Guia de Modulo de Producto Prevencion de Amenazas de Mcafee Endpoint Security 10.5.0 (Mcafee Epolicy Orchestrat 4-3-2020 PDF

Guía de módulo de producto
Prevención de amenazas de McAfee

Endpoint Security 10.5.0 (McAfee
ePolicy Orchestrator) - Windows
Contenido
Introducción 4
Interacción entre componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Uso de funciones de Prevención de amenazas para proteger el sistema. . . . . . . . . . . . . . . . 6
Funciones de McAfee ePO aprovechadas por Prevención de amenazas. . . . . . . . . . . . . . . . . 7
Uso de los conjuntos de permisos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Tareas cliente y Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Primeros pasos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Configuración de Prevención de amenazas 10

Uso de directivas en McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Configuración de exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Caracteres comodín en exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Protección de los puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Cómo obtienen acceso las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Cómo la Protección de acceso detiene amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Configuración de reglas de Protección de acceso definidas por McAfee. . . . . . . . . . 14
Configuración de las reglas de Protección de acceso definidas por el usuario. . . . . 18
Excluir procesos de Protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Bloqueo de vulnerabilidades de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cómo se producen los exploits de desbordamiento del búfer. . . . . . . . . . . . . . . . . . 20
Las firmas y cómo funcionan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Las reglas de protección de aplicaciones y su funcionamiento. . . . . . . . . . . . . . . . . . 21
Configuración de las opciones de Prevención de exploits. . . . . . . . . . . . . . . . . . . . . . 22
Exclusión de procesos de Prevención de exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Exclusiones de Prevención de exploits y cómo funcionan. . . . . . . . . . . . . . . . . . . . . . 23
Detección de programas potencialmente no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Especificar programas potencialmente no deseados a detectar. . . . . . . . . . . . . . . . 24
Activar y configurar la detección de programas potencialmente no deseados y
respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Análisis de los equipos cliente en busca de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tipos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Cómo funciona McAfee GTI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configurar parámetros de análisis de ajustes generales. . . . . . . . . . . . . . . . . . . . . . . 26
Análisis de archivos en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Análisis de archivos bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Gestionar Prevención de amenazas 38

Administrar AMCore content en el cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Eliminación de AMCore Content del cliente mediante McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Cambio de la versión de AMCore content en un sistema cliente independiente. . . . . . . . . . . . . . . . . 38
Utilice archivos Extra.DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Acerca de archivos Extra.DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Descargar archivos Extra.DAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Despliegue de un archivo Extra.DAT en los sistemas cliente desde McAfee ePO. . . . . . . . . . . . . . . . . 39
Cargue un archivo Extra.DAT en un sistema cliente independiente. . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Respuesta a detecciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Infracciones de puntos de acceso del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Detecciones de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Detecciones de programas no deseados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Detecciones del análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Detecciones de análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Elementos en cuarentena. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configurar parámetros de Quarantine Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Administrar elementos en cuarentena. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Eventos, respuestas y Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Análisis de su protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Supervisión de la actividad en el entorno 47

