a
continuación, haga clic en Propiedades para abrir el cuadro de diálogo.
2 En el cuadro de diálogo Directiva de protección de acceso, haga clic en la ficha Protección
de acceso para visualizar las reglas de protección de acceso.
Configuración de reglas definidas por el usuario

Cree y edite reglas definidas por el usuario para complementar la protección que proporcionan
las reglas predefinidas.
Si desea obtener más información acerca de las reglas predefinidas de protección de acceso,
consulte Definición de las reglas de protección de acceso.
Utilice una de estas consolas de interfaz de usuario para crear y editar las reglas de protección
de acceso definidas por el usuario.

Configure las reglas de protección de acceso definidas por el usuario en las Directivas de
protección de acceso.
Tarea


directiva.
4 Seleccione la categoría Reglas definidas por el usuario en el panel izquierdo. A
continuación, haga clic en Nueva para abrir el cuadro de diálogo Seleccionar el nuevo
tipo de regla.
5 Seleccione el tipo de regla y haga clic en Aceptar. Si desea obtener más información,
consulte Tipos de reglas definidas por el usuario.
En función del tipo de regla seleccionado, aparecerá un tipo distinto de cuadro de diálogo
de regla de acceso.
6 Configure los siguientes detalles de la regla de acceso.
• Regla de protección de acceso de puertos de red: consulte la tabla de opciones
en Opciones de regla de bloqueo de puertos.
• Regla de protección de acceso a archivos/carpetas: consulte la tabla de opciones
en Opciones de regla de bloqueo de archivos y carpetas.
• Regla de protección de acceso al registro: consulte la tabla de opciones en Opciones
de regla de bloqueo de registro.
NOTA: Para configurar los procesos que desea incluir y excluir, consulte Opciones de
inclusión o exclusión de procesos específicos.
7 Haga clic en Aceptar.

La nueva regla definida por el usuario aparece en el panel derecho bajo
Bloqueo/Informe/Reglas. Para modificar la regla nueva, selecciónela y haga clic en Editar.

Configure las reglas de protección de acceso definidas por el usuario en las Directivas de
protección de acceso.

Tarea
directivas.
tipo de regla.
de regla de acceso.

La nueva regla definida por el usuario aparece en el panel derecho bajo
Bloqueo/Informe/Reglas. Para modificar la regla nueva, selecciónela y haga clic en Editar.
Configure las reglas de protección de acceso definidas por el usuario en las propiedades de
Protección de acceso.
Tarea


tipo de regla.
de regla de acceso.

La nueva regla definida por el usuario aparece en el panel derecho, en la columna Reglas.
Para modificar la regla nueva, selecciónela y haga clic en Editar.
Opciones de regla de bloqueo de puertos

Las reglas de bloqueo de puertos evitan que los usuarios puedan obtener acceso a los puertos
de entrada y de salida que se especifiquen. Además, impiden que otros equipos puedan obtener
acceso al equipo.
Definiciones de las opciones
Opción Definición
Nombre de regla Escriba el nombre de esta regla.
Procesos que se incluyen Restrinja el acceso a los procesos especificados.
Procesos que se excluyen Permita el acceso a los procesos especificados.
Puerto inicial Especifique el primer número de puerto. Puede ser un único puerto o el número inicial
de un intervalo de puertos.
NOTA: Si bloquea el acceso a un puerto utilizado por McAfee Agent o por Host Intrusion
Prevention Agent, los procesos de los agentes pasan a ser de confianza y se les permite
comunicar con el puerto bloqueado. El tráfico que no esté relacionado con estos procesos
de agente se bloquea.
Puerto final Especifique el último número de puerto en un intervalo de puertos.
Entrante Impida que los sistemas de la red accedan a los puertos especificados.
Saliente Impida que los procesos locales accedan a los puertos especificados en la red.

Opciones de regla de bloqueo de archivos y carpetas

Las reglas de bloqueo de archivos y carpetas evitan que usuarios no autorizados alteren, abran
o eliminen los archivos o carpetas que se especifiquen.
Opción Definición
Nombre de la regla Escriba el nombre de esta regla.
Nombre del archivo o la Impida el acceso al archivo o carpeta que se ha especificado.

carpeta que se va a
bloquear
Examinar archivo Desplácese hasta el archivo.
Examinar carpeta Desplácese hasta la carpeta.
Acceso de lectura a Impida el acceso de lectura a los archivos especificados.

archivos
Acceso de escritura a Impida el acceso de escritura a los archivos especificados.

archivos
Archivos que están Impida la ejecución de archivos en la carpeta indicada.

ejecutándose
Nuevos archivos que Impida la creación de nuevos archivos en la carpeta indicada.

están creándose
Archivos que están Impida la eliminación de los archivos de la carpeta indicada.

siendo eliminados
Opciones de regla de bloqueo de registro

Las reglas de bloqueo de registro evitan que los usuarios y los programas no autorizados puedan
alterar, abrir o eliminar los valores y las claves de registro que se especifiquen.
NOTA: Cuando cree una regla de bloqueo de registro, utilice la abreviatura del subárbol de
registro que mejor coincida. Por ejemplo, para bloquear
HKLM\System\CurrentControlSet\Services\MyService, seleccione el subárbol HKCCS y no HKLM.
Opción Definición
Nombre de regla Especifique el nombre de esta regla.
Clave o valor del Proteja este valor o clave de registro:

Registro que se debe • Seleccione una clave raíz o un valor de la lista desplegable.
proteger
• Escriba una clave o un valor en el cuadro de texto.
La selección de una clave raíz o un valor de la lista desplegable es opcional. Utilice
cualquiera de estos métodos para indicar la clave o el valor:

Opción Definición
• Seleccione la clave raíz o el valor de la lista desplegable y, a continuación, escriba
el resto de la ruta hasta la clave o el valor en el cuadro de texto.
• Escriba la ruta completa hacia la clave o el valor en el cuadro de texto.
Tipo de regla Seleccione el tipo de regla:

• Clave: esta regla protege la clave especificada.
• Valor: esta regla protege el valor especificado.
Escribir clave o valor Impida la escritura en el valor o clave especificados.
Crear clave o valor Impida la creación del valor o la clave especificados.
Eliminar clave o valor Impida la eliminación del valor o la clave especificados.
Opciones de inclusión o exclusión de procesos específicos

Para cambiar los detalles de la regla (p. ej., el nombre) y los procesos que se deben incluir o
excluir, utilice Protección de acceso y haga clic en Editar.
Opción Descripción
Nombre de regla El nombre de esta regla. Por ejemplo, Impedir la desactivación del editor del
Registro y del Administrador de tareas.
Procesos que se Restrinja el acceso a estos procesos. Use el nombre exacto del proceso o un comodín
incluyen para especificar una amplia gama de procesos, como *.EXE, y, a continuación, agregue
exclusiones para procesos específicos que resultan inofensivos, como SETUP.EXE. Por
ejemplo, especifique * para incluir todos los procesos.
Procesos que se Permita el acceso a estos procesos. Utilice el nombre exacto del proceso. Por ejemplo,
excluyen indique estas exclusiones: avtask.exe, cfgwiz,exe, fssm32.exe, giantantispywar*,
kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.
Eliminación de reglas definidas por el usuario

Elimine las reglas que ha creado pero que ya no utiliza.
Utilice una de las siguientes consolas de interfaz de usuario para eliminar las reglas definidas
por el usuario.

En las Directivas de protección de acceso, elimine las reglas que haya creado y que ya no utilice.
Tarea
Si desea consultar las definiciones de las opciones, haga clic en ? o Ayuda en la interfaz.


directiva.
4 Seleccione la categoría Reglas definidas por el usuario del panel izquierdo y, a
continuación, seleccione la regla que desea eliminar del panel derecho.
5 Haga clic en Eliminar.
NOTA: Para desactivar una regla sin eliminarla, cancele la selección de las acciones
Bloquear e Informar. Puede volver a activar la regla si resulta necesario.

En las Directivas de protección de acceso, elimine las reglas que haya creado y que ya no utilice.
Tarea
directivas.


En las propiedades de Protección de acceso, elimine las reglas que haya creado y que ya no
utilice.
Utilice una de las siguientes consolas de interfaz de usuario para eliminar las reglas definidas
por el usuario.
Tarea
Bloqueo de vulnerabilidades de desbordamiento del

búfer
La protección contra el desbordamiento del búfer impide que las vulnerabilidades de
desbordamiento del búfer ejecuten de forma arbitraria un código en el equipo. Supervisa las
llamadas de modo usuario de API y reconoce cuándo son el resultado de un desbordamiento
del búfer.
Cuando se produce una detección, la información se registra en el registro de actividades y se
visualiza en el cuadro de diálogo Mensajes de análisis en tiempo real, si ha configurado
así esas opciones.
VirusScan Enterprise usa un archivo DAT de desbordamiento del búfer y protección de acceso
para proteger aproximadamente 30 aplicaciones como, por ejemplo, Internet Explorer, Microsoft
Outlook, Outlook Express, Microsoft Word y MSN Messenger.
Contenido
Vulnerabilidades de desbordamiento del búfer
Configuración de la protección de desbordamiento del búfer
Vulnerabilidades de desbordamiento del búfer

Los atacantes utilizan las vulnerabilidades de desbordamiento del búfer para ejecutar un código
que desborda los búferes de tamaño fijo reservados para procesos de entrada. Este código
permite al atacante tomar el control del equipo de destino o poner en peligro sus datos.

Existen dos tipos de vulnerabilidades de desbordamiento del búfer:

• Ataques basados en montón (heap): saturan el espacio de memoria reservado a un
programa. Son difíciles de realizar y poco frecuentes.
• Ataques basados en pila: utilizan los objetos de la memoria de la pila para almacenar
entradas de usuario. Son los más comunes.
A continuación se describen los ataques por desbordamiento del búfer basados en pila:
1 Proceso normal de memoria en pila: la memoria en pila, de tamaño fijo, se encuentra
normalmente vacía a la espera de que el usuario realice una entrada. Cuando un programa
recibe una entrada por parte del usuario (p. ej., su nombre), los datos se almacenan en
la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando
se procesa la pila, la entrada del usuario se envía a la dirección de retorno especificada
por el programa.
2 Desbordamiento de la pila: cuando se escribe el programa, se reserva una cantidad
específica de espacio de memoria para los datos. La pila se desborda si los datos escritos
tienen un tamaño superior al espacio reservado para ellos en la pila. Esto sólo supone un
problema si se combina con una entrada maliciosa.
3 Vulneración del desbordamiento: si el programa está esperando a que un usuario
introduzca su nombre y el atacante introduce un comando ejecutable que excede el tamaño
de la pila, dicho comando se almacenará fuera del espacio reservado.
4 Ejecución de código malicioso: el comando no se ejecuta automáticamente ya que
excede el espacio de búfer de la pila. Sí se ejecuta si el atacante proporciona una dirección
de retorno que apunte al comando malicioso. En un principio, el programa se bloquea
debido al desbordamiento del búfer. Sin embargo, intenta recuperarse utilizando la dirección
de retorno proporcionada por el atacante. Si la dirección de retorno es válida, el comando
malicioso se ejecuta.
5 Vulneración de permisos: debido a que los programas se ejecutan normalmente en
modo kernel o con permisos heredados de una cuenta de servicio, el código malicioso
puede ejecutarse con los mismos permisos de la aplicación que ha sido puesta en peligro.
Esto significa que el atacante puede tomar el control total del sistema operativo.
Configuración de la protección de desbordamiento del búfer

Para evitar que las aplicaciones ejecuten código arbitrario en el equipo, se deben configurar
las Directivas de protección de desbordamiento del búfer.
Configure las Directivas de protección de desbordamiento del búfer con las siguientes consolas
de interfaz de usuario.

Configure las Directivas de protección de desbordamiento del búfer con estas consolas de
Tarea


directiva.
4 En la página Directivas de protección de desbordamiento del búfer, haga clic en la ficha
Protección de desbordamiento del búfer y realice la siguiente configuración:
a Active Configuración de desbordamiento del búfer y el modo de protección utilizado.
Configure el modo de protección para que bloquee el aprovechamiento de la
vulnerabilidad o para que simplemente envíe un mensaje y registre el evento.
b Active las Advertencias del sistema cliente que se enviarán cuando se produzca un
ataque por desbordamiento del búfer.
c Configure las Exclusiones de desbordamiento del búfer para los valores específicos
de API (Interfaz de Programación de Aplicaciones), así como los procesos opcionales y
los nombres de módulos que se excluirán.
5 Haga clic en la ficha Informes, active los archivos de registro de actividades de análisis,
su ubicación, tamaño y formato.
NOTA: Estos archivos de registro resultan muy útiles a la hora de diagnosticar amenazas
de seguridad y determinar qué medidas tomar frente a esas amenazas.

Configure las Directivas de protección de desbordamiento del búfer con esta consola de interfaz
de usuario.
Tarea


directivas.
4 En la página Directivas de protección de desbordamiento del búfer, haga clic en la ficha
1 Active Configuración de desbordamiento del búfer y el modo de protección
utilizado. Configure el modo de protección para que bloquee el aprovechamiento de
la vulnerabilidad o para que simplemente envíe un mensaje y registre el evento.
2 Active las Advertencias del sistema cliente que se enviarán cuando se produzca
un ataque por desbordamiento del búfer.
3 Configure las Exclusiones de desbordamiento del búfer para los valores específicos
de API (Interfaz de Programación de Aplicaciones), así como los procesos opcionales
y los nombres de módulos que se excluirán.
Configure las Directivas de protección de desbordamiento del búfer con esta consola de interfaz
de usuario.
Tarea
1 En la lista Tarea, haga clic con el botón secundario en Protección de desbordamiento
del búfer y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo.
2 En la página Propiedades de protección de desbordamiento del búfer, haga clic en la ficha
a Active Configuración de desbordamiento del búfer y el modo de protección utilizado.
Configure el modo de protección para que bloquee el aprovechamiento de la
vulnerabilidad o para que simplemente envíe un mensaje y registre el evento.
b Active las Advertencias del sistema cliente que se enviarán cuando se produzca un
ataque por desbordamiento del búfer.
c Configure las Exclusiones de desbordamiento del búfer para los valores específicos
de API (Interfaz de Programación de Aplicaciones), así como los procesos opcionales y
los nombres de módulos que se excluirán.

Restricción de programas potencialmente no

deseados
VirusScan Enterprise protege a su equipo de los programas potencialmente no deseados que
suponen una molestia o un riesgo para la seguridad. Hay configurada una directiva sobre
programas no deseados habituales, pero puede activar o desactivar de forma individual la
directiva y especificar acciones para cada uno de los analizadores de VirusScan Enterprise.
Los programas potencialmente no deseados (PUP) se definen como aquellos programas de
software que han desarrollado compañías legítimas y que pueden alterar el estado de seguridad
o la directiva de privacidad del equipo en el que se encuentran instalados. Este software puede
incluir, aunque no necesariamente, spyware, adware y marcadores. Estos programas PUP
incrustados se pueden descargar con un programa que el usuario desea obtener. Los usuarios
preocupados por la seguridad reconocen este tipo de programas y, en algunos casos, los
eliminan.
Configuración de programas no deseados

Para proteger su equipo contra programas potencialmente no deseados, debe configurar las
categorías de programas no deseados que se detectarán en su entorno.
La configuración es un proceso en dos pasos:
1 Configure la Directiva de programas no deseados para definir qué programas
potencialmente no deseados desea detectar y excluir:
• Seleccione categorías de programas completas o programas específicos de dichas
categorías en la lista predefinida procedente del archivo DAT actual.
• Especifique las exclusiones.
• Cree una lista de programas que deben detectarse definida por el usuario.
2 Active la detección de programas no deseados en los analizadores en tiempo real, bajo
demanda y de correo electrónico y, a continuación, configure las acciones que se van a
emprender cuando se detecte un programa no deseado.
NOTA: La detección de programas no deseados se activa de modo diferente en el analizador
bajo demanda ya que el análisis bajo demanda es una tarea, no una directiva. Para obtener
más información, consulte Configuración de tareas de análisis bajo demanda.
Tareas
Acceso a directivas de programas no deseados
Activación de la detección de programas no deseados en los analizadores en tiempo real y
de correo electrónico

Acceso a directivas de programas no deseados

Configure las directivas de programas no deseados seleccionando las categorías de programas
no deseados que se deben detectar. Por ejemplo, spyware y adware. Asimismo, puede especificar
exclusiones para que no se detecten determinados programas.
Acceda a las directivas de programas no deseados mediante una de las siguientes consolas de

Configure las Directivas de programas no deseados con esta consola de interfaz de usuario.
Tarea
directiva.
4 En la página Directiva de programas no deseados, haga clic en la ficha Elementos
de análisis para configurar lo siguiente:
a Categorías de programas no deseados que se detectarán: por ejemplo, spyware
y adware. El archivo DAT actual define estas categorías.
b Exclusiones: debe especificar el nombre exacto de la detección que desea excluir, no
el nombre del archivo.
5 Haga clic en la ficha Detecciones definidas por el usuario y especifique los archivos o
programas que se considerarán programas no deseados. Especifique cada elemento por
nombre de archivo y proporcione una descripción para cada uno.

Configure las Directivas de programas no deseados con esta consola de interfaz de usuario.

Tarea
directivas.
Configure las propiedades de Programas no deseados mediante esta consola de interfaz de
usuario.
Tarea
1 En la lista Tarea, haga clic con el botón secundario en Directiva de programas no
deseados y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo
Directiva de programas no deseados.

Activación de la detección de programas no deseados en los analizadores

en tiempo real y de correo electrónico
Para que los analizadores en tiempo real y de correo electrónico puedan detectar programas
no deseados, se debe activar esta función en la ficha Elementos de análisis.
Utilice las siguientes consolas de interfaz de usuario para activar los analizadores en tiempo
real y de correo electrónico para que detecten programas no deseados.
NOTA: Para activar la detección de programas no deseados en el analizador bajo demanda,
consulte Configuración de tareas de análisis bajo demanda.

Utilice la consola de ePolicy Orchestrator 4.5 o 4.6 para activar los analizadores en tiempo real
y de correo electrónico para que detecten programas no deseados.
El proceso usado para activar la detección de programas no deseados en el analizador en tiempo
real y en el analizador bajo demanda es básicamente el mismo. La única diferencia es la directiva
que se selecciona en el catálogo de directivas durante el paso 2. Para activar la detección de
programas no deseados para:
• Análisis en tiempo real, seleccione Directivas de análisis en tiempo real.
• Análisis de correo electrónico, seleccione Directivas de correo electrónico durante
la recepción.
Tarea
directiva.

4 En la página Directivas de análisis en tiempo real o Directivas de correo electrónico

durante la recepción, haga clic en la ficha Elementos de análisis y seleccione Detectar

Utilice la consola de ePolicy Orchestrator 4.0 para activar los analizadores en tiempo real y de
correo electrónico para que detecten programas no deseados.
real y en el analizador bajo demanda es básicamente el mismo. La única diferencia es la directiva
que se selecciona en el catálogo de directivas durante el paso 2. Para activar la detección de
• Análisis de correo electrónico, seleccione Directivas de correo electrónico durante
la recepción.
Tarea
directivas.
Utilice Consola de VirusScan para activar los analizadores en tiempo real y de correo electrónico
para que detecten programas no deseados.
real y en el analizador bajo demanda es básicamente el mismo. La única diferencia es la tarea
que se selecciona en Consola de VirusScan durante el paso 2. Para activar la detección de

• Análisis de correo electrónico, seleccione Analizador de correo electrónico durante

la recepción.
Tarea
1 En la lista Tarea, haga clic con el botón secundario en una de las siguientes opciones. A
continuación, haga clic en Propiedades para abrir su cuadro de diálogo:
• Directivas de análisis en tiempo real: para análisis en tiempo real.
• Analizador de correo electrónico durante la recepción: para análisis de correo
electrónico.