Supervisión de la actividad con McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Rastreo de la actividad de Prevención de amenazas con paneles y monitores. . . . . . . . . . . . . . . . . . 47
Supervisión de Prevención de amenazas con consultas e informes. . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Automatización de acciones de Prevención de amenazas con tareas de servidor. . . . . . . . . . . . . . . . 50
Supervisión de la actividad con Cliente de Endpoint Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Visualización del Registro de eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Nombres y ubicaciones de los archivos de registro de Prevención de amenazas. . . . . . . . . . . . . . . . 52
Solución de problemas 54
Herramientas para la solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Uso de la herramienta MER para solucionar problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Desactivar Prevención de amenazas para solucionar problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Desactivar Prevención de vulnerabilidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Desactivar la protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Desactivar ScriptScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Desactivar análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Quite el módulo Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Preguntas más frecuentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Guía de módulo de producto Prevención de amenazas de McAfee Endpoint Security 10.5.0 (McAfee ePolicy Orchestrator) -
3
Windows
Introducción
Una vez que se ha instalado, la Prevención de amenazas comienza inmediatamente a proteger el sistema contra amenazas.
Este software ofrece una protección escalable y fácil de usar, además de un rendimiento rápido para proteger su entorno de lo
siguiente:
• Virus, gusanos y troyanos
• Infracciones de puntos de acceso
• Exploits de desbordamiento del búfer
• Código y programas potencialmente no deseados
Las actualizaciones del contenido de seguridad se envían automáticamente a vulnerabilidades específicas y bloquean las
amenazas emergentes para que no se ejecuten.
La Prevención de amenazas detecta amenazas según archivos de contenido de seguridad y luego actúa según los parámetros
que se hayan configurado.
Puede configurar el software como un producto independiente en el sistema cliente. O puede usar el software McAfee ePO para
gestionar e implementar las directivas y, a continuación, utilizar consultas y paneles para rastrear la actividad y las detecciones.
Nota: Para obtener información sobre McAfee ePO, consulte la documentación del producto.
4
Windows
Interacción entre componentes
Como administrador y usuario, usted debe conocer los componentes y cómo interactúan entre ellos. La imagen siguiente
muestra estos componentes en un entorno básico.
Componentes de Prevención de amenazas
Sistema cliente
Prevención de amenazas, Cliente de Endpoint Security y McAfee Agent se instalan en el sistema cliente.
• Archivos de contenido (incluyen AMCore Content, también llamado firmas de malware y el contenido de Prevención de
exploit): funcionan conjuntamente con el motor de análisis para identificar y hacer frente a las amenazas.
• Motor de análisis: analiza los archivos, las carpetas y los discos del equipo cliente, y compara el resultado con la información
sobre virus conocidos en los archivos de contenido.
Nota: Los archivos de contenido y el motor se actualizan según sea necesario mediante descargas de McAfee o de un servidor
designado en la intranet de la empresa.
• McAfee® Global Threat Intelligence™ (McAfee GTI) (comprobación heurística de archivos sospechosos en la red): busca
programas sospechosos y DLL que se ejecutan en sistemas cliente protegidos por Prevención de amenazas. Cuando se
produce una detección, el software envía una solicitud que contiene una huella digital del archivo sospechoso a un servidor de
bases de datos central alojado por McAfee Labs.
• McAfee Agent : proporciona comunicación segura entre los productos gestionados y el servidor de McAfee ePO. El agente
también proporciona servicios locales como actualización, registro, propiedades y eventos de informes, programación de
tareas, comunicación y almacenamiento de directivas.
McAfee
McAfee, donde se encuentran McAfee Labs y el soporte de McAfee, proporciona los siguientes servicios:
• Actualizaciones de contenido: copiadas de un servidor de bases de datos central de McAfee (mediante la tarea cliente
Actualización de producto) a los clientes o repositorios de contenido opcionales de Prevención de amenazas. Los archivos de
actualización de contenido proporcionan protección contra vulnerabilidades específicas y bloquean las amenazas emergentes
(incluidos ataques de desbordamiento del búfer) para que no se ejecuten.
• Actualizaciones de motor: se almacenan en un servidor central de bases de datos; Prevención de amenazas descarga
actualizaciones de motor según sea necesario, para mantener al día el motor.
• McAfee Labs (biblioteca de amenazas): almacena información detallada sobre malware y programas potencialmente no
deseados, incluida la forma de controlarlos. La función McAfee GTI envía la huella digital de cada archivo sospechoso a McAfee
Labs para su análisis y respuesta.
Servidor
El servidor opcional utiliza los componentes siguientes para gestionar y actualizar de forma remota los sistemas cliente:
• McAfee ePO : administra e implementa las directivas de Prevención de amenazas de forma centralizada, además de
proporcionar consultas y paneles para rastrear la actividad y las detecciones.
5
Windows
• Repositorio de contenido: recupera las actualizaciones de contenido desde el sitio de descargas de McAfee. Desde el
repositorio se pueden copiar automáticamente archivos de contenido a otros equipos en la organización. El uso de un
repositorio de contenido minimiza el ancho de banda.
Uso de funciones de Prevención de amenazas para proteger el sistema

La protección de los sistemas cliente frente a virus, gusanos y troyanos requiere la definición de directivas de prevención y
detección de amenazas, la respuesta ante esas amenazas y análisis/ajustes continuados.
Prevención: elusión de amenazas

Configure estas funciones para detener las intrusiones antes de que obtengan acceso a su entorno:
• Seguridad de interfaz de usuario: controle el acceso a Cliente de Endpoint Security mediante la configuración de directivas
en el módulo Ajustes generales.
• Protección de acceso: restrinja el acceso a determinados archivos, recursos compartidos, valores y claves de Registro,
procesos y servicios para impedir los cambios no deseados en los sistemas cliente.
• Prevención de exploit: impida que amenazas o programas maliciosos desborden el límite del búfer y sobrescriban memoria
adyacente, así como la posibilidad de que ejecuten código arbitrario en sistemas cliente.
• Opciones: active Prevención de amenazas y configure las opciones que se aplican a todos los análisis, incluidas las siguientes.
◦ Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente
◦ Nombres de detecciones que excluir de los análisis
◦ Programas potencialmente no deseados que detectar, como spyware y adware
• Tareas cliente de Actualización del producto: Actualice automáticamente el motor y los archivos de contenido desde el sitio web
de descargas de McAfee.
Detección: localización de amenazas