El software VirusScan Enterprise depende del motor de análisis y de la información de los
archivos de definición de detección (DAT) para identificar las amenazas y realizar acciones con
respecto a ellas. Periódicamente aparecen nuevas amenazas. Para enfrentarse a este reto,
McAfee publica nuevos archivos DAT cada día que incorporan los resultados de su continua
investigación. La tarea de actualización recupera los archivos DAT más actuales desde el sitio
de actualización externo de McAfee y los instala.
NOTA: Un entorno administrado por ePolicy Orchestrator también puede recuperar los archivos
DAT, el archivo EXTRA.DAT, los motores de análisis, los Service Packs y los parches más
recientes.
Contenido
Archivos DAT y su funcionamiento
Importancia de tener una estrategia de actualización
Tareas de actualización y su funcionamiento
Tareas de duplicación y su funcionamiento
Funcionamiento del repositorio de AutoUpdate
Funcionamiento de la reversión de archivos DAT
Archivos DAT y su funcionamiento

Cuando el motor de análisis explora los archivos en busca de amenazas, compara el contenido
de esos archivos con información de amenazas conocidas que se encuentra almacenada en
archivos de definición de detecciones (DAT). La información de amenazas conocidas, denominada
firmas, es información que McAfee Labs ha encontrado y agregado a los archivos DAT.
Aparte de las firmas, los archivos DAT también incluyen información sobre cómo limpiar y
contrarrestar el daño provocado por el virus que se ha detectado. Por ese motivo es tan
importante disponer de la versión más reciente del archivo DAT utilizado por VirusScan Enterprise.
ATENCIÓN: Si la firma de un determinado virus no está incluida en ninguno de los archivos
DAT que tiene instalados, el motor de análisis no detectará ese virus. Asimismo, se debe disponer

de la última versión del motor de análisis para que éste pueda sacar todo el provecho de los
archivos DAT más recientes.
VirusScan Enterprise también utiliza heurística, denominada Artemis, para buscar archivos
sospechosos conjuntamente con los archivos DAT. Consulte Funcionamiento de Artemis para
obtener más información.
Los archivos DAT se almacenan en la ruta siguiente:
\Archivos de programa\Archivos comunes\McAfee\Engine
Importancia de tener una estrategia de actualización

No se puede subestimar la importancia de tener una estrategia de actualización. Si su sistema
no dispone de los archivos DAT ni el motor de análisis más recientes, no estará totalmente
protegido contra los últimos virus. Ha habido un incremento sin precedentes en el número, la
velocidad de propagación y el predominio de nuevo malware. Asimismo, la creciente cantidad
de adware y spyware exige disponer de una detección y eliminación más consistentes.
Casi a diario, McAfee Labs publica actualizaciones de los archivos DAT sobre las 6:00 p. m.
(GMT). No cabe duda de que se seguirán produciendo brotes a cualquier hora y que éstos
requerirán la publicación de archivos DAT de emergencia. En caso de que un archivo DAT se
publique más temprano para prevenir una posible brote, ese día no se publicará un segundo
DAT a la hora habitualmente programada, a menos que así lo requiera otra situación de
emergencia.
Determinación de una estrategia de actualización

Los archivos DAT y el motor de análisis utilizados por VirusScan Enterprise se pueden actualizar
mediante varios métodos. Se pueden utilizar tareas de actualización (AutoUpdate), actualizaciones
manuales, secuencias de comandos de inicio de sesión, o bien planificar actualizaciones con
herramientas de administración.
El uso de una tarea de actualización permite:
• Planificar despliegues de archivos DAT en toda la red: puede escalonar las tareas de
actualización o establecer una planificación para actualizar los archivos DAT por etapas o
de forma rotatoria en distintas partes de la red, en el momento más conveniente y con una
intervención mínima por parte de los administradores o usuarios de la red.
• Dividir tareas de administración de despliegue: para aumentar la eficiencia del ancho
de banda de la red, utilice diferentes servidores o controladores de dominio entre diferentes
regiones de redes de área amplia o a través de otras divisiones de la red. De este modo,
también se puede reducir el potencial de infracciones de seguridad de la red.
• Reducir el tiempo de espera necesario para descargar nuevos archivos DAT o
archivos actualizados del motor: el tráfico en los equipos con McAfee aumenta
significativamente en las fechas habituales de publicación de archivos DAT y siempre que
aparecen nuevas versiones de productos. Evitar la competición por el ancho de banda de la
red le permitirá desplegar el nuevo software con interrupciones mínimas.
Requisitos para una estrategia de actualización eficaz

Una estrategia de actualización eficaz requiere generalmente que al menos un cliente o servidor
de la organización recupere actualizaciones del sitio de descargas de McAfee. Desde ese punto,
los archivos pueden replicarse por toda la organización y proporcionar acceso para todos los
demás equipos. Idealmente, debería minimizarse la cantidad de datos transferidos por la red

mediante la automatización del proceso de copia de los archivos actualizados a los sitios
compartidos.
Los factores principales que deben tenerse en cuenta para una actualización eficaz son el número
de clientes y el número de sitios. Otras consideraciones pueden ser el número de sistemas en
cada sitio remoto y la forma en que los sitios remotos acceden a Internet. Los conceptos básicos
de usar un repositorio central para recuperar las actualizaciones y planificar tareas de
actualización para mantener el entorno al día se aplican a organizaciones de cualquier tamaño.
Para obtener información sobre despliegue de software y actualizaciones, consulte la guía del
producto correspondiente de ePolicy Orchestrator.
Tareas de actualización y su funcionamiento

Utilice la tarea de actualización para obtener los archivos DAT, el motor de búsqueda, los service
packs y los parches más recientes.
VirusScan Enterprise incluye una tarea de actualización predeterminada que está programada
todos los días a las 5:00 p. m., con una ejecución aleatoria de una hora. Se pueden crear tareas
de actualización adicionales según sea necesario.
Actividades de las tareas de actualización
Estas actividades tienen lugar cuando se ejecuta una tarea de actualización:
• Se crea una conexión con el primer repositorio (sitio de actualización) activado de la lista
de repositorios. Si este repositorio no está disponible, se entra en contacto con el siguiente
sitio y así sucesivamente hasta que se establece una conexión o hasta que se llega al final
de la lista.
• Se descarga un archivo CATALOG.Z codificado desde el repositorio. El archivo contiene los
datos fundamentales necesarios para actualizar. Estos datos se utilizan para determinar qué
archivos y actualizaciones están disponibles.
• Las versiones de software contenidas en el archivo se cotejan con las versiones existentes
en el equipo. Si hay disponibles nuevas actualizaciones de software, se procederá a su
descarga.
Interrupción de tareas de actualización
Si la tarea de actualización se interrumpe por algún motivo:
• La tarea de actualización desde un sitio HTTP, UNC o local se reanuda desde donde se
interrumpió la próxima vez que se inicie la tarea de actualización.
• Una tarea de actualización desde un sitio FTP no vuelve a empezar si se interrumpió durante
la descarga de un único archivo. No obstante, si la tarea implica la descarga de varios archivos
y se interrumpe, se reanudará antes del archivo que se estaba descargando en el momento
de la interrupción.
Actualización mediante EXTRA.DAT
Se puede usar un archivo EXTRA.DAT como medida temporal durante una emergencia. El
archivo EXTRA.DAT se descarga del repositorio en cada actualización. De este modo, se garantiza
que, si se modifica y se vuelve a instalar el archivo EXTRA.DAT como paquete, todos los clientes
de VirusScan Enterprise descargan y utilizan el mismo paquete EXTRA.DAT actualizado. Por
ejemplo, podría utilizar el archivo EXTRA.DAT como un detector mejorado para el mismo
programa potencialmente no deseado o como detección adicional para otros nuevos programas
potencialmente no deseados. VirusScan Enterprise sólo admite el uso de un archivo EXTRA.DAT.
SUGERENCIA: Cuando haya terminado de utilizar el archivo EXTRA.DAT, deberá eliminarlo del
repositorio maestro y ejecutar una tarea de réplica para garantizar que se elimina de todos los
sitios de repositorios distribuidos. De este modo, los clientes de VirusScan Enterprise no pueden

descargar el archivo EXTRA.DAT durante una actualización. De forma predeterminada, la

detección del nuevo programa potencialmente no deseado en el archivo EXTRA.DAT se omite
una vez que el nuevo archivo de definición de detecciones se agrega a los archivos DAT diarios.
Configuración de la tarea de AutoUpdate

Para actualizar automáticamente los archivos DAT y los motores de análisis de todos los
productos McAfee, se debe configurar las propiedades y la planificación de AutoUpdate.
Tarea
Para obtener la definición de cada opción, haga clic en ? o Ayuda en la ficha.
1 Para tener acceso a las propiedades de AutoUpdate:
• ePolicy Orchestrator 4.5 o 4.6: haga clic en Menú | Sistemas | Árbol de sistemas
y seleccione Tareas cliente.
NOTA: Si desea obtener información detallada sobre cómo crear una nueva tarea cliente
planificada, consulte la Guía del producto de McAfee ePolicy Orchestrator 4.5.
• ePolicy Orchestrator 4.0: haga clic en Sistemas | Árbol de sistemas | Tarea

cliente y seleccione una tarea de actualización existente o cree una nueva haciendo
clic en Nueva tarea.
• Consola de VirusScan: seleccione una tarea de actualización existente (haga clic con
el botón secundario y seleccione Propiedades), o cree una tarea nueva (seleccione
Tarea | Nueva tarea de actualización y seleccione la nueva tarea en la lista).
SUGERENCIA: Se recomienda que, al crear una nueva tarea cliente, se le cambie el
nombre por uno más descriptivo.
2 Especifique la ubicación del archivo de registro y el formato.

3 Defina si se desea obtener actualizaciones de motores y archivos DAT y otras actualizaciones
disponibles, como Service Packs y actualizaciones de productos.
4 Especifique el archivo ejecutable que desea ejecutar después de finalizar la tarea de
actualización y si quiere ejecutarlo sólo después de una actualización correcta.
5 Haga clic en Planificación para configurar la hora y la frecuencia de ejecución de la tarea.
Si desea más información, consulte Uso de tareas programadas.
6 Haga clic en Actualizar ahora. La tarea se ejecuta de inmediato.
Tareas de duplicación y su funcionamiento

Las tareas de duplicación replican los archivos de actualización desde el primer repositorio
accesible de los definidos en la lista de repositorios hasta un sitio de duplicación ubicado en su
red. El uso más habitual de esta tarea es el de duplicar el contenido del sitio de descarga de
McAfee en un servidor local.
Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de
la red ya pueden descargar los archivos del sitio de duplicación. Este método resulta práctico,
ya que permite actualizar cualquier equipo de la red, tenga o no acceso a Internet, y también
es eficaz, porque los sistemas se comunican con un servidor que probablemente se encuentra

más cerca que un sitio de Internet de McAfee, con lo que los tiempos de acceso y descarga se
reducen.
El software VirusScan Enterprise depende de una estructura de directorios para actualizarse.
Al duplicar un sitio, es importante replicar toda la estructura de directorios.
NOTA: Esta estructura de directorios también admite versiones anteriores de VirusScan Enterprise
y NetShield, siempre y cuando se replique toda la estructura de directorios en la misma ubicación
que utiliza VirusScan Enterprise 8.8 para la actualización.
Configuración de la tarea de duplicación

Para almacenar los archivos DAT y los motores de análisis en una ubicación designada donde
puedan ser utilizados por otros equipos, configure la ubicación y la programación mediante las
propiedades de la tarea de duplicación.
Tarea
Para obtener la definición de cada opción, haga clic en ? o Ayuda en la ficha.
1 Para obtener acceso a las propiedades de la tarea Duplicación utilice:
• ePolicy Orchestrator 4.5 o 4.6: haga clic en Menú | Sistemas | Árbol de sistemas
y seleccione Tareas cliente.
NOTA: Si desea obtener información detallada sobre cómo crear una nueva tarea cliente,
consulte la Guía del producto de McAfee ePolicy Orchestrator 4.5.
• ePolicy Orchestrator 4.0: haga clic en Sistemas | Árbol de sistemas | Tarea

cliente y seleccione una tarea de actualización existente o cree una nueva haciendo
clic en Nueva tarea.
• Con Consola de VirusScan, realice una de las siguientes acciones:

• Seleccione una tarea de duplicación existente, haga clic con el botón secundario y
seleccione Propiedades. Aparece el cuadro de diálogo Tarea de duplicación.
• Para crear una nueva tarea de duplicación, seleccione Tarea | Nueva tarea de
duplicación. En la lista de tareas aparece Nueva tarea de actualización. Haga clic
en la tarea nueva para abrir el cuadro de diálogo Tarea de duplicación.
NOTA: Cambie el nombre de la tarea por uno más descriptivo: haga clic con el botón
secundario en la tarea y seleccione Cambiar nombre.
2 Consola de VirusScan: seleccione una tarea de actualización existente (haga clic con el
botón secundario y seleccione Propiedades), o cree una tarea nueva (seleccione Tarea
| Nueva tarea de duplicación y seleccione la nueva tarea en la lista).
SUGERENCIA: Se recomienda que, al crear una nueva tarea cliente, se le cambie el nombre
por uno más descriptivo.
3 Permite especificar la ubicación del archivo de registro y el formato.

4 Permite definir si se desea obtener nuevas definiciones de detecciones, actualizaciones de
motores y archivos DAT y otras actualizaciones disponibles, como Service Packs y
actualizaciones de productos.

5 Especifique el archivo ejecutable que desea ejecutar después de finalizar la tarea de

actualización y si quiere ejecutarlo sólo después de una actualización correcta.
6 Haga clic en Ubicación de duplicación para configurar el destino del servidor de
duplicación.
7 Haga clic en Planificación para configurar la hora y la frecuencia de ejecución de la tarea.
Si desea más información, consulte Uso de tareas programadas.
8 Haga clic en Duplicar ahora para ejecutar la tarea de inmediato.
9 Configure las opciones de la ficha. Para obtener la definición de cada opción, haga clic en
? o Ayuda en la ficha.
Definiciones de ficha
Ficha Definiciones
Duplicación • Especifique la ubicación del archivo de registro y el formato.

• Especifique el archivo ejecutable que desea ejecutar después de finalizar la tarea de
réplica y si quiere ejecutarlo sólo después de una réplica correcta.
Funcionamiento del repositorio de AutoUpdate

La lista de repositorios de AutoUpdate (SITELIST.XML) especifica la información de configuración
necesaria para realizar una tarea AutoUpdate.
La lista de repositorios de AutoUpdate incluye:
• Información y ubicación del repositorio
• Orden de preferencia de repositorios
• Configuración de proxy, cuando se precise
• Credenciales cifradas necesarias para tener acceso a cada repositorio
Cuando se lleva a cabo una tarea de AutoUpdate se crea una conexión con el primer repositorio
(sitio de actualización) activado de la lista de repositorios. Si este repositorio no está disponible,
se entra en contacto con el siguiente y así sucesivamente hasta que se establece una conexión
o hasta que se llega al final de la lista.
Si la red utiliza un servidor proxy, se puede especificar qué configuración de proxy se va a
utilizar, la dirección del servidor proxy y si se utilizará autenticación. La información sobre el
proxy se almacena en la lista de repositorios de AutoUpdate. La configuración del proxy
especificada es de aplicación para todos los repositorios de la lista.
La ubicación de la lista de repositorios de AutoUpdate depende del sistema operativo.
• Para Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server
y Microsoft 2008 Server: C:\Documents and Settings\All Users\Application Data\McAfee\Common
Framework
• Para Microsoft Windows 7: C:\ProgramData\McAfee\Common Framework
Configuración de la lista de repositorios

La lista de repositorios incluye los repositorios desde los que se recuperan las actualizaciones.
Se pueden crear y configurar tantos repositorios como se necesiten. Algunos sitios se pueden
utilizar siempre y otros sólo en ocasiones.

Tarea
1 En Consola de VirusScan, seleccione Herramientas | Editar lista de repositorios de
AutoUpdate para obtener acceso a las propiedades de Lista de repositorios de
AutoUpdate.
NOTA: Para configurar la función de repositorios mediante la consola de ePolicy Orchestrator,
desplácese a la pantalla Catálogo de directivas | McAfee Agent y haga clic en la ficha
Repositorios.
2 Configure las opciones de las fichas.
Ficha Definiciones
Repositorios • Especifique los repositorios desde donde obtiene las actualizaciones.

• Configure el orden de acceso a los repositorios.
Configuración de proxy Especifique la configuración de proxy que se usará al actualizar.
Funcionamiento de la reversión de archivos DAT

Si los archivos DAT actuales están dañados o son incompatibles, puede revertirlos a la última
versión de la que se haya hecho una copia de seguridad.
Al actualizar los archivos DAT, la versión anterior se almacena en la siguiente ubicación:
<unidad>:\Archivos de programa\Archivos comunes\McAfee\Engine\OldDats.
Cuando se revierten los archivos DAT, los archivos DAT actuales se sustituyen por la versión
de la carpeta OldDats y se configura un indicador en el Registro en esta ubicación:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS.
Una vez realizada la reversión, no es posible recuperar la versión anterior. La próxima vez que
se realice una actualización, la versión de DAT en el Registro se comparará con los archivos
DAT en el repositorio de actualización. En el caso de que los archivos DAT nuevos sean iguales
que los del Registro, la actualización no se producirá.
Reversión de archivos DAT

Para recuperar la versión anterior de sus archivos DAT utilice la herramienta Restaurar archivos
DAT.
Tarea
1 En Consola de VirusScan, seleccione Herramientas | Restaurar archivos DAT.
2 Haga clic en Sí para proceder a la reversión de los archivos DAT.
NOTA: Esta función no está disponible desde la consola de ePolicy Orchestrator.
3 Configure las opciones de la ficha.


Cada uno de los analizadores de VirusScan Enterprise le permite perfeccionar la lista de tipos
de archivos analizados. Por ejemplo, puede excluir de los análisis archivos, carpetas y discos
de forma individual. Estas exclusiones pueden resultar necesarias ya que los analizadores podrían
analizar y bloquear un archivo cuando esté siendo utilizado por una base de datos o un servidor.
En tal caso, la base de datos o el servidor podrían fallar o generar errores.
Contenido
Especificación de exclusiones
Utilización de comodines para especificar elementos de análisis
Especificación de exclusiones
Especifique archivos, carpetas y unidades que desee excluir de las operaciones de análisis.
También puede eliminar las exclusiones que haya especificado con anterioridad.
Opción Definición
Elementos para excluir Seleccione el tipo de exclusión.

• Excluir por nombre/ubicación de archivo: especifique el nombre y la ubicación
del archivo, y si desea excluir las subcarpetas.
NOTA: Debe agregar una barra invertida (\) al final de la cadena para que se
considere una carpeta. De lo contrario, será tomado como una exclusión de archivo
y la casilla de verificación Excluir también subcarpetas quedará desactivada de
forma predeterminada.
• Excluir según el tipo de archivo: especifique uno o varios tipos de archivos.

• Excluir según la antigüedad del archivo: especifique el tipo de acceso y la
antigüedad mínima en días.
Momento de la exclusión Seleccione cuándo desea excluir el elemento seleccionado:
• Al leer
• Al escribir
Gestión de las Sobrescribir las exclusiones del cliente: excluya sólo los elementos especificados
exclusiones del cliente en esta directiva. Si esta opción no está seleccionada, el equipo cliente utilizará las
exclusiones que se definieron localmente y las exclusiones definidas en esta directiva.
NOTA: Esta opción se encuentra disponible únicamente a través de ePolicy Orchestrator.
Utilización de comodines para especificar elementos de análisis

Los comodines se pueden utilizar para excluir tipos de archivos por extensión.
El uso de los comodines está sujeto a las siguientes limitaciones.
• Los comodines válidos son el signo de interrogación (?) para excluir un solo carácter y el
asterisco (*) para excluir varios caracteres.
• Los comodines pueden aparecer delante de una barra invertida (\) en una ruta. Por ejemplo:
C:\ABC\*\XYZ coincide con C:\ABC\DEF\XYZ.

• Una exclusión que contiene signos de interrogación (?) se aplica si el número de caracteres
coincide con la longitud del archivo o el nombre de carpeta. Por ejemplo: La exclusión W??
excluye WWW, pero no excluye WW o WWWW.
• La sintaxis se amplía para incluir un doble asterisco (**), lo que significa cero o más
caracteres, incluso la barra invertida. Esto permite exclusiones a varios niveles. Por ejemplo:
C:\ABC\**\XYZ coincide con C:\ABC\DEF\XYZ y C:\ABC\DEF\DEF\XYZ, etc.

Cuando se configuran tareas de análisis bajo demanda, de AutoUpdate o de duplicación, es
necesario especificar la hora, la frecuencia y la duración de esas tareas. Asimismo, durante el
proceso de configuración se deben establecer los permisos de usuario.
Contenido
Programación de tareas
Configuración de la planificación de tareas
Programación de tareas
Tiene la opción de planificar tareas bajo demanda, de AutoUpdate y de duplicación para
ejecutarlas en determinadas fechas y horas, o a determinados intervalos. El método de
planificación de tareas depende de la consola de interfaz de usuario utilizada.
Para planificar estas tareas:
• Consola de ePolicy Orchestrator: utilice la ficha Planificación para mostrar la página
Planificación.
• Consola de VirusScan: utilice el botón Planificar para mostrar el cuadro de diálogo
Planificación.
Configuración de la planificación de tareas

Para configurar que una tarea se ejecute a una determinada hora o intervalo, utilice el cuadro
de diálogo Configuración de la planificación.
Antes de comenzar
Para programar la tarea, debe disponer de derechos de administrador. Los derechos de
administrador proporcionan al usuario acceso de escritura sobre la clave del Registro de la tarea
programada.
Para programar una tarea, haga clic en Planificar en el cuadro de diálogo de propiedades de
la tarea.
ATENCIÓN: McAfee recomienda que los análisis bajo demanda se planifiquen siguiendo unos
intervalos mínimos.
Intervalos mínimos recomendados por McAfee:
• Cada día: sólo si ha sufrido un brote de malware importante.
• Semanal: recomendado.
• Mensual: aceptable.

• Trimestral: mínimo indispensable.
Ficha Definiciones
Tarea • Active la tarea planificada para que se ejecute a horas determinadas.

• Detenga la tarea si se ejecuta durante las horas y los minutos especificados.
• Indique la configuración de la cuenta de usuario: nombre de usuario, dominio y
contraseña.
Planificar Indique la frecuencia de planificación y la configuración asociada.

Parte II — Detección: descubrir las amenazas
Descubrir las amenazas es el segundo paso en una estrategia de protección y su finalidad es
la de detectar el malware que intenta acceder al sistema.
Contenido
Análisis de elementos en tiempo real
Análisis de elementos bajo demanda
Análisis de correo electrónico bajo demanda y durante la recepción

El analizador en tiempo real examina los archivos del equipo a medida que se obtiene acceso
a ellos a fin de proporcionar una detección continua y en tiempo real de las amenazas. Las
funciones Protección de acceso y Protección contra desbordamientos de búfer también utilizan
el analizador en tiempo real para detectar infracciones de acceso y desbordamientos de búfer
respectivamente.
Contenido
Análisis en tiempo real y su funcionamiento
Comparación de análisis: escribir en disco frente a leer en el disco
Comparación de análisis: analizar todos los archivos frente a analizar tipos de archivos
predeterminados y adicionales
Análisis de secuencias de comandos y su funcionamiento
Determinación del número de directivas de análisis
Funcionamiento de Artemis
Configuración de la configuración general y de proceso
Análisis en tiempo real y su funcionamiento

El analizador en tiempo real se conecta al sistema en los niveles inferiores (Archivo-Controlador
de filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por
primera vez. El analizador en tiempo real actúa como parte del sistema (Servicio del sistema)
y envía notificaciones a través de la interfaz cuando se producen detecciones.
Cuando se produce un intento de abrir, cerrar o cambiar el nombre de un archivo, el analizador
intercepta la operación y lleva a cabo las siguientes acciones.
1 El analizador determina si el archivo debe analizarse según estos criterios:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha guardado en caché.

• El archivo no se ha excluido.
• El archivo no se ha analizado previamente.
2 Si cumple los criterios de análisis, el archivo se analiza comparando su información con las
firmas de malware conocido que se encuentran en ese momento en los archivos DAT.
• Si el archivo está limpio, el resultado se guarda en caché y se garantizan las operaciones
de lectura, escritura o cambio de nombre.
• Si el archivo contiene una amenaza, se deniega la operación y se lleva a cabo la acción
configurada. Por ejemplo:
• Los archivos DAT cargados actualmente determinan si es necesario limpiar el archivo.
• Si el analizador se ha configurado para ello, los resultados se anotan en el registro
de actividades.
• Si el analizador se ha configurado para ello, aparece la alerta Mensajes del análisis
en tiempo real con el nombre del archivo y la acción llevada a cabo.
3 Si el archivo no cumple los requisitos de análisis, no se analiza. Se guarda en caché y se

garantiza la operación.
NOTA: La caché de archivos de análisis se renueva y se vuelven a analizar todos los archivos
siempre que, por ejemplo, se modifique la configuración del análisis en tiempo real, se
agregue un archivo EXTRA.DAT o cuando la caché esté llena.
Comparación de análisis: escribir en disco frente a leer en el

disco
El analizador en tiempo real funciona de manera distinta dependiendo de si el usuario escribe
o lee en el disco.
Cuando se escriben archivos en el disco, el analizador en tiempo real analiza estos elementos:
• Archivos entrantes que se escriben en la unidad de disco duro local.
• Archivos que se están creando en la unidad de disco duro local o en una unidad de red
asignada (incluye archivos nuevos, modificados o que están siendo copiados o trasladados
de una unidad a otra).
NOTA: Para poder analizar unidades de red asignadas, debe activar la opción En unidades
de red. Consulte Activación de unidades de red.
Únicamente el cliente donde está instalado VirusScan Enterprise puede obtener acceso a
estos análisis. No detecta el acceso a la unidad de red asignada por otros sistemas.
Cuando se leen archivos del disco, el analizador en tiempo real analiza estos elementos:
• Archivos salientes que se leen desde la unidad de disco duro local o desde unidades de red
asignadas.
NOTA: Para poder analizar unidades de red asignadas, seleccione la opción En unidades
de red (descrita en los puntos anteriores) para incluir archivos de red remotos.
• Cualquier archivo que intente ejecutar un proceso en la unidad de disco duro local.
• Cualquier archivo abierto en el disco duro local.
• Cualquier archivo que se cambie de nombre en el disco duro local, si las propiedades del
archivo cambian.

Comparación de análisis: analizar todos los archivos frente a

analizar tipos de archivos predeterminados y adicionales
El analizador en tiempo real trata los archivos de manera distinta dependiendo de si está
configurado para analizar todos los archivos o tipos de archivo predeterminados además de
tipos de archivo adicionales.
Al analizar Todos los archivos, el analizador examina todos los tipos de archivo en busca de
posibles amenazas.
Al analizar Tipos de archivos predeterminados y adicionales, el analizador examina una
lista específica de archivos, basándose en los tipos de archivo seleccionados.
• Tipos de archivos predeterminados: el analizador en tiempo real examina únicamente
el tipo de archivo especificado en busca de amenazas que ataquen a ese tipo de archivo.
• Tipos de archivos adicionales: el analizador en tiempo real examina los archivos con la
misma extensión en busca de posibles amenazas.
• Tipos de archivos especificados: el analizador en tiempo real examina la lista de
extensiones de archivo definida por el usuario en busca de posibles amenazas.
Análisis de secuencias de comandos y su funcionamiento

El analizador de secuencias de comandos funciona como un componente de proxy del
componente real de Windows Scripting Host. Intercepta secuencias de comandos y, a
continuación, las analiza antes de ejecutarlas.
Por ejemplo, el analizador de secuencias de comandos confirma:
• Si la secuencia de comandos está limpia, se pasa al componente Scripting Host real.
• Si la secuencia de comandos contiene una posible amenaza, no se ejecuta.
Los procesos y los sitios Web de confianza que utilicen secuencias de comandos se pueden
excluir de la inspección.
NOTA: En sistemas Windows Server 2008, las exclusiones de URL de Script Scan no funcionan
con Windows Internet Explorer a menos que haga clic en la casilla de verificación Enable
third-party browser extensions (Activar extensiones de navegador de terceros) para activar
la opción y reiniciar Windows Server 2008. Si desea obtener más detalles, consulte
https://kc.mcafee.com/corporate/index?page=content&id=KB69526.
Funcionamiento de Artemis
La función Artemis utiliza heurística para buscar archivos sospechosos. Proporciona las
detecciones en tiempo real más actualizadas para determinado malware a los clientes que usan
productos antivirus McAfee basados en Windows.
Artemis no ofrece protección contra todos los tipos de malware; únicamente para muestras
sospechosas. La ventaja de la protección contra amenazas específicas es nuestra capacidad de
proteger a los usuarios con la seguridad de McAfee prácticamente al mismo tiempo que McAfee
Labs determina que una muestra es malintencionada.
Si lo desea, puede configurar los niveles de sensibilidad definidos por el administrador que
Artemis utiliza para buscar programas y DLL sospechosos que se ejecutan en sistemas cliente
protegidos por VirusScan Enterprise. Cuando Artemis detecta un programa sospechoso, envía

una solicitud de DNS que contiene una huella digital del archivo sospechoso a un servidor de
base de datos central alojado por McAfee Labs.
NOTA: En esta versión, la función Artemis está activada de forma predeterminada y con el
nivel de sensibilidad establecido en muy bajo.
Determinación del número de directivas de análisis

Siga este proceso para determinar si necesita configurar más de una directiva de análisis en
tiempo real.
Configuración de la configuración general y de proceso

Las directivas generales y de proceso del analizador en tiempo real se configuran de forma
independiente.
• Configuración general: incluye opciones que se aplican a todos los procesos.

• Configuración de proceso: le permite configurar una directiva de análisis para todos los
procesos o distintas directivas para los procesos que defina como predeterminados, de bajo
y de alto riesgo.
Configuración general
La configuración general se aplica al análisis de todos los procesos e incluye parámetros como,
por ejemplo, tiempo máximo de análisis, análisis de secuencias de comandos, bloqueo de
amenazas no deseadas desde un equipo remoto, envío de mensajes cuando se detecten
amenazas e informe de detecciones.
Establezca la configuración general en tiempo real mediante una de las siguientes consolas de

Utilice esta consola de interfaz de usuario para establecer la configuración general que se
aplicará al análisis de todos los procesos.
Tarea
directiva.
4 En la página Directivas generales en tiempo real, haga clic en la ficha General para
configurar la directiva general que se aplicará a todos los análisis en tiempo real. Por
ejemplo, qué elementos se deben analizar en tiempo real y cuándo, el tiempo máximo de
análisis y si se deben analizar las cookies.
Siempre que el análisis en tiempo real esté activado, se podrá configurar el análisis de
todos los procesos que se estén ejecutando en el sistema. De este modo se mejora la
seguridad del sistema, aunque es posible que afecte al rendimiento del tiempo de arranque.

Para configurar la función de análisis de procesos activados, vaya al grupo de análisis y

haga clic en Procesos activados para analizar todos los procesos que se encuentren
ejecutándose en ese momento en el sistema. Para ello, el análisis en tiempo real debe
estar activado.
NOTA: La activación de esta función puede afectar al tiempo que tarda el sistema en
arrancar.
5 En la ficha ScriptScan, active ScriptScan y configure los procesos o URL que desee excluir
del análisis.
6 En la ficha Bloqueo, configure el bloqueo de conexiones desde equipos remotos que
escriben archivos con amenazas potenciales o programas no deseados.
NOTA: De forma predeterminada, cuando un sistema remoto escribe malware en un sistema
que dispone de VirusScan Enterprise, VirusScan Enterprise bloquea la conexión a ese
sistema remoto.
También puede configurar un mensaje para que se envíe al sistema que ha escrito el
malware.
NOTA: Para poder enviar este mensaje se requiere el servicio Windows Messenger.
7 En la ficha Mensajes, configure mensajes de notificación que se enviarán a los usuarios

locales cuando se produzca una detección. Especifique también qué medidas puede tomar
el usuario contra la amenaza.
8 En la ficha Informes, active los archivos de registro de actividades de análisis. Defina el
tamaño y el formato de esos archivos, dónde se deben almacenar y cualquier otra
información de análisis adicional que contribuya a diagnosticar la amenaza.

Tarea
directivas.


estar activado.
arrancar.
5 En la ficha ScriptScan, active ScriptScan y configure los procesos o URL que desee excluir
del análisis.
sistema remoto.
malware.

Tarea
1 En la lista Tarea, haga clic con el botón secundario en Analizador en tiempo real y, a

estar activado.
arrancar.
3 En la ficha ScriptScan, active ScriptScan y configure todas las secuencias de comandos

que desee excluir del análisis.
sistema remoto.
malware.

Configuración de procesos
Los procesos de análisis en tiempo real se configuran en función del riesgo que asigna a cada
proceso. Puede configurar una directiva de análisis predeterminada para todos los procesos o
configurar diferentes directivas en función del riesgo asignado a cada proceso. Los parámetros
incluyen la asignación de riesgos a los procesos, la definición de los elementos que se van a
analizar, el análisis de Artemis, el análisis de archivos comprimidos, la toma de acciones en
cuanto a detecciones y el análisis de programas potencialmente no deseados.
Establezca la configuración de procesos en tiempo real mediante una de las siguientes consolas
de interfaz de usuario.

Configure las Directivas de procesos predeterminados en tiempo real con esta consola de interfaz
de usuario.

Tarea
directiva.
4 En la ficha Procesos, haga clic en Configurar diferentes directivas de análisis para
los procesos de alto riesgo, de bajo riesgo y predeterminados para mostrar los
procesos predeterminados en tiempo real, los procesos de bajo riesgo en tiempo real o los
procesos de alto riesgo en tiempo real.
5 En la página Directivas de procesos predeterminados en tiempo real, Directivas de procesos
de bajo riesgo en tiempo real o Directivas de procesos de alto riesgo en tiempo real,
configure las opciones de cada ficha. Consulte Opciones de la ficha Configuración de
procesos.

Configure las Directivas de procesos predeterminados en tiempo real con esta consola de interfaz
de usuario.
Tarea
directivas.


procesos.
Configure las Propiedades del análisis en tiempo real con esta consola de interfaz de usuario.
Tarea
2 En el panel izquierdo, haga clic en Todos los procesos.
procesos.
Opciones de la ficha Configuración de procesos

En la tabla siguiente se describen las opciones de la ficha del analizador en tiempo real.
Ficha Definiciones
Procesos • Procesos predeterminados en tiempo real: elija si desea configurar una

directiva de análisis para todos los procesos o distintas directivas para los procesos
predeterminados de bajo y de alto riesgo.
NOTA: Si elige configurar una directiva de análisis, esta política se aplicará a todos
los procesos. Si elige configurar directivas de análisis diferentes para las directivas
de bajo riesgo y alto riesgo, esta política se aplicará únicamente a los procesos
que no se hubieran definido como de bajo riesgo o de alto riesgo.
• Procesos de bajo riesgo en tiempo real: especifique los procesos que ha

definido como de bajo riesgo.

Ficha Definiciones
• Procesos de alto riesgo en tiempo real: especifique los procesos que ha
definido como de alto riesgo.
NOTA: Se debe seleccionar la opción Configurar diferentes directivas de análisis
para los procesos de alto riesgo, de bajo riesgo y predeterminados en la ficha
Procesos predeterminados en tiempo real antes de configurar directivas
individuales para procesos de bajo y alto riesgo.
Elementos de análisis • Configure si se analizan los archivos de las unidades de lectura, de escritura o de
red y si se abren para realizar copias de seguridad.
ATENCIÓN: Si no se activa Al escribir en disco y Cuando se lee del disco, el
sistema quedará desprotegido ante los diversos ataques de malware.
• Configure qué archivos y tipos de archivos se van a analizar.

ATENCIÓN: Si no se activa Todos los archivos, el sistema quedará desprotegido
ante los diversos ataques de malware.
• Analice posibles amenazas que parecen programas no deseados, troyanos y virus

de macro.
• Analice dentro de los archivos y descodifique archivos MIME codificados.
• Active el análisis en tiempo real para programas no deseados.
Exclusiones Configure qué discos, archivos y carpetas se van a excluir del análisis.
Acciones Para las detecciones de amenazas:

• Acción principal que debe llevarse a cabo cuando se detecta una amenaza.
• Acción secundaria que debe llevarse a cabo en la detección de una amenaza si
la primera fracasa.
Para las detecciones de programas no deseados:
• Acción principal que debe llevarse a cabo cuando se detecta un programa no
deseado.
• Acción secundaria que debe llevarse a cabo en la detección de un programa no
deseado si la primera fracasa.
Activación en unidades de red

Para poder analizar unidades de red asignadas, debe activar la opción En unidades de red.
Configure el análisis en tiempo real de unidades de red desde las Directivas de procesos
predeterminados en tiempo real. Utilice para ello una de las siguientes consolas de interfaz de
usuario.

Active las unidades de red desde las Directivas de procesos predeterminados en tiempo real.
Utilice para ello esta consola de interfaz de usuario.
Tarea


directiva.
4 En la página Directivas de procesos predeterminados en tiempo real, haga clic en
la ficha Elementos de análisis y En unidades de red junto a Analizar archivos.
5 Haga clic en Guardar.

Active las unidades de red con esta consola de interfaz de usuario.
Tarea
directivas.
4 En la página Directivas de procesos predeterminados en tiempo real, haga clic en
la ficha Elementos de análisis y En unidades de red junto a Analizar archivos.

Active las unidades de red con esta consola de interfaz de usuario.
Tarea
continuación, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades del
analizador en tiempo real.
2 Haga clic en la ficha Elementos de análisis y en En unidades de red junto a Analizar
archivos.

El analizador bajo demanda examina todas las partes del equipo en busca de amenazas
potenciales, a las horas más convenientes o a intervalos periódicos. Utilice los análisis bajo
demanda para complementar la protección continuada que ofrece el analizador en tiempo real
o para planificar análisis periódicos cuando no interfieran con el trabajo.
Contenido
Análisis bajo demanda y su funcionamiento
Métodos de análisis bajo demanda y su definición
Funcionamiento del análisis de almacenamiento remoto
Funcionamiento del aplazamiento de análisis
Funcionamiento de la utilización del sistema
Configuración de tareas de análisis bajo demanda
Configuración de caché global para sistemas
Análisis bajo demanda y su funcionamiento

El analizador bajo demanda explora en el sistema los archivos, las carpetas, la memoria, el
registro y otros elementos en busca de malware que pueda haber infectado el sistema. Usted
decide cuándo y cómo se realizan los análisis bajo demanda. Puede analizar el sistema
manualmente, a una hora programada o, por ejemplo, cuando el sistema arranca.
Cuando se produce un intento de abrir, cerrar o cambiar el nombre de un archivo, el analizador
intercepta la operación y lleva a cabo las siguientes acciones.
1 El analizador determina si el archivo, la carpeta o el disco deben analizarse según estos
criterios:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha guardado en caché.
• El archivo no se ha excluido.

• El archivo no se ha analizado previamente.

NOTA: Si se ha configurado Artemis, el analizador bajo demanda utiliza heurística para
buscar los archivos sospechosos. Si desea obtener más detalles, consulte Funcionamiento
de Artemis.
2 Si cumple los criterios de análisis, el archivo (o la carpeta o el disco) se analiza comparando

su información con las firmas de virus conocidos que están cargados en los archivos DAT.
• Si está limpio, el resultado se almacena en la caché y se comprueba el siguiente
elemento.
• Si contiene una amenaza, se inicia la acción que se haya configurado. Por ejemplo:
• Los archivos DAT cargados actualmente determinan si es necesario limpiar el archivo.
• Si el analizador se ha configurado para ello, los resultados se anotan en el registro
de actividades.
• El diálogo Progreso de análisis bajo demanda describe la memoria, el archivo,
la carpeta o el nombre del disco y la acción llevada a cabo.
3 La memoria, el archivo, la carpeta o el disco no se analizan si no cumplen con los requisitos

de análisis. En ese caso, el analizador continúa hasta que acabe de analizar todos los datos.
Métodos de análisis bajo demanda y su definición

El analizador bajo demanda utiliza análisis de proceso en memoria, así como análisis incremental
o reanudable.
Análisis de procesos en memoria

Este método examina todos los procesos activos antes de ejecutar la tarea de análisis bajo
demanda. Se destaca un proceso potencialmente no deseado detectado y el proceso se detiene.
Esto significa que sólo hace falta pasar una vez el analizador bajo demanda para quitar todos
los casos de un programa potencialmente no deseado.
Análisis incremental o reanudable

Este método permite limitar cuándo se produce el análisis bajo demanda y analiza todo el
sistema en varias sesiones. El análisis incremental se puede configurar agregando un límite de
tiempo al análisis programado. El análisis se detiene cuando se alcanza el límite de tiempo. La
próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de la estructura del
archivo y carpeta en que se detuvo el análisis previo.
Funcionamiento del análisis de almacenamiento remoto

El almacenamiento remoto de datos es jerárquico, con dos niveles definidos.
Los dos niveles de almacenamiento son:
• Nivel superior, almacenamiento local: incluye los volúmenes de disco NTFS del equipo
en el que se ejecuta Almacenamiento remoto en Windows 2000 Server.
• Nivel inferior, almacenamiento remoto: está situado en la biblioteca de cinta robótica
o en una unidad de cinta independiente conectada al equipo servidor.
El almacenamiento remoto copia automáticamente los archivos correspondientes de los
volúmenes locales a una biblioteca en cinta y, a continuación, supervisa el espacio disponible
en los volúmenes locales. Los datos de los archivos se guardan en la caché local, de forma que

se puede acceder a ellos rápidamente, si es necesario. Siempre que sea necesario, el

almacenamiento remoto cambia los datos desde el almacenamiento remoto al almacenamiento
local. Cuando necesite tener acceso a un archivo en un volumen gestionado por almacenamiento
remoto, abra el archivo como de costumbre. Si los datos para el archivo no están en caché en
el volumen local, el almacenamiento remoto recupera los datos desde una biblioteca en cinta.
Funcionamiento del aplazamiento de análisis

Para mejorar el rendimiento, puede aplazar tareas de análisis bajo demanda cuando haya poca
batería o durante presentaciones que ocupen toda la pantalla. También puede permitir a los
usuarios que aplacen los análisis programados en incrementos de una hora. Los incrementos
pueden ser de una hora o 24 horas. Asimismo, es posible aplazar el análisis bajo demanda para
siempre.
El aplazamiento de cada usuario puede durar una hora. Por ejemplo, si la opción Aplazar como
máximo está ajustada a 2, el usuario puede aplazar la tarea de análisis dos veces o dos horas.
Cuando se supera el número de horas máximo especificado, el análisis continúa. Si el
administrador permite aplazamientos ilimitados ajustando la opción a cero, el usuario puede
seguir aplazando el análisis para siempre.
Funcionamiento de la utilización del sistema

El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de
análisis y la prioridad de los subprocesos. Esto permite al sistema operativo establecer la cantidad
de tiempo de CPU que el analizador bajo demanda recibe en todo el proceso de análisis. La
configuración de utilización del sistema en las Propiedades del análisis bajo demanda se asigna
al control de Windows Set Priority.
Si el valor para la utilización del sistema se establece en bajo, se mejora el rendimiento del
resto de aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas en los que
el usuario final está trabajando. Sin embargo, si se establece el valor de utilización del sistema
en normal, el análisis se completa más rápidamente. La configuración normal es útil en sistemas
que tienen grandes volúmenes y poca actividad por parte del usuario final.
La tabla siguiente muestra la configuración de procesos predeterminada de VirusScan Enterprise
y ePolicy Orchestrator.
Configuración de procesos de VirusScan Enterprise Configuración de Windows Set Priority
Bajo Bajo
Por debajo de lo normal: el predeterminado en ePolicy Por debajo de lo normal

Orchestrator
Normal: el predeterminado en VirusScan Enterprise 8.8 Normal

La configuración de tareas bajo demanda depende de la consola de interfaz de usuario que se
utilice. Estas tareas describen ese proceso en cada consola de interfaz de usuario.
Tareas


Configure las tareas de análisis bajo demanda con esta consola de interfaz de usuario.
Tarea
1 Haga clic en Menú | Sistemas | Árbol de sistemas y seleccione Tarea cliente.
2 En la página Tarea cliente que aparece:
• Para editar una tarea de análisis bajo demanda existente, haga clic en Editar
configuración en la columna Acciones de la tarea para abrir la página de descripción.
• Para crear una tarea bajo demanda nueva, haga clic en Acciones | Nueva tarea para
abrir la página de descripción.
3 En la página Descripciones:
• Si va a editar una tarea de análisis bajo demanda ya existente, compruebe las
descripciones y haga clic en Siguiente.
• Si va a crear una tarea de análisis bajo demanda nueva, configure las siguientes opciones
y haga clic en Siguiente:
• Nombre y Notas.
• Tipo seleccionando en la lista Análisis bajo demanda (VirusScan Enterprise
8.8).
• Etiquetas que determinan qué equipos reciben la tarea de análisis bajo demanda.
4 En la página de configuración del Generador de tareas cliente que aparece, configure cada
una de las etiquetas. Si desea obtener más detalles, consulte Configuración de tareas de
análisis bajo demanda.