Use estas funciones para detectar amenazas cuando se produzcan:
• Análisis en tiempo real: se realiza un análisis en busca de amenazas cuando los archivos se leen o se escriben en el disco.
• Tareas cliente Análisis bajo demanda personalizado: Ejecute análisis inmediatos y planificados, incluida la búsqueda de entradas de
Registro relacionadas con spyware que no se limpiaron anteriormente.
• Tareas cliente Análisis bajo demanda basado en directiva: ejecute un Análisis rápido o un Análisis completo en Cliente de Endpoint Security
desde McAfee ePO. Ejecute un Análisis con el botón derecho del ratón en los archivos y las carpetas del cliente.
Configure el comportamiento de estos análisis en la configuración de directiva de Análisis bajo demanda.
Respuesta: control de amenazas

Utilice archivos de registro del producto, acciones automáticas y otras funciones de notificación para determinar la mejor forma
de administrar las detecciones.
• Acciones: configure las acciones que realizar cuando se produzcan detecciones.
• Alertas: especifique cómo Prevención de amenazas notifica cuando se producen detecciones, incluidas las opciones de alertas
y el filtrado de alertas por gravedad para limitar su tráfico.
• Archivos Extra.DAT: descargue e instale archivos Extra.DAT para proporcionar protección frente a un brote de virus
importante.
Ajuste: supervisión, análisis y ajuste preciso de la protección

Supervise y analice la configuración para mejorar el rendimiento del sistema y de la red, y aumente el nivel de protección
antivirus, si procede. Use las herramientas y funciones siguientes:
• Consultas y paneles (McAfee ePO): supervise la actividad de análisis y las detecciones.
• Archivos de registro (Cliente de Endpoint Security): consulte un historial de elementos detectados. El análisis de esta
información advierte sobre la necesidad de aumentar la protección o cambiar la configuración a fin de mejorar el rendimiento
del sistema.
• Tareas programadas: modifique las tareas cliente (como Actualización de producto) y los tiempos de análisis para así mejorar el
rendimiento ejecutándolas en horarios de poca actividad.
• Repositorios de contenido: reduzca el tráfico de red que soportan las redes intranet o Internet de la empresa trasladando el
repositorio de archivos de contenido a una ubicación más próxima a los clientes.
6
Windows
• Directivas de análisis: analice archivos de registro o consultas y modifique directivas para aumentar el rendimiento o la
protección antivirus, si es preciso. Por ejemplo, puede mejorar el rendimiento configurando exclusiones, análisis de procesos
de riesgo alto y bajo, y desactivando el análisis al escribir.
Funciones de McAfee ePO aprovechadas por Prevención de amenazas

Prevención de amenazas aprovecha estas funciones en el entorno de McAfee ePO.
función de McAfee ePO Prevención de amenazas...
Respuestas automáticas Agrega eventos de Prevención de amenazas para los que se pueden configurar respuestas
automáticas.
Tareas cliente Agrega tareas cliente predefinidas al Catálogo de tareas cliente que puede usar para automatizar la
administración y el mantenimiento en los sistemas cliente.
Paneles y monitores Agrega paneles y monitores predefinidos que puede usar para rastrear las actividades de su
entorno.
Conjuntos de permisos Agrega el grupo de permisos de Prevención de amenazas a cada conjunto de permisos.
Directivas Agrega directivas predefinidas al Catálogo de directivas.
Consultas e informes Agrega:

• Consultas predefinidas a la lista Consulta.
Los nombres de consultas incluyen el nombre de módulo para facilitar el filtrado.
• Tipos de resultado y Propiedades para crear y restringir el alcance de las consultas personalizadas.
Tareas de servidor Aprovecha tareas de servidor de McAfee ePO de la lista Tareas de servidor en Automatización.
Registro de eventos de Agrega eventos de Prevención de amenazas que se pueden filtrar y ver.
amenazas
Uso de los conjuntos de permisos

A conjunto de permisos especifica todos los permisos que se aplican a un solo objeto y controla el nivel de acceso a las
funciones por el usuario.
Prevención de amenazas agrega el grupo de permisos de Endpoint Security Threat Prevention a cada conjunto de permisos.
Los grupos de permisos definen los derechos de acceso a las funciones. McAfee ePO otorga a los administradores globales todos
los permisos para todos los productos y las funciones. Los administradores asignan entonces funciones de usuario a conjuntos
de permisos existentes, o crean otros.
Tabla 1: Permisos requeridos por función
Función Permisos requeridos
Respuestas automáticas Respuestas automática, Notificaciones de eventos y permisos específicos según la función utilizada
(como Árbol de sistemas o consultas).
Tareas cliente Tareas de Prevención de amenazas de Endpoint Security
Paneles y monitores Paneles, Consultas
Directivas Directiva de Prevención de amenazas de Endpoint Security
Consultas Consultas e informes
Tareas de servidor Tareas de servidor
7
Windows
Función Permisos requeridos
Árbol de sistemas Sistemas, acceso al Árbol de sistemas
Registro de eventos de amenazas Sistemas, acceso al Árbol de sistemas, Registro de eventos de amenazas
Para obtener información sobre la gestión de conjuntos de permisos, consulte la ayuda de McAfee ePO.
Tareas cliente y Prevención de amenazas