Tarea
1 Haga clic en Sistemas | Árbol de sistemas | Tarea cliente.
2 En la página Tarea cliente que aparece:
• Para editar una tarea de análisis bajo demanda existente, haga clic en Editar en la
columna Acciones de la tarea para que se abra la página de descripción.
• Para crear una tarea de análisis bajo demanda nueva, haga clic en Acciones | Nueva
tarea para abrir la página de descripción.
3 Realice una de las siguientes acciones:
• Si va a editar una tarea de análisis bajo demanda ya existente, compruebe las
descripciones y haga clic en Siguiente.

• Si va a crear una tarea de análisis bajo demanda nueva, configure las siguientes opciones
y haga clic en Siguiente:
• Nombre y Notas.
• Tipo seleccionando en la lista Análisis bajo demanda (VirusScan Enterprise
8.8).
• Etiquetas que determinan qué equipos reciben la tarea de análisis bajo demanda.
4 En la página de configuración del Generador de tareas cliente que aparece, configure cada
una de las etiquetas. Si desea obtener más detalles, consulte Configuración de tareas de
análisis bajo demanda.
Tarea
1 Abra la página Propiedades del análisis bajo demanda para una tarea nueva o una ya
existente:
• Seleccione y haga clic con el botón secundario en la tarea de análisis bajo demanda y
seleccione Propiedades.
• Cree una tarea nueva, seleccione Tarea | Nueva tarea de análisis bajo demanda,
haga clic con el botón secundario en la tarea nueva y seleccione Propiedades.
2 Configure todas las fichas del cuadro de diálogo Propiedades del análisis bajo demanda.
Si desea obtener más detalles, consulte la sección Configuración de tareas de análisis bajo
demanda.

VirusScan Enterprise incluye una tarea predeterminada de análisis bajo demanda. Puede utilizar
esta tarea predeterminada y crear nuevas tareas.
Configure las opciones de cada ficha. Para obtener la descripción de cada opción, haga clic en
? o Ayuda en cada ficha.
Definiciones de fichas
Ficha Definiciones
Ubicaciones de análisis • Especifique qué ubicaciones y elementos se van a analizar.

• Incluya procesos en ejecución.
• Incluya subcarpetas al analizar.
• Incluya sectores de arranque al analizar.
• Incluya claves y valores del Registro al analizar.
• Incluya archivos de cookies al analizar.
ATENCIÓN: Si Memoria para rootkits y Procesos en ejecución no se analizan
correctamente, el sistema queda desprotegido ante los numerosos ataques de malware.
NOTA: Cuando aparece el diálogo Progreso del análisis bajo demanda, las
ubicaciones a analizar aparecen en forma de cadena separadas por comas y seguida

Ficha Definiciones
de Analizando. En cuanto los procesos de análisis se completan, son eliminadas de la
cadena.
Elementos de análisis • Configure qué archivos y tipos de archivos se van a analizar.

• Active el análisis bajo demanda para programas no deseados.
• Analice dentro de los archivos y descodifique archivos MIME codificados.
• Analice archivos migrados al almacenamiento.
• Analice posibles amenazas que parecen programas no deseados, troyanos y virus
de macro.
Exclusiones Configure qué discos, archivos y carpetas no van a incluirse en el análisis por Nombre,
Ubicación, Tipo de archivo o Antigüedad del archivo.
Rendimiento • Configure cuándo aplazar los análisis y durante cuánto tiempo.

• Especifique el porcentaje de utilización del sistema.
• Configure el nivel de sensibilidad de Artemis.

• Acción secundaria que debe llevarse a cabo en la detección de una amenaza si la
primera fracasa.
deseado.
• Acción secundaria que debe llevarse a cabo en la detección de un programa no
deseado si la primera fracasa.
Para acciones permitidas en el cuadro de diálogo de consulta, seleccione la acción.
Informes • Active el registro de actividades.

• Especifique el nombre y la ubicación del archivo de registro.
• Especifique el límite de tamaño del archivo de registro.
• Seleccione el formato del archivo de registro.
• Especifique qué debe registrarse además de la actividad de análisis.
• Especifique qué elementos se registran además de la actividad de análisis:
• Active la configuración de sesiones
• Active el resumen de sesiones
• Active los errores de análisis de archivos cifrados
• Active las alertas al detectar cookies.
Tarea Especificar dónde se ejecuta el análisis bajo demanda.

NOTA: Esta ficha se encuentra disponible únicamente a través de ePolicy Orchestrator.
Configuración de caché global para sistemas

La caché de análisis de VirusScan Enterprise guarda una lista de los archivos analizados que
están limpios. El rendimiento del sistema se puede mejorar si durante el reinicio del sistema
guarda esta información referente a la caché de análisis de archivos limpios. Esto permite que
el analizador bajo demanda use esta información para reducir los análisis duplicados.
Utilice las siguientes consolas de interfaz de usuario para configurar las funciones de caché de
análisis mediante las Directivas de opciones generales y la ficha Configuración de análisis global.

Tareas

Configure la función de caché de análisis desde las Directivas de opciones generales. Utilice
para ello esta consola de interfaz de usuario.
Tarea
directivas.
4 En Directivas de opciones generales, haga clic en la ficha Configuración de análisis
global para configurar las opciones de caché de análisis de VirusScan Enterprise.
5 Configure las siguientes opciones globales para la caché de análisis:
• Haga clic en Activar almacenamiento de datos de análisis al reiniciar: esto le
permite guardar los resultados del análisis cuando el sistema se esté reiniciando.
• Haga clic en Permitir que los análisis bajo demanda utilicen la caché de análisis:
esto permite que el analizador bajo demanda utilice los resultados de análisis para así
evitar análisis duplicados.

Configure la función de caché de análisis desde las Directivas de opciones generales. Utilice
para ello esta consola de interfaz de usuario.
Tarea


directivas.
4 En Directivas de opciones generales, haga clic en la ficha Configuración de análisis
global para configurar las opciones de caché de análisis de VirusScan Enterprise.
Configure la función de caché de análisis con esta consola de interfaz de usuario.
Tarea
1 Haga clic en Herramientas | Opciones generales y en la ficha Configuración de
análisis global para mostrar el cuadro de diálogo Configuración de análisis global.

Análisis de correo electrónico bajo demanda y

durante la recepción
El analizador de correo electrónico examina automáticamente los mensajes y adjuntos de correo
electrónico.
El correo electrónico se analiza mediante:
• Microsoft Outlook: el correo electrónico se puede analizar durante la recepción o se pueden
ejecutar análisis de correo electrónico bajo demanda directamente desde Microsoft Outlook.
NOTA: Si configura las funciones Heurística y Artemis, el analizador de correo electrónico
durante la recepción o bajo demanda utilizará heurística para buscar archivos sospechosos.
Si desea obtener más información, consulte Funcionamiento de Artemis.
• Lotus Notes: le permite configurar:

• Si el correo electrónico se analiza cuando se accede a él.
• Si el correo electrónico se analiza bajo demanda desde Lotus Notes al ser invocado.
• Qué bases de datos de Notes se excluirán.
Configure las Directivas del análisis del correo electrónico durante la recepción mediante las
siguientes consolas de interfaz de usuario.
Tareas
Definiciones de la ficha de directivas de análisis de correo electrónico durante la recepción

Configure las Directivas del análisis del correo electrónico durante la recepción mediante esta
consola de interfaz de usuario.
Tarea
directiva.

4 Configure las opciones de cada una de las fichas de la página de configuración de las
Directivas del analizador de correo electrónico durante la recepción. Consulte Definiciones
de la ficha de directivas de análisis de correo electrónico durante la recepción.

Tarea
directivas.
4 Configure las opciones de cada una de las fichas de la página de configuración de las
Directivas del analizador de correo electrónico durante la recepción. Consulte Definiciones
de la ficha de directivas de análisis de correo electrónico durante la recepción.
Tarea

1 En la lista Tarea, haga clic con el botón secundario en Propiedades del análisis de
correo electrónico durante la recepción y, a continuación, haga clic en Propiedades
para abrir el cuadro de diálogo.
2 Configure las opciones de cada una de las fichas del cuadro de diálogo Propiedades del
análisis de correo electrónico durante la recepción. Consulte Definiciones de la ficha de
directivas de análisis de correo electrónico durante la recepción.
Definiciones de la ficha de directivas de análisis de correo

electrónico durante la recepción
Ficha Definiciones
Elementos de análisis • Especifique qué mensajes y adjuntos deben analizarse.

• Analice mediante heurística en busca de posibles amenazas de malware, virus de
macro desconocidos y busque adjuntos con múltiples extensiones.
• Analice archivos comprimidos dentro de los archivos y descodifique archivos MIME
codificados.
• Active el analizador de correo electrónico para que analice programas no deseados.
• Analice el cuerpo de los mensajes de correo electrónico.
• Configure el nivel de sensibilidad de Artemis.
NOTA: Esta opción sólo está disponible para Análisis de correo electrónico
durante la recepción.

• Acción secundaria que debe llevarse a cabo si la primera fracasa.
deseado.
• Acción secundaria que debe llevarse a cabo si la primera fracasa.
Para acciones permitidas en el cuadro de diálogo de consulta, seleccione la acción.
Alertas • Notifique a otro usuario cuando se detecta un mensaje de correo electrónico

amenazado.
• Especifique el mensaje que se mostrará al usuario cuando deba ejecutar una acción.
Informes • Active el registro de actividades.

• Especifique el nombre y la ubicación del archivo de registro.
• Especifique el límite de tamaño del archivo de registro.
• Seleccione el formato del archivo de registro.
• Especifique qué debe registrarse además de la actividad de análisis.
Configuración de Notes NOTA: Esta ficha sólo está disponible para Análisis de correo electrónico durante
Scanner la recepción.
Configure las opciones específicas de Lotus Notes.
• Analice todas las bases de datos del servidor.
• Analice los buzones de correo del servidor que se encuentran en la carpeta raíz de
correo indicada.
• Aplicaciones de Notes que deben ignorarse.

Parte III — Respuesta: gestión de amenazas
Responder a las amenazas es el tercer paso en una estrategia de protección y su objetivo es
detectar y limpiar el malware que intenta acceder al sistema.
Contenido
Detecciones y respuestas
Configuración de alertas y notificaciones
Acceso a consultas y paneles
Configuración de archivos DAT de emergencia
Cuando se produce y se detecta una amenaza, la reacción ante dicha amenaza viene determinada
por cómo se ha configurado VirusScan Enterprise para responder a esa amenaza y por la función
que la detecta. Entender estas diferencias ayuda a desarrollar e implementar una estrategia
efectiva.
Contenido
Qué sucede cuando se produce una detección
Infracciones de puntos de acceso del sistema
Detecciones de desbordamiento del búfer
Detecciones de programas no deseados
Detecciones de análisis en tiempo real
Detecciones de análisis bajo demanda
Detecciones de análisis de correo electrónico
Elementos en cuarentena
Qué sucede cuando se produce una detección

La reacción ante una detección depende de cómo se haya configurado VirusScan Enterprise.
Si VirusScan Enterprise está configurado para limpiar automáticamente (la opción predeterminada
sugerida), la acción resultante dependerá de la instrucción de limpieza incluida en el archivo
DAT. Por ejemplo, si el analizador no puede limpiar un archivo o si el archivo se ha dañado
después de la reparación, el analizador podría eliminarlo o llevar a cabo una acción secundaria
dependiendo de cómo se definió en el archivo DAT.
Cuando el analizador deniega el acceso a archivos con amenazas potenciales, también agrega
al nombre del archivo una extensión .mcm cuando se guarda.

Infracciones de puntos de acceso del sistema

Cuando se infringe un punto de acceso de sistema, la acción que se emprende depende de
cómo se haya configurado la regla.
Si la regla está configurada con:
• Informar: la información se registra en el archivo de registro.
• Bloquear: el acceso se deniega.
Revise el archivo de registro para determinar qué puntos de acceso del sistema se han vulnerado
y qué reglas han detectado las infracciones. A continuación, configure las reglas de protección
de acceso para que los usuarios puedan tener acceso a elementos legítimos y no a los elementos
protegidos.
Utilice estos escenarios para decidir qué medidas tomar como respuesta.
Tipo de detección Escenarios
Procesos no deseados • Si la regla ha informado de la infracción en el archivo de registro pero no la ha

bloqueado, seleccione la opción Bloquear para la regla.
• Si la regla ha bloqueado la infracción pero no ha informado de ella en el archivo de
registro, seleccione la opción Informar para la regla.
• Si la regla ha bloqueado la infracción y ha informado de ella en el archivo de registro,
no es necesario adoptar ninguna medida.
• Si descubre un proceso no deseado que no se detectó, puede editar la regla para
que lo incluya como bloqueado.
Procesos legítimos • Si la regla ha informado de la infracción en el archivo de registro pero no la ha

bloqueado, desactive la opción Informar para la regla.
• Si la regla ha bloqueado la infracción y ha informado de ella en el archivo de registro,
edite la regla para que excluya al proceso legítimo de ser bloqueado.
Detecciones de desbordamiento del búfer

Cuando se produce una detección de desbordamiento del búfer, el analizador bloquea la
detección y se registra un mensaje en el cuadro de diálogo Mensajes de análisis en tiempo
real. Puede ver el cuadro de diálogo y, a continuación, decidir si desea emprender acciones
adicionales.
Las acciones que puede realizar incluyen:
• Eliminar el mensaje: seleccione el elemento de la lista y, a continuación, haga clic en
Eliminar.
• Crear una exclusión: si el proceso detectado se utiliza legítimamente o es un falso positivo,
cree una exclusión con la información que figura en el cuadro de diálogo Mensajes de
análisis en tiempo real. Revise la información de la columna Nombre para determinar
el nombre del proceso dueño de la memoria de escritura que hace la llamada. Utilice el
nombre del proceso para crear una exclusión.
• Enviar una muestra a McAfee Labs para su análisis: si el analizador detecta algo que
cree que no debería detectar, o si no detecta algo que cree que debería detectar, puede
enviar una muestra a McAfee Labs.

Detecciones de programas no deseados

Los analizadores en tiempo real, bajo demanda y de correo electrónico detectan programas no
deseados según la Directiva de programas no deseados que haya configurado. Cuando se
produce una detección, el analizador que detectó el programa potencialmente no deseado aplica
la acción configurada en la ficha Acciones para este analizador.
Revise la información del archivo de registro y, a continuación, decida si se debe llevar a cabo
alguna de estas acciones adicionales:
• Perfeccionar los elementos de análisis: esto hace que los análisis sean más eficaces.
• Excluir de la detección: si se detecta un programa legítimo, puede configurarlo como una
exclusión.
• Agregar a la lista de detecciones definida por el usuario: si no se detecta un programa
no deseado, puede agregarlo a la lista de detecciones definida por el usuario.
Detecciones de análisis en tiempo real

Cuando el analizador en tiempo real detecta malware, realiza una acción en función de lo que
se haya configurado en las Propiedades del análisis en tiempo real de la ficha Acciones. Además,
se registra un mensaje en el cuadro de diálogo Mensajes de análisis en tiempo real.
Revise la información del registro de actividades y del cuadro de diálogo Mensajes del análisis
en tiempo real para decidir si va a emprender alguna de estas acciones adicionales.
• Perfeccionar los elementos de análisis: para que el análisis sea más eficiente, excluya
archivos legítimos que VirusScan Enterprise pudiera considerar como amenazas y elimine
amenazas conocidas que pueden estar en cuarentena.
• Hacer clic con el botón secundario en un elemento del cuadro de diálogo Mensajes
del análisis en tiempo real para realizar estas acciones:
• Limpiar archivo: se intenta limpiar el archivo al que hace referencia el mensaje
seleccionado.
• Eliminar archivo: se elimina el archivo al que hace referencia el mensaje seleccionado.
El nombre de archivo se incluye en el archivo de registro para poder restaurarlo desde
el Quarantine Manager.
• Seleccionar todo (ctrl+a): selecciona todos los mensajes de la lista.
• Eliminar mensaje de la lista (ctrl+d): elimina el mensaje seleccionado de la lista.
Los mensajes eliminados de la lista siguen visibles en el archivo de registro.
• Eliminar todos los mensajes: elimina todos los mensajes de la lista. Los mensajes
eliminados de la lista siguen visibles en el archivo de registro.
• Abrir el archivo de registro del análisis en tiempo real: abre el archivo de registro
de actividades del analizador en tiempo real. Esta opción sólo está disponible en el menú
Archivo.
• Abrir el archivo de registro de protección de acceso: abre el archivo de registro
de actividades de protección de acceso. Esta opción sólo está disponible en el menú
Archivo.
• Si una acción no está disponible para el mensaje actual, el icono, el botón y las opciones
de menú correspondientes están desactivados. Por ejemplo, Limpiar no está disponible

si el archivo ya se ha eliminado y Eliminar no está disponible si el administrador ha

suprimido la acción.
• Limpiar archivo: un archivo no puede limpiarse si el archivo DAT no tiene limpiador o
si se ha dañado y no se puede reparar. Si el archivo no se puede limpiar, el analizador
anexa una extensión .mcm al nombre de archivo y deniega el acceso al mismo. Se incluye
una entrada en el archivo de registro. En este caso, recomendamos que elimine el archivo
y lo restaure de una copia de seguridad limpia.
Detecciones de análisis bajo demanda

Cuando se produce una detección bajo demanda, el analizador actúa según la configuración
definida en la ficha Acciones de Propiedades del análisis bajo demanda.
• Perfeccionar los elementos de análisis: esto hace que los análisis sean más eficientes.
• Solicitar acción: para configurar el analizador para Solicitar acción, seleccione la acción
en el cuadro de diálogo Progreso del análisis bajo demanda.
Detecciones de análisis de correo electrónico

Cuando se produce una detección de análisis de correo electrónico, el analizador actúa en
función de la configuración definida en Propiedades del análisis de correo electrónico
durante la recepción o Propiedades del análisis de correo electrónico bajo demanda,
en la ficha Acciones.
• Perfeccionar los elementos de análisis: esto hace que los análisis sean más eficaces.
Elementos en cuarentena
Los elementos detectados y considerados como amenazas se limpian o se eliminan. Además,
se crea una copia del elemento en un formato no ejecutable y se guarda en la carpeta de
cuarentena. Esto permite realizar procesos sobre los elementos en cuarentena después de
descargar una versión posterior del archivo DAT, el cual posiblemente contenga información
que puede limpiar la amenaza.
Entre estos procesos adicionales se incluyen:
• Restaurar.
• Volver a analizar.

• Eliminar.
• Comprobar si hay falsos positivos.
• Ver propiedades de detección.
NOTA: Los elementos en cuarentena pueden contener varios tipos de objetos analizados como,
por ejemplo, archivos, cookies, registros o cualquier otro objeto que VirusScan Enterprise analice
en busca de malware.
Configuración de la directiva de cuarentena

Abra las Directivas de Quarantine Manager y configure la directiva de cuarentena, si es necesario,
o acepte la configuración predeterminada.
Configure las Directivas de Quarantine Manager mediante una de las siguientes consolas de
Tareas

Configure las Directivas de Quarantine Manager a través de esta consola de interfaz de usuario.
Tarea
directiva.

4 En la página Cuarentena, acepte el directorio predeterminado o seleccione uno distinto.

5 Para configurar el número de días que se guardan los elementos en cuarentena, haga clic
en Eliminar automáticamente los datos en cuarentena transcurrido el número
de días indicado e introduzca el Número de días para conservar los datos de copia
de seguridad en el directorio de cuarentena.

Configure las Directivas de Quarantine Manager a través de esta consola de interfaz de usuario.
Tarea
directivas.
4 En la página Cuarentena, acepte el directorio de cuarentena predeterminado o seleccione
uno distinto.
Configure la Directiva del Quarantine Manager a través de esta consola de interfaz de usuario.
Tarea
1 En la lista Tarea, haga clic con el botón secundario en Directiva de Quarantine Manager
y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo Directiva de
Quarantine Manager.
2 Acepte el directorio de cuarentena predeterminado o seleccione otro distinto.

Gestión de elementos en cuarentena

Procese los elementos en cuarentena para realizar más comprobaciones y eliminarlos o
restaurarlos manualmente con Consola de VirusScan
NOTA: En la consola de ePolicy Orchestrator, utilice la tarea cliente Restaurar de cuarentena
para realizar acciones en los elementos en cuarentena.
Tarea
1 En la lista Tarea de Consola de VirusScan, haga clic en Directiva del Quarantine Manager
para abrir el cuadro de diálogo Directiva del Quarantine Manager.
2 Haga clic en la ficha Administrador, y haga clic con el botón derecho sobre un elemento
para obtener acceso a las siguientes opciones avanzadas:
• Restaurar.
• Volver a analizar.
• Eliminar.
• Comprobar si hay falsos positivos.
• Ver propiedades de detección.
3 Aparece un cuadro de diálogo que describe el resultado de su acción.

Recibir un aviso cuando se detecta una amenaza potencial es una parte importante de la
protección del entorno. Puede configurar el método de notificación de detecciones mediante la
consola de ePolicy Orchestrator o la Consola de VirusScan. Ambas consolas permiten configurar
opciones de alertas, filtrar alertas por gravedad para limitar el tráfico y configurar opciones de
alertas locales.
Configuración de alertas
Configure las alertas y propiedades de notificación que aparecen cuando los distintos analizadores
detectan una amenaza.
Utilice el mismo proceso para configurar las alertas de estas directivas:
• Directivas de alerta
• Directivas de protección de desbordamiento del búfer
• Directivas del análisis del correo electrónico durante la recepción
Configure las directivas de notificación de alertas de las tres directivas utilizando las siguientes
consolas de interfaz de usuario.
Tareas


Configuración de fichas de directivas de alertas

Configure las directivas de alertas con esta consola de interfaz de usuario.
Tarea
directiva.
4 Configure las fichas de directivas de alertas. Para ello, consulte Configuración de fichas de
directivas de alertas.

Configure las directivas de alertas con esta consola de interfaz de usuario.
Tarea


directivas.
Configure las propiedades de alertas con esta consola de interfaz de usuario.
Tarea
1 Abra una de las siguientes propiedades para configurar las alertas:
• Alertas: haga clic en Herramientas | Alertas para abrir el cuadro de diálogo de las
propiedades de alerta.
• Protección de desbordamiento del búfer: seleccione la tarea Protección de
desbordamiento del búfer y haga clic con el botón derecho en Propiedades para
abrir el cuadro de diálogo de propiedades de la protección de desbordamiento del búfer.
• Análisis de correo electrónico durante la recepción: seleccione la tarea Análisis
de correo electrónico durante la recepción y haga clic con el botón secundario en
Propiedades para abrir el cuadro de diálogo de propiedades del análisis de correo
electrónico durante la recepción. Haga clic en la ficha Alertas.
Configuración de fichas de directivas de alertas

Tarea Configuración
Directivas de alertas 1 En la columna Acciones, seleccione Editar configuración para abrir la

página Directivas de alertas.
2 Configure los Componentes que generan alertas y las Opciones de Alert

Manager.
Directivas de protección de 1 En la columna Acciones, seleccione Editar configuración para abrir la

desbordamiento del búfer página Protección de desbordamiento del búfer.
2 Junto a Advertencia del sistema cliente, haga clic en Mostrar el cuadro

de diálogo de mensajes cuando se detecte un desbordamiento del
búfer.
Directivas del análisis del 1 En la columna Acciones, seleccione Editar configuración para abrir la
correo electrónico durante página Directivas del análisis del correo electrónico durante la recepción.
la recepción

Tarea Configuración
2 Haga clic en Alertas y configure Alerta de correo electrónico para el
usuario y Solicitud de mensaje de acción.

Utilice las consultas y los paneles para supervisar la actividad. Además, le ayudarán a determinar
las acciones a emprender en las detecciones. Puede utilizar las consultas y paneles predefinidos
o crear unos nuevos para satisfacer sus necesidades. Para obtener información acerca de las
consultas y los paneles, consulte la documentación del producto ePolicy Orchestrator.
Consultas
En función de su versión de ePolicy Orchestrator, acceda a las consultas utilizando:
ePolicy Orchestrator 4.5 y 4.6
1 Haga clic en Menú | Informes | Consultas. Aparecerá la página de consultas.
2 En el panel de consultas, escriba VSE: en Búsqueda rápida y haga clic en Aplicar. En la
lista únicamente aparecen las consultas de VirusScan Enterprise.
1 Haga clic en Informes | Consultas. Aparecerá la página de consultas.
2 En la lista de consultas situada en el panel de la derecha, desplácese hacia abajo y busque
las consultas que comiencen por "VSE:".
Se encuentran disponibles las siguientes consultas predefinidas:
VSE: conformidad durante los 30 últimos días VSE: amenazas detectadas en los 2 trimestres anteriores
VSE: equipos con amenazas detectadas a la semana VSE: amenazas detectadas por semana
VSE: adopción de DAT actual VSE: 10 principales reglas de protección de acceso
infringidas
VSE: adopción de DAT durante las últimas 24 horas
VSE: 10 principales desbordamientos de búfer detectados
VSE: despliegue de DAT
VSE: los 10 equipos con más detecciones
VSE: resumen de respuestas a detecciones
VSE: 10 principales amenazas detectadas
VSE: número de detecciones por etiqueta
VSE: las 10 principales fuentes de amenazas
VSE: spyware detectado en las últimas 24 horas
VSE: las 10 principales amenazas por categoría de
VSE: spyware detectado en los últimos 7 días
amenaza
VSE: resumen de amenazas detectadas en las últimas
VSE: los 10 usuarios con más detecciones
24 horas
VSE: programas no deseados detectados en las últimas
VSE: resumen de amenazas detectadas en los últimos 7
24 horas
días
VSE: programas no deseados detectados en los últimos
VSE: número de amenazas por gravedad
7 días
VSE: nombres de amenazas detectadas por semana
VSE: conformidad de la versión 8.5
VSE: amenazas detectadas en las últimas 24 horas
VSE: amenazas detectadas en los últimos 7 días
Paneles
Para tener acceso a los paneles de la consola de ePolicy Orchestrator, vaya a Paneles.
Se encuentran disponibles los siguientes paneles predefinidos:

• VSE: conformidad de la versión 8.8

• VSE: datos que muestran la tendencia
• VSE: detecciones actuales

Los archivos DAT de emergencia se pueden descargar manualmente a fin de proteger el sistema
contra un virus importante hasta que se publique la actualización del archivo normal DAT de
VirusScan.
NOTA: Estos archivos EXTRA.DAT deberían descargarse automáticamente como parte de la
actualización automática (AutoUpdates) del sistema cliente o del proceso de extracción
programada de ePolicy Orchestrator. Consulte la sección Actualización de las definiciones de
detección.
El proceso de configuración de los archivos DAT de emergencia consta de dos pasos:
1 Descargue el archivo DAT de emergencia. Este proceso es igual tanto para los sistemas
cliente como para los repositorios de ePolicy Orchestrator.
2 Instale el archivo DAT de emergencia. Este proceso es diferente para los sistemas cliente
y los servidores de ePolicy Orchestrator 4.0, 4.5 y 4.6.
Cada uno de estos procesos se describe en esta sección.
Contenido
Acerca de los archivos DAT de emergencia
Descarga de un archivo SuperDAT
Instalación de archivos SuperDAT en un repositorio de ePolicy Orchestrator
Instalación del archivo EXTRA.DAT en un sistema cliente
Acerca de los archivos DAT de emergencia

Los archivos DAT de emergencia, llamados archivos EXTRA.DAT, contienen información que
VirusScan Enterprise utiliza para detectar un virus nuevo. Cuando se descubre nuevo malware
y se hace necesario incrementar la capacidad de detección, McAfee Labs distribuye un archivo
EXTRA.DAT (incluido en un archivo ejecutable SuperDAT [SDAT]), que se utiliza hasta que se
publica la actualización del archivo DAT de VirusScan Enterprise.
NOTA: McAfee ya no publica archivos EXTRA.DAT individuales en el sitio de descargas Security
Updates. Para obtener un archivo EXTRA.DAT para una amenaza específica, visite McAfee
Avert Labs Extra.dat Request Page en https://www.webimmune.net/extra/getextra.aspx.
Paquetes SuperDAT
El ejecutable SuperDAT es un paquete autoinstalable. Es posible que incluya un nuevo motor
de análisis de virus y otros componentes de programa. El archivo utiliza el formato de nombre
sdatXXXX.exe, donde XXXX es el número de versión de DAT compuesto de cuatro dígitos; por
ejemplo, sdat4321.exe.
Cuando se extrae un archivo EXTRA.DAT del ejecutable SuperDAT y se agrega a la carpeta
Motor del disco duro, VirusScan Enterprise lo utiliza conjuntamente con los archivos DAT normales
para detectar el nuevo virus. Esto le permite a VirusScan Enterprise proteger el equipo contra

el nuevo código malware hasta que se publique la actualización oficial del archivo DAT que
incluya información de detección y eliminación del malware. Una vez que se publique y se instale
la actualización oficial de DAT, el archivo EXTRA.DAT dejará de ser necesario.
NOTA: Los archivos EXTRA.DAT se mantienen en el sistema de archivos durante 5 días y, a
continuación, se eliminan automáticamente. Descargue e instale automáticamente las
actualizaciones oficiales publicadas diariamente para mantener actualizados los archivos DAT
de VirusScan Enterprise.
Descarga de un archivo SuperDAT

Para descargar un archivo SuperDAT (SDAT), debe conectarse a la página de McAfee Security
Updates.
Antes de comenzar
• Debe tener un número de concesión válido para poder obtener acceso a la página de McAfee
Security Updates: http://www.mcafee.com/apps/downloads/security_updates/dat.asp
• Debe tener privilegios de administrador para actualizar el software de McAfee.
Tarea
1 Visite la página de McAfee Security Updates en el siguiente URL:
http://www.mcafee.com/apps/downloads/security_updates/dat.asp
2 Haga clic en la ficha SuperDAT y, a continuación, haga doble clic en el archivo sdatXXXX.exe,
donde XXXX es el número de la actualización más reciente del archivo DAT.
NOTA: Si desea obtener más información, haga doble clic en el archivo readme.txt.
3 Guarde el archivo ejecutable con su nombre predeterminado en una ubicación temporal.
Instalación de archivos SuperDAT en un repositorio de ePolicy

Orchestrator
Una vez descargado el archivo SuperDAT, hay que instalarlo en el servidor de ePolicy
Orchestrator.
Antes de comenzar
Debe tener derechos de administrador para actualizar el software de McAfee.
Tarea
1 Para instalar el archivo SuperDAT en un servidor de ePolicy Orchestrator, siga los pasos
siguientes, según corresponda:
Servidor Pasos...
ePolicy Orchestrator 4.5 y 4.6 1 Haga clic en Menú | Software | Repositorio principal
para abrir la página Paquetes en el repositorio principal
en la consola de ePolicy Orchestrator 4.5 y 4.6.
2 Haga clic en Acciones | Incorporar paquetes.

Servidor Pasos...
ePolicy Orchestrator 4.0 1 Haga clic en Software | Repositorio principal para
abrir la página Paquetes en el repositorio principal.
2 Haga clic en Incorporar paquetes para abrir la página
Incorporar paquetes.
2 Seleccione Super DAT (EXE), desplácese a la ubicación en la que desee guardar el archivo
y, a continuación, haga clic en Siguiente.
3 Confirme la selección y, a continuación, haga clic en Guardar. El paquete DAT nuevo
aparece en la lista Nombre de la página Paquetes en el repositorio principal.
Instalación del archivo EXTRA.DAT en un sistema cliente

Puede instalar el archivo EXTRA.DAT en un sistema cliente independiente después de haberlo
descargado desde McAfee Labs. Si desea obtener información acerca de la descarga del archivo
EXTRA.DAT, consulte Acerca de los archivos DAT de emergencia.
Antes de comenzar
Debe tener privilegios de administrador para actualizar el software de McAfee Security.
Tarea
1 Una vez completada la descarga, busque el archivo que acaba de guardar, ejecute el archivo
ejecutable y siga las instrucciones del asistente.
El archivo ejecutable EXTRA.DAT realiza los pasos siguientes:
• Descarga el software residente en memoria de McAfee o detiene los servicios que usan
sus archivos DAT actuales.
• Copia nuevos archivos DAT en los directorios de programa correspondientes.
• Reinicia los componentes de software necesarios para continuar los análisis con los
archivos DAT nuevos.
2 Una vez que el instalador finaliza la actualización de los archivos DAT, usted puede eliminar
el archivo descargado o guardar una copia para futuras actualizaciones.

Parte IV — Supervisión, análisis y ajuste de la
protección
Tras la configuración inicial de la estrategia de protección, deberá supervisar, analizar y ajustar
su protección. Si comprueba los archivos de registro de actividades y las consultas de ePolicy
Orchestrator, podrá mejorar el rendimiento y la protección de los sistemas VirusScan Enterprise.
Contenido
Supervisión de la actividad en el entorno
Análisis de su protección

Un paso importante en la estrategia de protección es la supervisión de los eventos de malware
que se producen en los sistemas. Para llevar a cabo esa supervisión, necesita familiarizarse con
las herramientas y su uso.
Herramientas de supervisión de actividades

VirusScan Enterprise proporciona diversos métodos para supervisar las amenazas que se
producen en los sistemas protegidos. Las herramientas que utilice dependerán de si utiliza la
consola de ePolicy Orchestrator o Consola de VirusScan.
Uso de consultas y paneles

Utilice las consultas y los paneles de ePolicy Orchestrator para supervisar la actividad en sus
sistemas gestionados de McAfee y determinar las acciones a emprender en las detecciones.
Para obtener información adicional acerca del panel y las consultas:
• Consulte Acceso a consultas y paneles para obtener una lista completa de las consultas
predefinidas disponibles.
• Consulte la documentación del producto ePolicy Orchestrator para informarse acerca de
cómo modificar y crear consultas y paneles.
Uso de registros de actividad

Los registros de actividades de Consola de VirusScan almacenan los eventos que se producen
en su sistema protegido por VirusScan Enterprise. En la siguiente tabla se describen los archivos
de registro.
Todos los archivos de registro de actividades se almacenan, de forma predeterminada, en una
de las ubicaciones siguientes, en función de su sistema operativo:

Parte IV — Supervisión, análisis y ajuste de la protección
• Para Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server
y Microsoft 2008 Server: C:\Documents and Settings\All Users\Application
Data\McAfee\DesktopProtection
• Para Microsoft Windows 7: C:\ProgramData\McAfee\DesktopProtection
Tabla 1: Archivos de registro
Nombre de archivo Acceso Muestra
AccessProtectionLog.txt En la columna Tarea, haga clic en la ficha Fecha, hora, evento,

Protección de acceso | Informes y, a usuario y nombre del
continuación, en Ver registro. archivo.
BufferOverflowProtectionLog.txt En la columna Tarea, haga clic en la ficha Fecha, hora, el ejecutable

Protección de desbordamiento del búfer | que provocó el
Informes y, a continuación, haga clic en Ver desbordamiento y tipo de
registro. desbordamiento (pila o
montículo).
MirrorLog.txt • Para Microsoft Windows XP, Microsoft Vista, Fecha, hora, ruta a los
Microsoft 2000 Server, Microsoft 2003 Server y archivos de réplica y otra
Microsoft 2008 Server: C:\Documents and información adicional.
Settings\All Users\Application
Data\McAfee\DesktopProtection
• Para Microsoft Windows 7:
C:\ProgramData\McAfee\DesktopProtection
OnAccessScanLog.txt En la columna Tarea, haga clic en la ficha Fecha, hora, malware

Analizador en tiempo real | Configuración detectado, acción tomada
general | Informes y, a continuación, en Ver y resultado.
registro.
OnDemandScanLog.txt En el menú, haga clic en Tarea | Ver registro. Fecha, hora del análisis,
posibles acciones
realizadas, archivo y
resultado.
UpdateLog.txt • Para Microsoft Windows XP, Microsoft Vista, Fecha, hora de

Microsoft 2000 Server, Microsoft 2003 Server y actualización, usuario que
Microsoft 2008 Server: C:\Documents and inició la actualización y
Settings\All Users\Application otra información acerca
Data\McAfee\DesktopProtection de la actualización.
• Para Microsoft Windows 7:
C:\ProgramData\McAfee\DesktopProtection
Ejecución de una consulta de ejemplo

Ejecute una consulta sencilla para determinar la cantidad de amenazas que se detectan por
semana en sus sistemas. Esta consulta es sólo de ejemplo. Las consultas que usted ejecute o
configure dependerán de la información que desee recuperar de la base de datos de ePolicy
Orchestrator.
Tarea
1 Ejecute una consulta de ePolicy Orchestrator siguiendo las indicaciones siguientes, según
corresponda:
• ePolicy Orchestrator 4.5 o 4.6: haga clic en Menú | Informes | Consultas, y
desplácese hasta la consulta VSE: Amenazas detectadas por semana. A continuación, haga
clic en Ejecutar.

• ePolicy Orchestrator 4.0: haga clic en Informes | Consultas, y desplácese hasta la

consulta VSE: Amenazas detectadas por semana. A continuación, haga clic en Ejecutar.
2 Si se detecta alguna amenaza, el resultado de la consulta muestra la siguiente información:
• Un gráfico de barras con el número de amenazas y la semana en la que se produjeron.
• Una tabla con información similar y el total de amenazas.
NOTA: Puede hacer clic en el gráfico de barras o en la información de la tabla para abrir
los datos de la base de datos de ePolicy Orchestrator.
3 Haga clic en Cerrar para volver a la lista de consultas.