Por ejemplo, puede configurar una tarea cliente para desplegar actualizaciones de productos, descargar archivos de contenido o
ejecutar un análisis bajo demanda.
Prevención de amenazas agrega las siguientes tareas cliente predefinidas al Catálogo de tareas cliente.
Tabla 1: Tareas cliente predefinidas de Prevención de amenazas
Tarea cliente Descripción
Análisis bajo demanda personalizado Examina todas las partes del equipo gestionado en busca de amenazas potenciales, cuando
no interfiere con el trabajo.
Análisis bajo demanda basado en Ejecuta los análisis bajo demanda preconfigurados Análisis rápido y Análisis completo desde
directiva McAfee ePO.
Configure el comportamiento de estos análisis en la configuración de directiva de Análisis bajo
demanda.
Restaurar desde cuarentena Restaura elementos individuales de la cuarentena.
Revertir AMCore Content Quita los números de versión de los archivos de AMCore content de los sistemas cliente.
Prevención de amenazas aprovecha las siguientes tareas cliente predefinidas de McAfee Agent.
Tabla 2: Tareas cliente predefinidas de McAfee Agent
Tarea cliente Descripción
Despliegue de productos Despliega productos de McAfee en los sistemas cliente.
Actualización de producto Actualiza archivos de contenido, motores y todos los productos de McAfee
automáticamente.
Repositorios de duplicación Replica en un sitio de duplicación en la red los archivos de contenido y de motor
actualizados del primer repositorio accesible.
Para obtener información sobre el uso de repositorios distribuidos para mantener
actualizado el software de seguridad, consulte la Guía de prácticas recomendadas de
McAfee ePO.
Según los permisos con que cuente, podrá utilizar tareas cliente predefinidas sin modificaciones, editarlas o crear tareas cliente
nuevas mediante McAfee ePO.
Para obtener información sobre tareas cliente y el Catálogo de tareas cliente, consulte la ayuda de McAfee ePO.
Primeros pasos
Una vez instalado, Prevención de amenazas utiliza los archivos de contenido incluidos en el producto para proporcionar
seguridad general al entorno. McAfee recomienda descargar los archivos de contenido más recientes y personalizar la
configuración para cumplir los requisitos antes de desplegar el producto en sistemas cliente.
Realice estas acciones inmediatamente después de la instalación:
8
Windows
task_mcafee
1. Establecer la seguridad de la interfaz de usuario: configure las opciones de acceso y la contraseña para impedir que los
usuarios accedan a componentes específicos o a la totalidad de la interfaz de Cliente de Endpoint Security.
Defina la configuración de seguridad de la interfaz de Cliente de Endpoint Security en el módulo Ajustes generales, directiva
Opciones.
2. Configurar el inicio de sesión en el cliente: especifique la ubicación de los archivos de registro para las funciones de
Endpoint Security. Seleccione los eventos cliente que reenviar a McAfee Agent y si se registrarán eventos en el registro de
aplicaciones de Windows.
Consejo: Procedimiento recomendado: Active el registro de depuración durante, al menos, las primeras 24 horas durante
las fases de prueba y piloto. Si no se producen problemas durante este tiempo, desactive el registro de depuración para evitar
que el rendimiento de los sistemas cliente se vea afectado.
Configure el registro de Endpoint Security en el módulo Ajustes generales, directiva Opciones.
3. Confirmar motor y archivos de contenido: verifique que los sistemas cliente tengan, al menos, el motor y los archivos de
contenido más recientes instalados mediante Cliente de Endpoint Security o McAfee ePO.
Consulte la ayuda del módulo Ajustes generales de Endpoint Security.
4. Evitar intrusiones: configure estas funciones para evitar posibles amenazas de acceso a su sistema:
a. Proteger puntos de acceso al sistema: establezca las reglas de protección de acceso para evitar que se produzcan
cambios no deseados en archivos y configuraciones que se usan con regularidad.
b. Configurar la protección contra exploits de desbordamiento del búfer: cerciórese de que la opción Prevención de
exploits esté activada y especifique las reacciones a firmas y exclusiones.
5. Configurar opciones de análisis comunes: especifique opciones para los analizadores en tiempo real y bajo demanda:
◦ Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente
◦ Nombres de detecciones que excluir de los análisis
◦ Programas potencialmente no deseados, como spyware y adware, que detectar
6. Configurar opciones del análisis en tiempo real: configure el analizador para detectar y actuar ante amenazas potenciales
cuando se accede a archivos en el entorno. Active la detección de programas potencialmente no deseados.
7. Configurar análisis bajo demanda frecuentes: configure tareas cliente Análisis bajo demanda personalizado para realizar análisis
bajo demanda frecuentes, incluidos:
◦ Análisis de memoria diarios
◦ Análisis semanales o diarios de ubicaciones de usuarios activos, como la carpeta del perfil del usuario, la carpeta Temp, las
entradas de Registro, los archivos registrados y la carpeta de Windows
8. Configurar actualizaciones del motor y los archivos de contenido: configure una tarea cliente Actualización de producto de
McAfee Agent para cerciorarse de tener las actualizaciones más recientes del producto, el motor y los archivos de contenido.
Consulte la ayuda del módulo Ajustes generales de Endpoint Security.
9
Windows
Configuración de Prevención de amenazas
Configure parámetros de Prevención de amenazas para impedir el acceso de amenazas, mantener actualizada la protección y
analizar amenazas en los sistemas cliente.
Uso de directivas en McAfee ePO

Las directivas permiten configurar productos gestionados y aplicar la configuración a sistemas en la red, todo ello desde la
consola de McAfee ePO.
Las directivas son colecciones de parámetros que se crean, configuran y aplican antes de su implementación. La mayoría de las
configuraciones de directivas corresponden a parámetros que se configuran en el Cliente de Endpoint Security. Otras
configuraciones de directivas son la interfaz principal para la configuración del software.
Prevención de amenazas agrega las categorías siguientes al Catálogo de directivas.
Tabla 1: Categorías dePrevención de amenazas
Categoría Descripción
Protección de acceso Impide los cambios no deseados en el equipo gestionado mediante la restricción del
acceso a determinados archivos, recursos compartidos, claves y valores de Registro,
procesos y servicios.
Prevención de exploit Impide que las aplicaciones ejecuten código arbitrario en el equipo gestionado.
Análisis en tiempo real Especifica los parámetros que se aplican al análisis planificado de todos los procesos,
incluidos el tiempo de análisis máximo y la configuración del mensaje de detección de
amenazas.
Análisis bajo demanda Define la configuración de los análisis bajo demanda para llevar a cabo análisis
preconfigurados que se ejecutan en el sistema cliente, incluidos los siguientes.
• Análisis completo y Análisis rápido desde Cliente de Endpoint Security
• Análisis con el botón derecho en el sistema cliente
• Tareas cliente de Análisis bajo demanda, planificadas en McAfee ePO
Opciones Configura los parámetros que se aplican a los analizadores en tiempo real y bajo
demanda.
En cada categoría, Prevención de amenazas proporciona directivas predefinidas.
Tabla 2: Directivas predefinidas de Prevención de amenazas
Directiva Descripción
Valores predeterminados de McAfee Define la directiva predeterminada que surtirá efecto si no se aplica ninguna otra. Esta
directiva se puede duplicar, pero no eliminar ni cambiar.
My Default Define parámetros predefinidos para la categoría.
Análisis en tiempo real para Exchange Define una directiva de análisis en tiempo real con exclusiones para Microsoft Exchange
Server. Esta directiva no se aplica hasta que no se haya asignado a los sistemas. Para
obtener más información, consulte el artículo KB51471 de la base de conocimiento.
Puede usar las directivas predefinidas sin modificaciones, editar las directivas predefinidas de My Default o crear otras directivas.
Para obtener información sobre directivas y el Catálogo de directivas, consulte la ayuda de McAfee ePO.
10
Windows
Directivas basadas en usuario (solo Windows)
Las directivas basadas en usuario permiten que las directivas se definan e implementen mediante reglas de asignación de
directivas de McAfee ePO con un servidor LDAP. Estas reglas de asignación se implementan en el sistema cliente para el usuario
en el momento de iniciar sesión, sin tener en cuenta el grupo de McAfee ePO.
Las directivas basadas en usuario se implementan cuando un usuario con una regla de asignación que coincida inicia sesión en
el sistema cliente en la consola. Las directivas basadas en sistema se implementan cuando dos o más usuarios han iniciado
sesión en un sistema. Las reglas de asignación de directivas tienen prioridad sobre las directivas definidas en el Árbol de sistemas.
La directiva de usuario sustituye a la directiva de sistema. Todas las directivas de sistema se aplican y cualquier directiva basada
en usuario anula la directiva de sistema.
Las reglas de asignación de directivas solo se implementan si el usuario inicia sesión como usuario interactivo. La directiva de
sistema, a diferencia de la directiva de usuario, se implementa si el usuario inicia sesión:
• Con un comando runas
• En un equipo de sobremesa remoto o servicio de Terminal Server, cuando el inicio de sesión del usuario no está configurado
como interactivo
Para obtener más información acerca de directivas basadas en usuario y reglas de asignación de directivas, consulte la Ayuda de
McAfee ePO.
Comparación de directivas
Puede comparar todas las configuraciones de directiva para el módulo utilizando la función Comparación de directivas en McAfee
ePO. Para obtener información, consulte la ayuda de McAfee ePO.
Configuración de exclusiones
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee un archivo utilizado por
una base de datos o un servidor. Un archivo bloqueado puede hacer que se produzcan errores en la base de datos o el servidor.
Consejo: Procedimiento recomendado: Para mejorar el rendimiento de los análisis en tiempo real y bajo demanda, utilice las
técnicas de elusión de análisis en lugar de agregar exclusiones de archivos y carpetas.
Las exclusiones en las listas de exclusión son mutuamente exclusivas. Cada exclusión se evalúa por separado de otras
exclusiones de la lista.
Nota: Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.Para excluir una carpeta
en sistemas Mac o Linux, agregue una barra (/) al final de la ruta.
Para esta Especificar elementos ¿Usar