Además del gran número de consultas predeterminadas puede crear las suyas propias. Consulte
la documentación de ePolicy Orchestrator si desea obtener más detalles.
La protección de su sistema mediante VirusScan Enterprise debe ser analizada continuamente,
ya que así se mejora la protección y el rendimiento del sistema.
Contenido
La importancia del análisis
Ejemplos de análisis de protección
La importancia del análisis

El análisis de la protección permite determinar el tipo de amenazas, su origen y frecuencia, así
como los sistemas a los que van dirigidas. Por ejemplo, si un sistema está siendo continuamente
atacado, se podría trasladar ese sistema a una ubicación más segura de la red y aumentar la
seguridad para protegerlo.
Este análisis también es útil en los procesos siguientes:
• Creación de informes dirigidos a responsables y TI.
• Captura de información usada para crear secuencias de comandos y consultas.
• Supervisión de las horas de acceso a la red y del uso de la red para la actualización de
VirusScan Enterprise.
Ejemplos de análisis de protección

Los pasos descritos en los siguientes ejemplos se pueden usar como marco para el análisis de
la mayoría de escenarios de protección de VirusScan Enterprise.
En estos ejemplos se describe la visualización de un pico de ataques de malware y se determinan
los factores siguientes:
• Dónde y cuándo se producen los ataques
• Qué malware se utilizó en el ataque
• Cómo afecta el ataque al sistema

Tareas

Este ejemplo de análisis se usa como marco para analizar la mayoría de escenarios de protección
de VirusScan Enterprise con ePolicy Orchestrator 4.5 o 4.6.
Antes de comenzar
Para llevar a cabo este análisis de ejemplo, debe disponer de acceso remoto o directo a un
sistema protegido por VirusScan Enterprise.
Tarea
1 Determine dónde y cuándo se producen los ataques:
a Haga clic en Menú | Informes | Consultas para abrir el panel Consultas.
b Escriba Malware en Búsqueda rápida y haga clic en Aplicar. La consulta Historial de
detecciones de malware aparece en la lista Consultas.
c Seleccione la consulta y haga clic en Acciones | Ejecutar. La consulta devuelve el
número de ataques recientes.
2 Para determinar qué malware se usó en el ataque, haga clic en Menú | Informes |
Registro de eventos de amenazas para ver el Registro de eventos de amenazas.
3 Haga doble clic en el evento del registro para mostrar la página de detalles en el panel.
Desde el evento del registro puede determinar:
• La Dirección IP de origen de la amenaza y el destino se muestran para ayudarle
a decidir qué acción emprender.
• El Nombre de la amenaza y el Tipo de amenaza describen el malware que fue
utilizado en el ataque.
• Las Descripciones de eventos de amenazas describen cómo afectó el ataque al
sistema y qué acciones se emprendieron sobre la amenaza.

de VirusScan Enterprise con ePolicy Orchestrator 4.0.
Antes de comenzar
Tarea
1 Determine dónde y cuándo se producen los ataques:
a Haga clic en Informes | Consultas para abrir la lista de consultas.

b En la lista Consultas públicas, seleccione ePO: Historial de detecciones de malware

y haga clic en Más acciones | Ejecutar. La consulta Historial de detecciones de
malware aparece en la lista Consultas.
2 Para ver el evento que activó la detección de malware, haga clic en Informes | Registro
de eventos. La consulta devolverá el número de ataques recientes.
3 Haga doble clic en el evento del registro para mostrar la página de detalles en el panel.
Desde el evento del registro puede determinar:
• La Dirección IP de origen de la amenaza y el destino se muestran para ayudarle
a decidir qué acción emprender.
• El Nombre de la amenaza y el Tipo de amenaza describen el malware que fue
utilizado en el ataque.
• Las Descripciones de eventos de amenazas describen cómo afectó el ataque al
sistema y qué acciones se emprendieron sobre la amenaza.
de VirusScan Enterprise mediante la Consola de VirusScan.
Antes de comenzar
Tarea
1 En la lista Tarea, haga clic con el botón derecho en Analizador en tiempo real y
seleccione Estadísticas en la lista. Aparecerá el cuadro de diálogo Estadísticas del análisis
en tiempo real.
2 En el grupo Estadísticas de análisis, observe el número de archivos detectados que aparece.
Si este número no es cero, haga clic en Propiedades para abrir el cuadro de diálogo
Propiedades del análisis en tiempo real.
3 Haga clic en la ficha Informes y, a continuación, haga clic en Ver registro. Aparecerá el
archivo OnAccessScanLog.txt en una ventana de NotePad.
4 En él podrá determinar:
• Qué malware se utilizó en el ataque. Por ejemplo:
C:\...\eicar.com archivo de prueba EICAR
• Cómo afecta el ataque al sistema. Por ejemplo:
(Error de limpieza porque la detección no se puede limpiar)
• Qué acciones se emprendieron sobre la amenaza. Por ejemplo:
Eliminados
5 Utilice la información del paso anterior para determinar si es necesario modificar la

configuración de la protección antivirus de los sistemas de origen o destino, o si desea
iniciar otra acción.

Apéndice
Existen más funciones de configuración y solución de problemas que se pueden usar para
mejorar la protección ofrecida por VirusScan Enterprise. Esas funciones utilizan herramientas
ya conocidas como, por ejemplo, la consola de ePolicy Orchestrator, la línea de comandos e
Internet.
Contenido
Configuración de tareas de servidor de ePolicy Orchestrator
Uso de la línea de comandos con VirusScan Enterprise
Conexión con sistemas remotos
Envío de muestras de amenazas para su análisis
Acceso a la Biblioteca de amenazas de McAfee Labs
Solución de problemas
Configuración de tareas de servidor de ePolicy

Orchestrator
Las tareas de servidor, configuradas en ePolicy Orchestrator le permiten programar y ejecutar
tareas automáticas con el objetivo de administrar su servidor y el software de VirusScan
Enterprise.
Las tareas de servidor de VirusScan Enterprise se pueden configurar para generar
automáticamente lo siguiente:
• Exportar directivas: ejecuta un informe de directiva y almacena la información de la
directiva en un archivo.
• Ejecutar consulta: ejecuta una consulta preconfigurada y, en caso de haberlo configurado,
muestra el resultado en el panel de ePolicy Orchestrator.
• Exportar consultas: ejecuta una consulta preconfigurada y envía el informe a una dirección
de correo electrónico o a una ubicación ya definidas.
NOTA: La función Exportar consultas sólo está disponible con ePolicy Orchestrator 4.5 y 4.6.
El servidor de ePolicy Orchestrator tiene ya instaladas las siguientes tareas de servidor de

VirusScan Enterprise:
• VSE: conformidad durante los 30 últimos días: ejecuta una consulta una vez al día y
almacena el estado de conformidad del software antivirus de McAfee.

Apéndice
Configuración de tareas de servidor de ePolicy Orchestrator
• VSE: adopción DAT durante las últimas 24 horas: ejecuta una consulta cada hora y
almacena el estado de la versión de DAT del software antivirus de McAfee.
NOTA: Para obtener información acerca de la configuración de tareas de servidor personalizadas,
consulte la guía del producto de ePolicy Orchestrator correspondiente.
Configuración de tarea de servidor de ejemplo

Para activar y configurar la VSE ePolicy Orchestrator existente: conformidad durante los 30
últimos días.
Antes de comenzar
Debe tener derechos de administrador para actualizar la configuración de ePolicy Orchestrator.
Tarea
1 Abra la página Tareas de servidor desde ePolicy Orchestrator.
• ePolicy Orchestrator 4.5 o 4.6: haga clic en Menú | Automatización | Tareas
servidor.
• ePolicy Orchestrator 4.0: haga clic en Automatización | Tareas servidor.
2 En la columna Nombre, busque la tarea VSE: conformidad durante los últimos 30
días y haga clic en Editar en la columna Acciones. Aparece la página Generador de tareas.
3 Al lado de Estado de planificación, haga clic en Activado y, a continuación, en Siguiente.
Aparecerá la página Acciones.
Junto a 1. Acciones, Ejecutar consulta se selecciona de forma predeterminada.
4 Junto a Consulta, VSE: conformidad de la versión 8.8.0 se selecciona de forma
predeterminada. En caso necesario, cambie la opción de idioma.
En el grupo Subacciones, confirme que los elementos siguientes están seleccionados de
forma predeterminada:
• Generar evento de conformidad en la lista Subacciones.
• Número específico de sistemas de destino está seleccionado con 1 en la caja de
texto.
5 Agregue acciones de conformidad de VirusScan Enterprise, Versión 8.7 y 8.5 a la tarea
servidor:
a En la fila 1. Acciones, haga clic en el signo más (+) para abrir una fila adicional de
acciones.
b Configure los siguientes elementos en la nueva fila 2. Acciones:
• Junto a 2. Acciones, seleccione Ejecutar consulta en la lista.
• Junto a Consulta, seleccione VSE: conformidad de la versión 8.7 en la lista.
• En caso necesario, cambie la opción de idioma.
• Confirme en el grupo Subacciones que Generar evento de conformidad y Número
específico de sistemas de destino tienen seleccionado 1 en la caja de texto.
c En la fila 2. Acciones, haga clic en el signo más (+) para abrir una fila adicional de
acciones.
d Configure los siguientes elementos en la nueva fila 3. Acciones:
• Junto a 3. Acciones, seleccione Ejecutar consulta en la lista.

Apéndice
• Junto a Consulta, seleccione VSE: conformidad de la versión 8.5 en la lista.

• En caso necesario, cambie la opción de idioma.
• Confirme en el grupo Subacciones que Generar evento de conformidad y Número
específico de sistemas de destino tienen seleccionado 1 en la caja de texto.
6 Haga clic en Siguiente para abrir la página Programación.
7 Seleccione la frecuencia de ejecución de la tarea de servidor en la lista Tipo de
planificación.
• Establezca la Fecha de inicio o acepte la fecha actual como predeterminada.
• Establezca la Fecha de finalización o acepte Sin fecha de finalización como
predeterminada.
• Establezca la Planificación, acepte la predeterminada o establezca otra fecha de inicio
para la ejecución de la consulta.
8 Haga clic en Siguiente para abrir la página Resumen. Confirme que la información
configurada sea correcta.
9 Haga clic en Guardar. La página Tarea de servidor aparecerá a continuación.
10 Confirme que la tarea de servidor VSE: conformidad durante los 30 últimos días tenga la
opción de Estado activada y que la fecha y hora de Próxima ejecución sean correctas.
Uso de la línea de comandos con VirusScan

Enterprise
El símbolo del sistema se puede utilizar para ejecutar algunos procesos básicos de VirusScan
Enterprise. Puede instalar, configurar y actualizar VirusScan Enterprise desde la línea de
comandos. Las opciones de instalación de la línea de comandos se describen en la Guía de
instalación de VirusScan Enterprise.
Ejemplo de análisis de línea de comandos

Para explorar todos los archivos, actualizar los archivos de registro con los resultados de la
exploración y cerrar automáticamente el cuadro de diálogo de análisis bajo demanda, introduzca
el siguiente comando:
scan32 /all /log /autoexit
Ejemplo de actualización de línea de comandos

Para actualizar los archivos DAT, el motor de análisis y el producto de forma silenciosa, o si no
desea que aparezca el cuadro de diálogo de actualización de McAfee, introduzca el siguiente
comando:
mcupdate /update /quiet
Opciones de línea de comandos para el análisis bajo demanda

VirusScan Enterprise utiliza el analizador bajo demanda SCAN32.EXE para detectar amenazas.
Para ejecutar análisis, puede usar el mismo comando ejecutable SCAN32 desde la línea de
comandos o como parte de un archivo por lotes.

Apéndice
La sintaxis de SCAN32 no necesita un orden específico en sus elementos, excepto en el caso

de que no se pueda separar una propiedad de su valor. Esta sintaxis consta de:
• Nombre del archivo: nombre del archivo ejecutable, SCAN32.EXE.
• Opciones: la opción va precedida de una barra inclinada (/) y no distingue entre mayúsculas
y minúsculas.
El formato del comando es:
SCAN32 PROPERTY=VALUE [,VALOR] [/opción].
A continuación se indica un ejemplo de comando scan32.exe:
scan32.exe PRIORITY /normal
En este ejemplo:
• "PRIORITY" (PRIORIDAD) es un valor del comando.
• "/normal" es una opción del valor.
Opciones y valores para el análisis bajo demanda
Valor de la línea Definición con opciones

de comandos
ALL Analiza todos los archivos de la carpeta de destino.
ALLOLE Analiza los archivos predeterminados y todos los documentos de Microsoft Office.
ALWAYSEXIT Fuerza la salida del análisis bajo demanda, aunque el análisis se complete con un error.
APPLYNVP Analiza los programas potencialmente no deseados que se definen en la Directiva de programas
no deseados.
ARCHIVE Analiza archivos de almacenamiento, como .ZIP, .CAP, LZH y .UUE.
AUTOEXIT Sale del analizador bajo demanda al terminar un análisis no interactivo.
CLEAN Limpia el archivo de destino detectado cuando se encuentra un programa potencialmente no

deseado.
CLEANA Limpia el archivo detectado cuando se encuentra un programa no deseado.
CONTINUE Continúa el análisis después de haber detectado un programa potencialmente no deseado.
CONTINUE2 Continúa el análisis después de la detección de un programa potencialmente no deseado, si

la acción principal ha fallado.
CONTINUEA Continúa el análisis después de haber detectado un programa no deseado.
CONTINUEA2 Continúa el análisis después de la detección de un programa no deseado, si la acción principal

ha generado un error.
DEFEXT Agrega las extensiones de archivos que se especifiquen como parámetros a la lista de tipos
de archivos seleccionados incluidos en el análisis.
DELETE Elimina el archivo detectado cuando se encuentra un programa potencialmente no deseado.
DELETE2 Elimina el archivo detectado cuando se encuentra un programa potencialmente no deseado

y la acción principal ha generado un error.
DELETEA Elimina el archivo cuando se detecta un programa no deseado.
DELETEA2 Elimina el archivo cuando se detecta un programa potencialmente no deseado y la acción

principal ha generado un error.
EDIT Muestra el cuadro de diálogo de propiedades del análisis.
EXT Sustituye las extensiones de la lista de tipos de archivos seleccionados incluidos en el análisis
por las extensiones que el usuario agregue como parámetros después del argumento.

Apéndice
Valor de la línea Definición con opciones

de comandos
LOG Registra los informes de detección en un archivo de registro previamente especificado.
LOGFORMAT Utiliza el formado especificado para el archivo de registro. Los valores válidos son ANSI, UTF8
<valor> o UTF16.
LOGSETTINGS Registra los valores de configuración de un análisis.
LOGSUMMARY Registra un resumen de los resultados del análisis.
LOGUSER Registra la información de identificación del usuario que ejecuta un análisis.
MHEUR Activa la detección Artemis de las amenazas de macro.
MIME Detecta programas potencialmente no deseados en archivos codificados en formato MIME

(Multipurpose Internet Mail Extensions).
NOESTIMATE No calcula el tamaño del análisis antes de comenzar el análisis de los archivos. La barra de
progreso no se muestra.
PHEUR Activa la detección Artemis de las amenazas que no son de macro.
PRIORITY Define la prioridad del análisis en relación con otros procesos de la CPU. Requiere una de las
siguientes opciones:
• LOW (BAJA)
• BELOWNORMAL (POR DEBAJO DE LO NORMAL): el valor predeterminado en ePolicy
Orchestrator.
• NORMAL: el valor predeterminado en Consola de VirusScan.
NOTA: Puede introducir un parámetro numérico de 1 a 100, donde 10 es igual a LOW, 50 es

igual a BELOWNORMAL y 100 es igual a NORMAL.
PROMPT Solicita una acción al usuario cuando se detecte un programa potencialmente no deseado.
PROMPT2 Solicita una acción al usuario cuando se detecta un programa potencialmente no deseado y
la acción principal ha generado un error.
PROMPTA Solicita una acción al usuario cuando se detecta un programa no deseado.
PROMPTA2 Solicita una acción al usuario cuando se detecta un programa potencialmente no deseado y
la acción principal ha generado un error.
RPTSIZE Define el tamaño del registro de alerta, en megabytes.
START Ejecuta el análisis. No muestra el cuadro de diálogo de propiedades.
TASK Ejecuta la tarea del analizador bajo demanda especificada en la Consola de VirusScan. Precisa
de un parámetro adicional que especifique el identificador de tarea tal y como aparece en el
Registro, en la clave: hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks.
UINONE Ejecuta el analizador sin hacer visible el cuadro de diálogo de la interfaz de usuario.
Opciones de línea de comandos de la tarea de actualización

VirusScan Enterprise utiliza MCUPDATE.EXE para llevar a cabo las tareas de actualización. Para
ejecutar tareas de actualización, puede usar el mismo comando ejecutable MCUPDATE desde la
línea de comandos o como parte de un archivo por lotes.
La sintaxis de MCUPDATE no necesita un orden específico en sus elementos, excepto en el caso
de que no se pueda separar una propiedad de su valor. La sintaxis consta de:
• Nombre del archivo: nombre del archivo ejecutable, MCUPDATE.EXE.

Apéndice
• Opciones: la opción va precedida de una barra inclinada (/) y no distingue entre mayúsculas
y minúsculas.
El formato del comando es:
MCUPDATE [/<tipo> [/TASK <guid>]] [/opción].
NOTA: En el formato anterior, <tipo> puede ser ROLLBACKDATS o UPDATE.

La cláusula /TASK es opcional. No obstante, si la utiliza tiene también que especificar un
identificador de tarea de actualización (guid). El identificador de tarea que seleccione debe
corresponder a una tarea DAT de actualización o de restauración. No seleccione un identificador
de análisis. Si no indica un identificador de tarea, se utiliza la tarea de actualización por defecto.
Los identificadores de tarea se encuentran en:
hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\
La cláusula /option no es necesaria. Para realizar una tarea de actualización silenciosa, utilice
/QUIET.
NOTA: La opción /QUIET no puede utilizarse con las tareas DAT de restauración. Este ejemplo
ejecuta una tarea de actualización silenciosa: MCUPDATE /UPDATE /QUIET.
Opciones de la tarea de actualización
Opción de línea de Definición

comandos
ROLLBACKDATS Restaura el archivo DAT actual con la copia de seguridad de la última versión.
UPDATE Realiza una actualización del archivo DAT, del motor de análisis, del producto o del archivo
extra.dat.
/TASK Ejecuta la tarea DAT de AutoUpdate o restauración especificada en la Consola de VirusScan.

Requiere un parámetro adicional que especifique el identificador de la tarea tal y como se
define en la clave del Registro:
hkey_local_machine\software\McAfee\DesktopProtection\Tasks
/QUIET Ejecuta la tarea en modo silencioso.

En un sistema remoto con VirusScan Enterprise instalado se pueden llevar a cabo operaciones
como la modificación o la programación de tareas de análisis o actualización, o bien activar y
desactivar el analizador en tiempo real.
NOTA: Si no tiene derechos de administrador para conectarse al sistema remoto, recibe el
mensaje Derechos de usuario insuficientes: acceso denegado.
Cuando se inicia la Consola remota de VirusScan, el nombre del sistema al que está conectado
aparece en la barra de título de la consola. Si no se ha conectado a ningún otro sistema de la
red, la barra de título no muestra el nombre del sistema local. Cuando abre cualquier cuadro
de diálogo de propiedades de la tarea desde una consola remota, el nombre del sistema aparece
en la barra de título del cuadro de diálogo de propiedades.
Es posible abrir varias consolas remotas. Cuando se cierra el cuadro de diálogo Conectar a
equipo remoto, también se cierra la conexión al sistema remoto.

Apéndice
Acceso a sistemas remotos con VirusScan Enterprise instalado

Para conectarse a sistemas remotos que desee administrar y que tengan instalado VirusScan
Enterprise, utilice Abrir consola remota en Consola de VirusScan.
Tarea
1 En el menú Herramientas de la Consola de VirusScan Enterprise 8.8, seleccione Abrir
consola remota.
2 En Conectar a equipo, escriba el nombre del sistema que desee administrar y seleccione
un sistema de la lista, o haga clic en Examinar para localizar el sistema en la red.
NOTA: Si se utilizan variables de entorno al configurar la ruta de acceso del archivo o la
carpeta para una tarea remota, debe comprobarse que la variable de entorno existe en el
sistema remoto. La Consola de VirusScan Enterprise 8.8 no puede validar variables de
entorno en un sistema remoto.
3 Haga clic en Aceptar para intentar conectar con el sistema de destino.

Al conectar con el sistema remoto:
• La barra de título cambia y refleja el nombre del equipo.
• La consola lee el Registro del sistema remoto y muestra sus tareas.
• Es posible añadir, eliminar o volver a configurar las tareas del sistema remoto.

Si descubre que una amenaza potencial no está siendo detectada, o si el analizador detecta
algo que usted cree que no debería detectar como amenaza, con el archivo DAT actual, puede
enviar una muestra de la amenaza a McAfee Labs a través de WebImmune. McAfee Labs analiza
la muestra y estudia su inclusión o exclusión en el siguiente archivo DAT.
Existen tres modos de enviar una muestra a McAfee Labs: mediante el sitio Web de WebImmune,
por correo electrónico o por correo postal.
WebImmune
1 En Consola de VirusScan, seleccione Ayuda | Envío de una muestra para obtener acceso
al sitio Web, que se encuentra en la siguiente dirección:
https://www.webimmune.net/default.asp.
2 Inicie sesión en su cuenta gratuita, o bien cree una cuenta.
3 Cargue los archivos directamente en los sistemas automáticos de McAfee Labs para su
revisión. Los elementos se envían a los analistas de McAfee Labs si se requiere una
investigación adicional.
Correo electrónico
Puede enviar mensajes de correo electrónico directamente a los sistemas automáticos de McAfee
Labs para su revisión. Los elementos se envían a los analistas de McAfee Labs si se requiere
una investigación adicional.
La dirección de correo electrónico global es virus_research@avertlabs.com.
NOTA: Puede obtener direcciones regionales adicionales en el sitio Web de WebImmune.

Apéndice
Correo estándar
Puede obtener la dirección en el sitio Web de WebImmune.
NOTA: Es el método menos recomendable e implica un mayor tiempo para procesar la revisión
de las muestras.

Para obtener acceso a la Biblioteca de amenazas de McAfee Labs desde la Consola de VirusScan
Enterprise 8.8, seleccione Biblioteca de amenazas de McAfee Labs en el menú Ayuda. El
navegador de Internet se abre y se conecta a http://vil.nai.com/vil/default.aspx.
Antes de llamar al Soporte Técnico de McAfee, lea la información que aparece en esta sección.
La sección contiene procesos y herramientas que puede utilizar para solucionar problemas de
configuración de VirusScan Enterprise, así como preguntas frecuentes.
Reparación de la instalación del producto

Puede haber ocasiones en las que necesite reparar la instalación de VirusScan Enterprise para
restaurar la configuración predeterminada, reinstalar los archivos de programa o ambas cosas.
Puede hacerlo desde Consola de VirusScan o desde la línea de comandos.
Uso de Consola de VirusScan

Con la utilidad Reparar instalación de la Consola de VirusScan Enterprise 8.8, seleccione
Ayuda | Reparar instalación.
NOTA: Esta función no está disponible desde la consola de ePolicy Orchestrator.
Opción Definición
Restablecer todos los valores Restablece la instalación predeterminada de VirusScan Enterprise.

predeterminados de la instalación
ATENCIÓN: Pueden perderse los ajustes personalizados.
Reinstalar todos los archivos de Reinstala los archivos de programa de VirusScan Enterprise.
programa
ATENCIÓN: Es posible que se sobrescriban los hotfixes, parches y Service
Packs.
Uso de SETUPVSE.exe en la línea de comandos

Para reparar o volver a instalar VirusScan Enterprise desde la línea de comandos con el comando
SETUPVSE.exe, utilice los comandos indicados a continuación.
NOTA: Para obtener información sobre las opciones de parámetros de la línea de comandos
REINSTALLMODE, consulte REINSTALLMODE Property (en inglés) en
http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx.