función... que excluir Dónde configurar Excluir elementos por comodines?
Protección de Procesos (para todas las Protección de acceso Ruta o nombre de archivo Todos
acceso reglas o para una regla del proceso, hash MD5 o excepto
especificada) firmante hash
MD5
Prevención de Procesos Prevención de exploits Ruta o nombre de archivo Todos

exploits del proceso, hash MD5 o excepto
firmante hash
MD5
Módulos autores de Ruta o nombre de archivo
llamadas del módulo autor de
llamada, hash MD5 o
firmante
API Nombre de la API
Firmas ID de firma No
11
Windows
Para esta Especificar elementos ¿Usar
función... que excluir Dónde configurar Excluir elementos por comodines?
Todos los Nombres de detección Opciones de Prevención de amenazas Nombre de detección Sí

análisis (distingue mayúsculas de
minúsculas)
Programas Nombre Sí
potencialmente no
deseados
Análisis en Archivos, tipos de Análisis en tiempo real Nombre de archivo o Sí

tiempo real archivo y carpetas carpeta, tipo de archivo o
• Predeterminado antigüedad del archivo
• Riesgo alto
URL de ScriptScan Nombre de URL No
• Riesgo bajo
Análisis bajo Archivos, carpetas y Análisis bajo demanda Nombre de archivo o Sí

demanda unidades carpeta, tipo de archivo o
• Análisis rápido antigüedad del archivo
• Análisis completo
• Análisis con el
botón derecho del
ratón
Análisis bajo Archivos, carpetas y Análisis bajo demanda personalizado tarea Nombre de archivo o Sí
demanda unidades cliente carpeta, tipo de archivo o
personalizado antigüedad del archivo
Caracteres comodín en exclusiones

Puede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas, nombres de detección y
programas potencialmente no deseados.
Tabla 1: Caracteres comodín válidos
Carácter
comodín Nombre Representa
? Signo de Un solo carácter.

interrogación
Este carácter comodín se utiliza solamente si el número de caracteres coincide con la longitud del
nombre de archivo o carpeta. Por ejemplo: la exclusión W?? excluye WWW, pero no WW o WWWW.
* Asterisco Varios caracteres, excepto la barra invertida (\).

No se puede usar *\ al principio de una ruta de archivo. Utilice **\ en su lugar. Por ejemplo: **\ABC\*.
** Doble Cero o más caracteres, incluida la barra invertida (\).

asterisco Este carácter comodín corresponde a cero o más caracteres. Por ejemplo: C:\ABC\**\XYZ corresponde
a C:\ABC\DEF\XYZ y C:\ABC\XYZ.
Nota: Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C:\ABC\*\XYZ
corresponde a C:\ABC\DEF\XYZ.
Exclusiones a nivel de raíz

Prevención de amenazas requiere una ruta de acceso absoluta para las exclusiones a nivel de raíz. Esto significa que no puede
usar los caracteres comodín \ o ?:\ iniciales para hacer coincidir nombres de unidad en el nivel de raíz.
Importante: Este comportamiento difiere de VirusScan Enterprise. Consulte la Guía de migración de McAfee Endpoint Security.
12
Windows
Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a nivel de raíz para hacer
coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo siguiente:
C:\test
D:\test
C:\temp\test
D:\foo\test
Protección de los puntos de acceso del sistema

La primera línea de defensa contra el malware consiste en proteger los puntos de acceso de los sistemas cliente contra el acceso
de las amenazas. Protección de acceso impide que se realicen cambios no deseados en los equipos gestionados mediante la
restricción del acceso a determinados archivos, recursos compartidos, claves y valores de Registro, procesos y servicios.
Protección de acceso utiliza tanto reglas definidas por McAfee como reglas definidas por el usuario (también denominadas
reglas personalizadas) para notificar o bloquear el acceso a elementos. Protección de acceso compara una acción solicitada con
una lista de reglas y actúa según la regla.
Se debe activar Protección de acceso para detectar intentos de acceso a archivos, recursos compartidos, claves y valores de
Registro, procesos y servicios.
Cómo obtienen acceso las amenazas

Las amenazas obtienen acceso a un sistema mediante varios puntos de acceso.
Punto de acceso Descripción
Macros Incluidas en documentos de procesamiento de textos y aplicaciones de hojas de cálculo.
Archivos ejecutables Los programas aparentemente benignos pueden incluir virus junto con el programa
esperado. Algunas extensiones de archivo comunes son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Scripts Los scripts como ActiveX y JavaScript están asociados a páginas web y correo electrónico y,
si se permite su ejecución, pueden incluir virus.
Mensajes de Internet Relay Los archivos enviados junto con estos mensajes pueden contener malware como parte del
Chat (IRC) mensaje. Por ejemplo, los procesos de inicio automático pueden incluir gusanos y troyanos.
Archivos de ayuda de La descarga de estos archivos de ayuda expone el sistema a virus incrustados y ejecutables.
aplicaciones y navegadores
Correo electrónico Bromas, juegos e imágenes incluidos en mensajes de correo electrónico que contienen
datos adjuntos.
Combinaciones de todos estos Los creadores del malware más sofisticado combinan todos los métodos de entrega
puntos de acceso anteriores e incluso incluyen un elemento de malware dentro de otro a fin de intentar
acceder al equipo gestionado.
Cómo la Protección de acceso detiene amenazas

Protección de acceso detiene amenazas potenciales gestionando acciones basadas en reglas de protección definidas por el
usuario y por McAfee.
Prevención de amenazas sigue este proceso básico para proporcionar protección de acceso.
Cuando se produce una amenaza

Cuando un usuario o proceso actúa:
13
Windows
1. Protección de acceso analiza dicha acción conforme a las reglas definidas.
2. Si la acción incumple una regla, Protección de acceso administra la acción mediante la información en las reglas configuradas.
3. Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor de administración, si está
administrado.
Ejemplo de amenaza de acceso

1. Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.
2. El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.
3. MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.
4. Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.
5. Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo e informe.
6. Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra los detalles del intento. Protección
de acceso también genera y envía una alerta al servidor de administración.
Acerca de las reglas de protección de acceso

Utilice reglas de Protección de acceso definidas por McAfee o por el usuario para proteger los puntos de acceso a su sistema.
Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el usuario.
Tipo de regla Descripción
Reglas definidas por McAfee • Estas reglas impiden la modificación de archivos y opciones de uso habitual.
• Puede activar, desactivar y cambiar la configuración de las reglas definidas por McAfee,
pero no puede eliminar estas reglas.
Reglas definidas por el usuario • Estas reglas complementan la protección proporcionada por las reglas definidas por
McAfee.
• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
• Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
• Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas
reglas.
Exclusiones
En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de directivas, las exclusiones se
aplican a todas las reglas. Las exclusiones son opcionales.
Configuración de reglas de Protección de acceso definidas por McAfee

Las reglas definidas por McAfee impiden a los usuarios modificar los archivos y las opciones usados comúnmente.
Es posible:
• Cambiar la configuración de bloqueo e informes para estas reglas.
• Agregar ejecutables incluidos y excluidos a estas reglas.
No es posible:
• Eliminar estas reglas.
• Modificar los archivos y la configuración protegidos por estas reglas.
• Agregar subreglas o nombres de usuario a estas reglas.
task_mcafee
1. Seleccione Menú → Directiva → Catálogo de directivas y, a continuación, Prevención de amenazas de Endpoint Security en la lista Producto.
2. En la lista Categoría, seleccione Protección de acceso.
3. Haga clic en el nombre de una directiva editable.
4. Haga clic en Mostrar avanzado.
14
Windows
5. Modifique la regla:
a. En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla.
◦ Para seleccionar o anular la selección de todas las reglas de Bloquear o Informar, haga clic en Bloquear todo o Informar de todo.
◦ Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
b. En la sección Reglas, seleccione la regla y haga clic en Editar.
c. En la página Regla, configure las opciones de la regla.
d. En la sección Ejecutables, haga clic en Agregar, configure propiedades de ejecutables y haga clic en Guardar dos veces para
guardar la regla.
6. Haga clic en Guardar.
Reglas de Protección de acceso definidas por McAfee