Apéndice
Descripción Comando
Instalar sólo archivos de programa SETUPVSE.exe REINSTALLMODE=sec /q

Instalar sólo archivos del Registro SETUPVSE.exe REINSTALLMODE=secum /q
Instalar archivos de programa y del SETUPVSE.exe REINSTALLMODE=amus /q
Registro
Uso de msiexec.exe en la línea de comandos

Para reparar o volver a instalar VirusScan Enterprise desde la línea de comandos con el comando
msiexec.exe, utilice los comandos indicados a continuación.
NOTA: Para obtener información sobre las opciones de la línea de comandos msiexec.exe,
consulte Las opciones de línea de comandos para el msiexec.exe de herramienta de Microsoft
Windows Installer en http://support.microsoft.com/kb/314881.
Descripción Comando
Instalar sólo archivos de programa msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa

/q REBOOT=R
Instalar sólo archivos del Registro msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu
/q REBOOT=R
Instalar archivos de programa y del msiexec.exe /I VSE880.msi REINSTALL=ALL
Registro REINSTALLMODE=samu /q REBOOT=R
Visualización del archivo de registro de actividades en tiempo

real
El archivo de registro de actividades en tiempo real de la Consola de VirusScan muestra el
historial de actualizaciones, la actividad de las amenazas y la respuesta de VirusScan Enterprise.
Esta información puede resultar útil a la hora de solucionar problemas relacionados con las
actualizaciones automáticas y las configuraciones de directivas.
Use uno de los siguientes procesos para obtener acceso a los archivos de registro de actividades
en tiempo real:
NOTA: El archivo de registro de actividades en tiempo real debe estar activado. Para activarlo,
consulte Configuración general.
Tarea
Para obtener la descripción de cada opción, haga clic en Ayuda en cada ficha.
1 En la lista Tarea, haga clic con el botón derecho en Analizador en tiempo real y, a
2 En el cuadro de diálogo Propiedades del analizador en tiempo real, haga clic en la ficha
Informes y, a continuación, en Ver registro. Aparecerá el archivo OnAccessScanLog.txt

Apéndice
en una ventana de Notepad. A continuación se muestra un ejemplo del resultado del archivo
de registro.
3 La tabla siguiente describe los datos incluidos en el archivo OnAccessScanLog.txt anterior:
Ejemplo de entrada de registro Descripción
4/27/2010 Fecha
1:35:47 p. m. Hora
Cleaned/Deleted/No Action Taken Acción tomada

(Limpiado/Eliminado/No se ha realizado ninguna acción)
File updated = version, o (Clean failed because... Descripción de la acción

(Archivo actualizado = versión, o [Error de limpieza
porque...)
SRVR\usuario Credenciales
C:\WINDOWS\system32\NOTEPAD.EXE Ruta y nombre del archivo amenaza

C:\temp\eicar.com
EICAR test file (Test) (Archivo de prueba EICAR [Test]) Descripción del archivo
Las consultas de ePolicy Orchestrator proporcionan una información similar. Para obtener más
información, consulte Acceso a consultas y paneles.
Uso de MERTool durante la solución de problemas

La herramienta McAfee Minimum Escalation Requirements Tool (MERTool) recopila en su equipo
datos de McAfee VirusScan Enterprise y de otros productos de McAfee. La utilización de estos
datos permite al Soporte Técnico de McAfee analizar y resolver los problemas.
La herramienta WebMER se puede descargar con cualquiera de estos formatos de archivo:
• EXE
• ZIP
• ProtectedZip
La información recopilada por la herramienta WebMERTool incluye:
• Detalles del registro
• Detalles de la versión del archivo
• Archivos
• Registros de eventos
• Detalles del proceso
Para poder utilizar la herramienta WebMERTool, haga lo siguiente:

Apéndice
• Consulte el tutorial Obtaining Minimum Escalation Requirements using McAfee WebMER (en
inglés) que se encuentra en:
https://kc.mcafee.com/corporate/index?page=content&id=TU30146.
• Descargue e instale la herramienta desde: http://mer.mcafee.com.
NOTA: También hay disponible una versión desplegable de ePolicy Orchestrator. Esta versión
usa la consola de ePolicy Orchestrator para ejecutar MERTool en equipos cliente con el
objetivo de recopilar registros e información durante el diagnóstico de problemas sufridos
por los productos McAfee. Descargue la herramienta McAfee MERTool para ePolicy
Orchestrator 4.x (v2.0) desde: http://mer.mcafee.com/enduser/downloadepomer.aspx.
• Ejecute la herramienta y envíe el resultado al Soporte Técnico de McAfee.
Desactivación de VirusScan Enterprise durante la solución de

problemas
Si se produce un problema en el sistema que podría estar relacionado con los procesos que
VirusScan Enterprise está ejecutando, puede desactivar de forma sistemática las funciones de
VirusScan Enterprise hasta que se elimine el problema del sistema. De este modo, al menos
podrá descartar a VirusScan Enterprise como la causa del problema.
ATENCIÓN: Tras completar la solución de problemas, deberá reconfigurar o restaurar VirusScan
Enterprise para disponer de nuevo de protección total contra malware.
La desactivación sistemática de la funcionalidad VirusScan Enterprise se divide en un proceso
que consta de ocho pasos:
1 Desactivación de la protección de desbordamiento del búfer
2 Desactivación de la protección de acceso
3 Desactivación de ScriptScan
4 Desactivación del análisis en tiempo real
5 Desactivación del análisis en tiempo real y reinicio
6 Impedimento para la carga de MFEVTP y reinicio
7 Cambio de nombre de mfehidk.sys y reinicio
8 Eliminación del producto y reinicio
Cada uno de estos ocho pasos se describe en las secciones siguientes. Si desea consultar las
definiciones de las opciones en Consola de VirusScan, haga clic en Ayuda en la interfaz.
Desactivación de la protección de desbordamiento del búfer

Siga estos pasos para desactivar la protección de desbordamiento del búfer.
1 En la lista Tareas de la Consola de VirusScan, haga clic con el botón secundario en
Protección de desbordamiento del búfer y, a continuación, en Propiedades.
2 En el cuadro de diálogo de Propiedades, anule la selección de Activar protección contra
desbordamiento del búfer y, a continuación, haga clic en Aceptar.
3 ¿El problema original del sistema se ha solucionado al desactivar la protección de
desbordamiento del búfer?
• Sí: visite el ServicePortal de Soporte Técnico de McAfee en http://mysupport.mcafee.com
y busque la solución, o póngase en contacto con el Soporte Técnico de McAfee.
• No: probablemente, el problema del sistema no esté relacionado con esta función.

Apéndice
Desactivación de la protección de acceso

Siga estos pasos para desactivar la protección de acceso.
1 En la lista Tareas de la Consola de VirusScan, haga doble clic en Protección de acceso
para abrir el cuadro de diálogo Propiedades de protección de acceso.
2 Haga clic en la ficha Protección de acceso, anule la selección de Activar protección
de acceso y haga clic en Aceptar.
3 ¿El problema original del sistema se ha solucionado al desactivar la protección de acceso?
• No: probablemente, el problema del sistema no esté relacionado con VirusScan
Enterprise.
Desactivación de ScriptScan
Siga estos pasos para desactivar ScriptScan.
1 En la lista Tareas de la Consola de VirusScan, haga clic con el botón secundario en Análisis
en tiempo real para abrir el cuadro de diálogo Propiedades del análisis en tiempo real.
2 Haga clic en la ficha ScriptScan, anule la selección de Activar el análisis de secuencias
de comandos y, a continuación, haga clic en Aceptar.
3 ¿El problema original del sistema se ha solucionado al desactivar ScriptScan?
Enterprise.
Desactivación del análisis en tiempo real

Siga estos pasos para desactivar el análisis en tiempo real.
1 Desactive la protección de acceso. En la lista Tareas de la Consola de VirusScan, haga clic
con el botón derecho en Protección de acceso y seleccione Desactivar.
2 Cambie el tipo de inicio del applet McShield Services a Desactivado del modo siguiente:
• Haga clic en Inicio | Panel de control | Herramientas administrativas | Servicios
para abrir el applet de servicios.
• En Servicios (local), desplácese hacia abajo hasta McAfee McShield y haga clic con
el botón secundario en el nombre para abrir el cuadro de diálogo de propiedades de
McAfee McShield.
• Haga clic en la ficha General. A continuación, en la lista Tipo de inicio, haga clic en
Desactivado y luego en Aceptar.
3 En la lista Tarea de la Consola de VirusScan, haga clic con el botón secundario en
Analizador en tiempo real y, a continuación, haga clic en Desactivar en la lista que
aparece. El icono del analizador en tiempo real debería cambiar e incluir un círculo con una
barra para indicar que la función está desactivada.
4 ¿El problema original del sistema se ha solucionado al desactivar el análisis en tiempo real?

Apéndice
Desactivación del análisis en tiempo real y reinicio

Siga estos pasos para desactivar el análisis en tiempo real y reinicio.
NOTA: El proceso siguiente asume que no se ha reactivado el análisis en tiempo real tras haber
sido desactivado en la sección anterior.
1 Apague y reinicie el sistema por completo.
2 ¿El problema original del sistema se ha solucionado al desactivar el análisis en tiempo real
y luego reiniciar?
Impedimento para la carga de MFEVTP y reinicio

Siga estos pasos para impedir que McAfee Validation Trust Protection Service (MFEVTP) se
cargue y, a continuación, reinicie el sistema:
ATENCIÓN: Esta sección contiene información sobre la apertura o modificación del registro.
• La información siguiente va dirigida a administradores de sistemas. Las modificaciones del
registro son irreversibles y podrían provocar un fallo del sistema si se realizan de modo
incorrecto.
• Antes de continuar, McAfee recomienda encarecidamente realizar una copia de seguridad
del registro y conocer el proceso de restauración. Si desea obtener más información, consulte:
http://support.microsoft.com/kb/256986 .
• No ejecute un archivo .REG si no está seguro de que sea un archivo de importación de
registro genuino.
1 En la línea de comandos, escriba regedit para mostrar la interfaz de usuario del Editor del
Registro.
2 Desplácese hasta el siguiente Registro:
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp]
3 En el panel derecho, haga clic con el botón secundario en Inicio y, a continuación, haga
clic en Modificar para mostrar el cuadro de diálogo Editar valor DWORD.
4 Introduzca 4 en los datos del valor y haga clic en Aceptar.
5 ¿El problema original del sistema se ha solucionado al impedir que se cargue MFEVTP y
luego reiniciar?
Cambio de nombre del archivo mfehidk.sys y reinicio

Siga estos pasos para cambiar el nombre del archivo mfehidk.sys y reiniciar el sistema.
1 Desplácese al archivo mfehidk.sys. En función de su sistema operativo, se encontrará en
una de las carpetas siguientes:
• En sistemas operativos de 32 bits: %windir%\System32\drivers
• En sistemas operativos de 64 bits: %windir%\System64\drivers
2 Cambie el nombre de archivo mfehidk.sys a, por ejemplo, mfehidk.sys.saved.

Apéndice
3 Reinicie el sistema para detener y reiniciar VirusScan Enterprise sin cargar el archivo
mfehidk.sys.
4 ¿El problema original del sistema se ha solucionado al cambiar el nombre del archivo
mfehidk.sys y luego reiniciar?
Enterprise.
Eliminación del producto y reinicio

Siga estos pasos para eliminar por completo VirusScan Enterprise y reiniciar:
1 Elimine los archivos de programa de VirusScan Enterprise. Si desea obtener instrucciones
detalladas, consulte la Guía de instalación de McAfee VirusScan Enterprise 8.8.
2 Reinicie el sistema para detener y reiniciar el sistema operativo sin que esté instalado
VirusScan Enterprise.
3 ¿El problema original del sistema se ha solucionado al quitar los archivos de programa de
VirusScan Enterprise y luego reiniciar?
• Sí: probablemente, el problema del sistema estaba relacionado con VirusScan Enterprise.
• No: visite el ServicePortal de Soporte Técnico de McAfee en
http://mysupport.mcafee.com y busque la solución, o póngase en contacto con el
Soporte Técnico de McAfee.
Herramientas de soporte y solución de problemas recomendadas

Se recomienda a los administradores globales de VirusScan Enterprise instalar y configurar una
serie de herramientas que resultan útiles a la hora de solucionar problemas y evaluar la seguridad
y el rendimiento del sistema. Cuando se ponga en contacto con el Soporte Técnico de McAfee,
es posible que se le pida que ejecute algunas de estas herramientas durante la solución de
problemas de su configuración. Estas herramientas se pueden descargar en los sitios de Internet
enumerados en las tablas siguientes.
Herramientas de McAfee
La tabla siguiente incluye las herramientas de soporte y solución de problemas que se pueden
descargar de McAfee.
Herramienta Sitio de descarga
MERTool WebMER
ProcessCounts Ofrecido por el Soporte de McAfee
SuperDAT Manager Ofrecido por el Soporte de McAfee
McAfee Profiler Ofrecido por el Soporte de McAfee
Herramientas de otros distribuidores

La tabla siguiente incluye las herramientas de soporte y solución de problemas, los archivos
ejecutables y el sitio de descarga.

Apéndice
Herramienta Ejecutable Sitio de descarga
Driver Verifier Verifier Microsoft.com
Performance Monitor PerfMon Microsoft.com
Pool Monitor PoolMon Microsoft.com
Process Monitor ProcMon Microsoft.com
Process Explorer ProcExp Microsoft.com
Process Dump ProcDump Microsoft.com
Windows Object Viewer WinObj Microsoft.com
TCP Viewer TCPView Microsoft.com
Debug Output Viewer DebugView Microsoft.com
Windows Debugger WinDbg Microsoft.com
Kernel Rate Viewer KrView Microsoft.com
Windows Performance Analysis Tools Xperf Microsoft.com
VM Converter Varía Vmware.com
WireShark wireshark Wireshark.org
Preguntas más frecuentes

Esta sección contiene información para la solución de problemas, en forma de preguntas
frecuentes.
Instalación
• Pregunta: Acabo de instalar el software utilizando el método de instalación silenciosa y no
hay ningún icono de VirusScan Enterprise en la bandeja del sistema de Windows.
Respuesta: El icono con forma de escudo no aparece en la bandeja del sistema hasta que
éste se reinicia. No obstante, incluso aunque no haya un icono, VirusScan Enterprise está
funcionando y el sistema está protegido. Compruébelo en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\Program
Files\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE.
• Pregunta: ¿Por qué algunos usuarios de mi red pueden configurar sus propios ajustes y
otros no pueden?
Respuesta: Es posible que el administrador haya configurado la interfaz de usuario para
que las tareas estén protegidas mediante contraseña. Si es así, los usuarios no pueden
modificar la configuración. Además, diferentes sistemas operativos de Windows tienen
distintos privilegios de usuario. Para obtener más información acerca de los privilegios de
usuario, consulte la documentación de Microsoft Windows.
Programas bloqueados
• Pregunta: Instalé VirusScan Enterprise y ahora uno de mis programas no funciona.
Respuesta: Es posible que una regla de protección de acceso lo haya bloqueado.
1 Revise el archivo de registro de protección de acceso para determinar si el programa
está bloqueado por una regla.

Apéndice
2 Si encuentra el programa en la lista del registro, puede introducirlo como exclusión a

la regla, o desactivar la regla. Consulte Protección de los puntos de acceso del sistema
para obtener más información.
Detecciones de cookies
• Pregunta: Al revisar las detecciones de cookies en el registro de actividades del análisis
bajo demanda, observo que la detección de nombres de archivos es siempre 00000000.ie
para cada detección. ¿Por qué VirusScan Enterprise asigna el mismo nombre de archivo para
todas las detecciones de cookies del análisis bajo demanda, cuando otros programas asignan
un nombre de archivo individual o incremental para cada detección de cookies?
Respuesta: VirusScan Enterprise asigna el mismo nombre de archivo a cada detección de
cookies debido a la forma en que el analizador bajo demanda detecta las cookies y actúa
sobre ellas. Este comportamiento sólo se aplica a las cookies detectadas por los análisis bajo
demanda. Un archivo de cookies puede contener muchas cookies. El motor de análisis trata
un archivo de cookies igual que un archivo de almacenamiento y le asigna un valor como
desplazamiento, desde el inicio del archivo (comenzando por cero). Debido a que el analizador
utiliza el motor de análisis para detectar y realizar acciones sobre cada cookie detectada
antes de proceder a realizar el análisis, vuelve a empezar con el valor en cero para cada
detección. El resultado es que a cada detección se le asigna el nombre de archivo
00000000.ie. Otros productos detectan todas las cookies, le asignan a cada una un nombre
de archivo individual o incremental y, a continuación, llevan a cabo acciones sobre cada una
de las detecciones.
General
• Pregunta: En mi sistema VirusScan Enterprise independiente, el icono de sistema de la
bandeja del sistema aparece como desactivado.
Respuesta: Si hay un círculo rojo y una línea que cubre el icono de VirusScan Enterprise,
significa que el analizador en tiempo real está desactivado. Estas son las causas más comunes,
y sus soluciones. Si ninguna de ellas resuelve su problema, solicite asistencia técnica:
1 Asegúrese de que el analizador en tiempo real está activado. Haga clic con el botón
secundario en el icono de VirusScan Enterprise situado en la bandeja del sistema. Si el
analizador en tiempo real está desactivado, haga clic en Activar análisis en tiempo
real.
2 Asegúrese de que el servicio McShield funciona.
• Inicie el servicio manualmente desde el panel de control de servicios.
• Seleccione Inicio | Ejecutar y, a continuación, escriba Net Start McShield.
• Establezca que el servicio arranque automáticamente desde el panel de control de
servicios.
• Pregunta: Obtengo un error que indica que no puedo descargar CATALOG.Z.

Respuesta: Este error puede tener varios orígenes. A continuación detallamos unas cuantas
sugerencias para ayudar a determinar el origen del problema:
• Si utiliza el sitio de descargas predeterminado de McAfee para obtener las actualizaciones,
determine si puede descargar el archivo CATALOG.Z a través de un explorador Web.
Intente descargar el archivo de este sitio Web:
http://update.nai.com/Products/CommonUpdater/catalog.z.

Apéndice
• Si ve el archivo pero no puede descargarlo (en otras palabras, si su explorador no le

permite descargarlo), significa que tiene un problema con el proxy y que tiene que hablar
con el administrador de la red.
• Si puede descargarlo, VirusScan Enterprise debería poder descargarlo también. Póngase
en contacto con el soporte técnico para obtener asistencia a la hora de solucionar
problemas con la instalación de VirusScan Enterprise.
• Pregunta: ¿Cuál es la ubicación del sitio de descargas HTTP?
Respuesta:
• El sitio de descargas de McAfee se encuentra en: http://www.mcafee.com/us/downloads/.
• El archivo CATALOG.Z, que contiene las últimas actualizaciones, se puede descargar
desde este sitio Web: http://update.nai.com/Products/CommonUpdater/catalog.z.
• Pregunta: ¿Cuál es la ubicación del sitio de descargas FTP?
Respuesta:
• El sitio de descargas de FTP se encuentra en:
ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x.
• El archivo CATALOG.Z, que contiene las últimas actualizaciones, se puede descargar
desde este sitio: ftp://ftp.mcafee.com/CommonUpdater/catalog.z.
• Pregunta: Si detecto un programa potencialmente no deseado y he elegido consultar al
usuario antes de actuar, ¿qué acción debería elegir (Limpiar o Eliminar)?
Respuesta: Nuestra recomendación general es elegir Limpiar si no está seguro de qué
hacer con un archivo detectado. Los analizadores en tiempo real y bajo demanda realizan
automáticamente una copia de seguridad de los elementos en el directorio de cuarentena
antes de limpiarlos o eliminarlos.

Índice
amenazas (continuación)
detecciones en tiempo real y acciones 79
A elementos en cuarentena 82
AccessProtectionLog.txt, registro de actividad 92 estrategia de prevención 11
acciones, VirusScan Enterprise infracciones de acceso 80
análisis bajo demanda 72, 82 programas no deseados 81
análisis de correo electrónico 82 responder a 88, 92
análisis en tiempo real 79, 81 análisis
detecciones de desbordamiento del búfer 80 agregación y exclusión de elementos de análisis 53
elementos en cuarentena 82 análisis de correo electrónico (Consulte análisis de correo
infracciones de acceso 26 electrónico) 76
programas no deseados 81 bajo demanda (Consulte análisis bajo demanda) 68, 69
protección de acceso 80 en tiempo real (Consulte análisis en tiempo real) 56
respuesta a una amenaza 88, 92 exclusiones, especificación 53
actualización del análisis registros de actividades 81
estrategias 47 utilización de comodines para especificar elementos de análisis
actualización del motor 53
AutoUpdate, descripción general del proceso 48 análisis bajo demanda
estrategias 47 opciones de la línea de comandos 99
importancia 47 análisis de almacenamiento remoto 69
actualización, VirusScan Enterprise aplazamiento de análisis 70
AutoUpdate 48 configuración con ePolicy Orchestrator 4.0 71
descripción general del proceso 48 configuración con ePolicy Orchestrator 4.5 o 4.6 71
estrategias 47 configuración con la Consola de VirusScan 72
requisitos 47 configuración de tareas 72
sitios de actualización 48 descripción general 68
tarea de actualización 47 detecciones y acciones 82
tareas 47 exclusiones 72
adware (Consulte programas no deseados) 41 incremental, reanudable, en memoria 69
ajuste, VirusScan Enterprise métodos 69
elementos para analizar, agregación y exclusión 53 utilización del sistema 70
Alert Manager análisis de almacenamiento remoto, descripción general 69
configuración de alertas 85 análisis de correo electrónico
eventos 26 configuración 76
infracciones de acceso 26 detecciones y acciones 82
alerta de Mensajes de análisis en tiempo real 56 programas no deseados, activación con la Consola de VirusScan
alertas, VirusScan Enterprise 45
análisis bajo demanda 72 programas no deseados, activación mediante ePolicy Orchestrator
análisis de correo electrónico 76 4.0 45
análisis en tiempo real 56 programas no deseados, activación mediante ePolicy Orchestrator
configuración 85 4.5 o 4.6 44
descripción general 85 programas no deseados, descripción general 44
amenaza análisis de correo electrónico durante la recepción
análisis de ePolicy Orchestrator 4.0 95 alertas y notificaciones 85
análisis de ePolicy Orchestrator 4.5 y 4.6 95 análisis de secuencias de comandos (Consulte análisis en tiempo real)
análisis de la Consola de VirusScan 96 58
amenazas análisis en tiempo real
envío de muestras 103 archivo de registro de actividades 105
acceso a la Biblioteca de amenazas 104 configuración con ePolicy Orchestrator 4.0 64
análisis bajo demanda 82 configuración con ePolicy Orchestrator 4.5 y 4.6 63
análisis de correo electrónico 82 configuración con la Consola de VirusScan 65
análisis en tiempo real 81 desactivación durante la solución de problemas 107
análisis, descripción general 94 análisis de secuencias de comandos 58
análisis, ejemplos 94 configuración de procesos 63
cómo detener 21 configuración general y de proceso 59
desbordamiento del búfer 80 decidir sobre la cantidad de directivas de análisis 59

Índice
análisis en tiempo real (continuación) barra de herramientas, Consola de VirusScan 13

descripción general 56 barra de menús, Consola de VirusScan 13
detecciones y acciones 79, 81 BufferOverflowProtectionLog.txt, registro de actividad 92
directivas de análisis 59
leer en el disco frente a escribir en el disco 57, 58
programas no deseados, activación con la Consola de VirusScan
C
45 caché
programas no deseados, activación mediante ePolicy Orchestrator configuración con ePolicy Orchestrator 4.0 74
4.0 45 configuración con ePolicy Orchestrator 4.5 o 4.6 74
programas no deseados, activación mediante ePolicy Orchestrator configuración con la Consola de VirusScan 75
4.5 o 4.6 44 descripción general 73
programas no deseados, descripción general 44 caché de análisis
analizador bajo demanda configuración con ePolicy Orchestrator 4.0 74
programas no deseados, configuración (Véase Configuración de configuración con ePolicy Orchestrator 4.5 o 4.6 74
tareas de análisis bajo demanda) 41 configuración con la Consola de VirusScan 75
ancho de banda y estrategias de actualización 47 descripción general 73
aplazamiento de análisis, descripción general 70 caché, configuración 73
archivo CATALOG.Z claves del registro
solución de problemas 111 opciones 34
actualización codificada 48 restringir acceso 27
archivo mfehidk.sys, cambio de nombre durante la solución de comodines, utilización en elementos de análisis 53
problemas 107 componentes
archivos DAT Consola de VirusScan 13
análisis de secuencias de comandos y 58 de VirusScan Enterprise 10
archivos EXTRA.DAT, actualización 48 ilustración 10
definiciones de detección 46 configuración de procesos
descripción general 46 análisis en tiempo real 63
descripción general de componentes de VirusScan Enterprise 10 configuración, VirusScan Enterprise
detecciones y acciones definidas 79 general y de proceso, definida 59
estrategias de actualización 47 general, configuración con ePolicy Orchestrator 4.0 61
importancia de actualizar 47 general, configuración con ePolicy Orchestrator 4.5 o 4.6 60
planificación de despliegues 47 general, configuración con la Consola de VirusScan 62
reversión, configuración 52 Consola de VirusScan
reversión, descripción general 52 análisis de amenazas 96
tareas de actualización, acerca de 48 descripción general 13
archivos DAT de emergencia funciones del botón secundario 14
descripción general 89 consola remota
archivos de registro, VirusScan Enterprise descripción general 102
análisis bajo demanda y 72 acceso a sistemas remotos 103
análisis de correo electrónico y 76 consultas, VirusScan Enterprise
infracciones de acceso 26 acceso desde la barra de navegación ePolicy Orchestrator, informes
ver registros de actividad, VirusScan Enterprise 92 88
archivos EXTRA.DAT (Véase archivos DAT de emergencia) 89 predefinidos, lista de 88
archivos EXTRA.DAT (Véase DAT de emergencia) 48 supervisión de la actividad 88, 92
archivos y carpetas contraseñas
opciones de bloqueo 34 control del acceso a la interfaz de VSE 22
restringir acceso 27 Directiva sobre las opciones de la interfaz de usuario 23
Artemis protección de archivos de la libreta de direcciones 25
búsqueda de archivos sospechosos en la red heurística 10 convenciones empleadas en esta guía 6
descripción general 58 cuarentenas, VirusScan Enterprise
descripción general de componentes de VirusScan Enterprise 10 configuración con ePolicy Orchestrator 4.0 84
AutoUpdate configuración con ePolicy Orchestrator 4.5 o 4.6 83
configuración 49 configuración con la Consola de VirusScan 84
descripción general del proceso 48 descripción general 82
estrategias para las actualizaciones de VSE 47 directiva de cuarentena 83
lista de repositorios 51 cuentas de usuario, control de acceso a la interfaz de VirusScan
repositorios, conectarse a 48 Enterprise 22
requisitos 47
D
B despliegue
bandeja del sistema planificación de las tareas de actualización de VSE 47
funciones del botón secundario 14 requisitos para actualizar 47
iconos 15 destinatarios de esta guía 6
opciones del menú 15 detecciones
barra de estado, Consola de VirusScan 13 acciones como respuesta a 79
análisis bajo demanda 72, 82

Índice
detecciones (continuación) ficha Acciones, VirusScan Enterprise (continuación)

análisis de correo electrónico 76, 82 análisis bajo demanda 72
análisis en tiempo real 81 análisis de correo electrónico durante la recepción 76, 78
desbordamiento del búfer 80 ficha Alertas, VirusScan Enterprise
protección de acceso 80 análisis de correo electrónico durante la recepción 76, 78
responder a 88, 92 ficha Bloqueo, VirusScan Enterprise
detecciones de amenazas (Consulte amenazas) 76 análisis en tiempo real 60
directiva de programas no deseados ficha Configuración de Notes Scanner, VirusScan Enterprise
exclusiones 42 análisis de correo electrónico durante la recepción 76, 78
directivas, VirusScan Enterprise ficha Configuración del proxy, VirusScan Enterprise 51
análisis de correo electrónico 76 ficha Duplicación, VirusScan Enterprise 50
análisis en tiempo real 59 ficha Elementos de análisis, VirusScan Enterprise
directivas de alerta 85 análisis en tiempo real 57, 63, 65
directivas del análisis del correo electrónico durante la recepción análisis bajo demanda 72
76 análisis de correo electrónico durante la recepción 76, 78
opciones generales 23 análisis en tiempo real 57, 63, 65
programas no deseados 41, 81 configurción de una directiva de programas no deseados con
documentación ePolicy Orchestrator 4.0 42
organización 7 configurción de una directiva de programas no deseados con
convenciones tipográficas 6 ePolicy Orchestrator 4.5 o 4.6 42
documentación de productos, búsqueda 8 configurción de una directiva de programas no deseados con la
Consola de VirusScan 43
directiva de programas no deseados 42
E ficha Exclusiones, VirusScan Enterprise
en unidades de red análisis en tiempo real 63, 65
configuración con ePolicy Orchestrator 4.0 67 análisis bajo demanda 72
configuración con ePolicy Orchestrator 4.5 y 4.6 66 ficha General, VirusScan Enterprise
configuración con la Consola de VirusScan 68 análisis en tiempo real 60
ePolicy Orchestrator ficha Informes, VirusScan Enterprise
recuperación de archivos DAT 46 análisis en tiempo real 60
versiones compatibles 9 análisis bajo demanda 72
componente de VirusScan Enterprise 10 análisis de correo electrónico durante la recepción 76, 78
tareas de servidor, configuración de ejemplo 98 Estadísticas del análisis en tiempo real 96
tareas de servidor, descripción general 97 ficha Mensajes, VirusScan Enterprise
ePolicy Orchestrator 4.0 análisis en tiempo real 60
acceso a consultas y paneles 88 ficha Planificación, VirusScan Enterprise 54
configuración de la tarea de AutoUpdate 49 ficha Procesos, VirusScan Enterprise
configuración de la tarea de duplicación 50 análisis en tiempo real 63, 65
configuración de tareas de análisis bajo demanda 71 ficha Rendimiento, VirusScan Enterprise
ejemplo de análisis de protección de amenazas 95 análisis bajo demanda 72
ePolicy Orchestrator 4.5 y 4.6 ficha Repositorios, VirusScan Enterprise 51
acceso a consultas y paneles 88 ficha ScriptScan, VirusScan Enterprise
configuración de la tarea de AutoUpdate 49 análisis en tiempo real 60
configuración de la tarea de duplicación 50 ficha Tarea, VirusScan Enterprise
configuración de tareas de análisis bajo demanda 71 planificar tareas 54
ejemplo de análisis de protección de amenazas 95 programación de análisis bajo demanda 72
eventos,VirusScan Enterprise ficha Ubicaciones de análisis, VirusScan Enterprise 72
Alert Manager 26 función Abrir consola remota, VirusScan Enterprise
infracciones de acceso 26 acceso a sistemas remotos 103
exclusiones descripción general 102
análisis bajo demanda 72
elementos para excluir 53
identificación de procesos para 80 H
programas no deseados 42 heurística para buscar archivos sospechosos (Véase Artemis) 58
utilización de comodines para especificar elementos de análisis
53
Explorador de Windows
I
funciones del botón secundario 14 icono de la bandeja del sistema
extensiones de tipo de archivo configuración del acceso a la interfaz de VirusScan Enterprise 23
elementos para excluir 53 infracciones de acceso y 26
iconos, bandeja del sistema 15
informes
F acceso a las consultas 88
falsos positivos actividad de análisis bajo demanda 72
creación de exclusiones para reducir 80 análisis de amenazas 94
ficha Acciones, VirusScan Enterprise configuración de registro de VirusScan Enterprise 76
análisis en tiempo real 63, 65

Índice
K planificación de tareas
KnowledgeBase, Technical Support ServicePortal 8 configuración 54
intervalo bajo demanda recomendado 54
prácticas recomendadas
L eliminar los archivos EXTRA.DAT de repositorios 48
línea de comandos estrategias para las actualizaciones de VSE 47
opciones de análisis bajo demanda 99 preguntas más frecuentes 111
opciones de la tarea de actualización 101 procesos
uso para configuración del producto 99 inclusión y exclusión 35
lista de repositorios procesos de alto riesgo
configuración 51 configuración 59
AutoUpdate 51 configuración de VirusScan Enterprise 59
lista de tareas, Consola de VirusScan 13 procesos de bajo riesgo
configuración 59
configuración de VirusScan Enterprise 59
M
procesos, VirusScan Enterprise
marcadores (Consulte programas no deseados) 41
análisis de proceso en memoria 69
McAfee Agent
análisis de secuencias de comandos 58
descripción general de componentes de VirusScan Enterprise 10
análisis incremental o reanudable 69
iconos y versión 15
predeterminados, configuración 59
McAfee Labs
riesgo bajo y riesgo alto 59
enviar una muestra 81
programas no deseados
envío de muestras 103
acciones y análisis bajo demanda 72
acceso 13
análisis bajo demanda 69
acceso a la Biblioteca de amenazas 104
análisis de correo electrónico, acciones 76
Artemis envía una huella digital a 58
configuración de la directiva para 41
descripción general 41
McAfee Minimum Escalation Requirements Tool (MERTool) 106
detecciones y acciones 81
McAfee ServicePortal, acceso 8
programas potencialmente no deseados (Consulte programas no
MERTool (consulte McAfee Minimum Escalation Requirements Tool
deseados) 41
(MERTool)) 106
Programas potencialmente no deseados (PUP) (Consulte programas
MFEVTP (Consulte el servicio McAfee Validation Trust Protection) 107
no deseados) 41
MirrorLog.txt, registro de actividad 92
protección contra desbordamiento del búfer
motor de análisis
desactivación durante la solución de problemas 107
alertas y notificaciones 85
importancia de actualizar 47
bloqueo de vulnerabilidades 37
msiexec.exe, comando de instalación de comandos 104
detecciones y acciones 80
vulnerabilidades, descripción general 37
N protección de acceso
notificaciones, VirusScan Enterprise desactivación durante la solución de problemas 107
configuración 85 descripción general 20, 25
descripción general 85 detecciones y acciones 80
directivas, descripción general 27
ejemplo de amenaza 21
O ejemplo de informe de registro 21
Oficinas centrales de McAfee, componente de VirusScan Enterprise 10 eliminación de reglas que no se utilizan 35, 36, 37
OnAccessScanLog.txt, registro de actividad 92 exclusión de procesos 35
OnDemandScanLog.txt, registro de actividad 92 infracciones de acceso 26
opción Aplazar como máximo, VirusScan Enterprise 70 introducción 25
opción Configuración de análisis global, VirusScan Enterprise 73 protección de máquina virtual 25
opción de utilización del sistema, descripción general 70 protección estándar y máxima 25
opción En unidades de red, VirusScan Enterprise 57 protocolos, restricción 27
opción Tipos de archivos predeterminados y adicionales, VirusScan reglas comunes 25
Enterprise 58 reglas comunes y antivirus 28
opción Todos los archivos, VirusScan Enterprise 58 reglas de bloqueo de archivos y carpetas 34
reglas de bloqueo de puertos 33
reglas de bloqueo de registros 34
P
reglas definidas por el usuario 25, 27, 30, 31, 32
paneles
reglas preconfiguradas 25
predefinidos, acceso 88
tipos de reglas 25
supervisión de la actividad 88, 92
puertos
paquetes SuperDAT
bloqueo del tráfico de red en 25, 27
descarga 90
protección de acceso, opciones 33
instalación en un repositorio de ePolicy Orchestrator 90
planificación
tareas 54

Índice
R spyware (Consulte programas no deseados) 41

registros de actividad, VirusScan Enterprise supervisión, VirusScan Enterprise
análisis bajo demanda y 72, 82 descripción general 92
análisis de correo electrónico y 76, 82 herramientas 92
infracciones de acceso 26
programas no deseados 81 T
revisión 81
tarea
uso 92
AutoUpdate 49
visualización 105
actualización 48
reglas antispyware
duplicación 49
configuración de la protección de acceso 28
planificación 54
reglas antivirus
tarea de actualización, opciones de línea de comandos 101
tarea de duplicación
protección de acceso preconfigurado 25
configuración 50
reglas comunes
tareas de servidor
protección de acceso, configuración 28
ePolicy Orchestrator, descripción general 97
protección estándar y máxima 25
ePolicy Orchestrator, configuración de ejemplo 98
reglas de protección común
Technical Support ServicePortal
en McAfee 8
reglas de protección de máquina virtual
solución de problemas 107
uso de MERTool 106
reglas definidas por el usuario
protección de acceso 30, 31, 32 U
tipos 27 unidades de red
reglas definidas por el usuario, protección de acceso 25 configuración con ePolicy Orchestrator 4.0 67
reglas, VirusScan Enterprise configuración con ePolicy Orchestrator 4.5 y 4.6 66
protección de acceso 25 configuración con la Consola de VirusScan 68
antivirus 28 configuración, descripción general 66
bloqueo de archivos y carpetas 34 UpdateLog.txt, registro de actividad 92
bloqueo de puertos 33
definidas por el usuario, tipos de 27
eliminación de no utilizadas 35, 36, 37 V
opciones de bloqueo de registro 34 VirusScan Enterprise
repositorio DAT eliminación durante la solución de problemas 107
descripción general de componentes de VirusScan Enterprise 10 reparación de la instalación 104
repositorios actualización 47, 48
AutoUpdate, conectarse a 48 actualización, requisitos 47
central, utilización para las actualizaciones de VSE 47 análisis bajo demanda 68, 69
eliminar los archivos EXTRA.DAT de 48 análisis de correo electrónico 76
reversión de archivos DAT, VirusScan Enterprise 52 análisis en tiempo real 56, 81
configuración general, configuración con ePolicy Orchestrator 4.0
61
S configuración general, configuración con ePolicy Orchestrator 4.5
scriptscan, desactivación durante la solución de problemas 107 o 4.6 60
SDAT (Véase paquetes SuperDAT) 89 configuración general, configuración con la Consola de VirusScan
seguridad de la interfaz de usuario 62
configuración 23 configuración general, parámetros 60
contraseñas y 22 configuración inicial 18
ServicePortal, búsqueda de documentación del producto 8 descripción general del producto 9
Servicio McAfee Validation Trust Protection, desactivación durante la directiva de programas no deseados 41
solución de problemas 107 elementos para excluir, agregación y exclusión 53
SETUPVSE.exe, comando de instalación de comandos 104 eliminación de reglas que no se utilizan 35, 36, 37
sistema cliente, componente de VirusScan Enterprise 10 notificaciones y alertas 85
SITELIST.XML (Véase lista de repositorios) 51 protección de acceso 25, 26
sitio Web WebImmune 103 seguridad de la interfaz de usuario 22
solución de problemas, VirusScan Enterprise
apéndice 104
desactivación de componentes 107 W
herramientas recomendadas 110 Windows
protección de archivos, exclusiones 53

Vse 880 Product Guide Es-Es PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Vse 880 Product Guide Es-Es PDF

Cargado por

Copyright:

Formatos disponibles

Software de McAfee VirusScan Enterprise 8.

2 Guía del producto de McAfee VirusScan Enterprise 8.8

Organización de esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Búsqueda de documentación del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

La importancia de crear una estrategia de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Descripción y acceso a la Consola de VirusScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Consola de VirusScan y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Uso de las funciones del botón secundario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Funcionamiento de los iconos de la bandeja del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Parte I — Prevención: evitar las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Cómo se detienen las amenazas de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Control del acceso a la interfaz de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Protección de los puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Definición de las reglas de protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Infracciones de punto de acceso y cómo responde ante ellas VirusScan Enterprise. . . . . . . . . . . . . 26

Tipos de reglas definidas por el usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Configuración de la protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Bloqueo de vulnerabilidades de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Vulnerabilidades de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Configuración de la protección de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Restricción de programas potencialmente no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Configuración de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Actualización de definiciones de detección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Archivos DAT y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Importancia de tener una estrategia de actualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Guía del producto de McAfee VirusScan Enterprise 8.8 3

Tareas de actualización y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Tareas de duplicación y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Funcionamiento del repositorio de AutoUpdate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Funcionamiento de la reversión de archivos DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Exclusión de elementos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Utilización de comodines para especificar elementos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Uso de tareas programadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Configuración de la planificación de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Parte II — Detección: descubrir las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Análisis en tiempo real y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Comparación de análisis: escribir en disco frente a leer en el disco. . . . . . . . . . . . . . . . . . . . . . . . . . 57

Comparación de análisis: analizar todos los archivos frente a analizar tipos de

Análisis de secuencias de comandos y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Determinación del número de directivas de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Configuración de la configuración general y de proceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Análisis de elementos bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Análisis bajo demanda y su funcionamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Métodos de análisis bajo demanda y su definición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Funcionamiento del análisis de almacenamiento remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Funcionamiento del aplazamiento de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Funcionamiento de la utilización del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Configuración de tareas de análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Configuración de caché global para sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Análisis de correo electrónico bajo demanda y durante la recepción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

ePolicy Orchestrator 4.5 o 4.6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Definiciones de la ficha de directivas de análisis de correo electrónico durante la recepción. . . . . . 78

Parte III — Respuesta: gestión de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Qué sucede cuando se produce una detección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Infracciones de puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4 Guía del producto de McAfee VirusScan Enterprise 8.8

Detecciones de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Detecciones de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Detecciones de análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Detecciones de análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Detecciones de análisis de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Configuración de alertas y notificaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85