Utilice las reglas de Protección de acceso definidas por McAfee para proteger el ordenador de cambios no deseados.
Regla definida por McAfee Descripción
Ejecución de archivos de la carpeta Archivos de programa Impide que el software se instale a través del navegador web.
descargados por parte de navegadores Puesto que esta regla puede bloquear también la instalación de
software legítimo, instale la aplicación antes de activar esta regla o
agregue el proceso de instalación como una exclusión.
Esta regla está establecida de manera predeterminada en Informar.
Esta regla impide que el adware y el spyware instalen y ejecuten
ejecutables desde esta carpeta.
Cambio de cualesquiera registros de extensiones de archivo Protege las claves de Registro en HKEY_CLASSES_ROOT donde se
registran las extensiones de archivo.
Esta regla impide que el malware modifique los registros de
extensiones de archivos y se ejecute en modo silencioso.
Consejo: Práctica recomendada: Desactive la regla al instalar
aplicaciones válidas que modifican los registros de extensiones de
archivos en el Registro.
Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras
extensiones ejecutables.
Cambio de directivas de derechos de usuario Protege los valores de Registro que contienen información de
seguridad de Windows.
Esta regla impide que los gusanos alteren cuentas que poseen
derechos de administrador.
Creación de nuevos archivos ejecutables en la carpeta Archivos Impide la creación de nuevos archivos ejecutables en la carpeta
de programa Archivos de programa.
Esta regla impide que el adware y el spyware creen nuevos
archivos .EXE y .DLL o que instalen nuevos archivos ejecutables en la
carpeta Archivos de programa.
Consejo: Práctica recomendada: Instale las aplicaciones antes de
activar esta regla o añada los procesos bloqueados a la lista de
exclusión.
Creación de nuevos archivos ejecutables en la carpeta Windows Impide la creación de archivos desde cualquier proceso, no solo a
través de la red.
Esta regla impide la creación de archivos .EXE y .DLL en la carpeta de
Windows.
Consejo: Práctica recomendada: Agregue a la lista de exclusión los
procesos que deban colocar archivos en la carpeta de Windows.
15
Windows
Desactivación del Editor del Registro y del Administrador de Protege las entradas del Registro de Windows, con lo que evita la
tareas desactivación del Editor del Registro y el Administrador de tareas.
Nota: En caso de un brote, desactive esta regla para poder cambiar el
Registro o abra el Administrador de tareas para detener los procesos
activos.
Ejecución de scripts de Windows Script Host (CScript.exe o Impide que el host de scripts en Windows ejecute scripts VBScript y
Wscript.exe) de carpetas de usuario comunes JavaScript en cualquier carpeta cuyo nombre contenga la palabra
"temp".
Esta regla protege contra muchos troyanos y mecanismos de
instalación web cuestionables, utilizados por aplicaciones de adware y
spyware.
Esta regla podría bloquear la ejecución o instalación de scripts y
aplicaciones de terceros legítimas.
Hijacking .EXE u otras extensiones ejecutables Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT en
HKEY_CLASSES_ROOT.
Esta regla impide que el malware modifique las claves de Registro y se
ejecute el virus junto con otro ejecutable.
La regla es una alternativa menos restrictiva a Cambio de cualesquiera
registros de extensiones de archivo.
Instalación de objetos auxiliares del explorador o extensiones de Impide que el adware, el spyware y los troyanos que se instalan como
shell objetos auxiliares del explorador se instalen en el equipo host.
Esta regla impide que el adware y el spyware se instalen en los
sistemas.
Consejo: Práctica recomendada: Agregue a la lista de exclusión las
aplicaciones personalizadas o de terceros que sean legítimas para
permitirles que instalen estos objetos. Tras la instalación, puede volver
a activar la regla porque no impide el funcionamiento de los objetos
auxiliares del explorador.
Instalación de nuevos CLSID, APPID y TYPELIB Impide la instalación o el registro de nuevos servidores COM.
Esta regla protege contra los programas de adware y spyware que se
instalan como complementos COM en Internet Explorer o en
aplicaciones de Microsoft Office.
Consejo: Procedimiento recomendado: Concesión de permiso a las
aplicaciones legítimas que registran complementos COM, incluidas
algunas aplicaciones comunes como Adobe Flash, agregándolas a la
lista de exclusión.
Modificación de procesos centrales de Windows Impide que se creen o ejecuten archivos con los nombres que más se
falsifican.
Esta regla impide que los virus y troyanos se ejecuten con el nombre de
un proceso de Windows. Esta regla excluye archivos auténticos de
Windows.
Modificación de configuraciones de Internet Explorer Bloquea los procesos para que no modifiquen la configuración de
Internet Explorer.
Esta página impide que los troyanos, el adware y el spyware de páginas
de inicio modifiquen la configuración del explorador, como la página de
inicio o los favoritos.
16
Windows
Modificar configuración de red Impide que los procesos que no se encuentren en la lista de exclusión
puedan modificar las opciones de red del sistema.
Esta regla captura el tráfico de red y lo envía a sitios de terceros para
proteger de los proveedores de servicios por niveles que transmiten
datos, como su comportamiento de navegación.
Consejo: Práctica recomendada: Agregue los procesos que deben
cambiar la configuración de la red a la lista de exclusión o desactive la
regla mientras se realizan los cambios.
Registro de programas para su ejecución automática Bloquea adware, spyware, troyanos y virus cuando intentan registrarse
para cargarse cada vez que se reinicia el sistema.
Esta regla impide que los procesos que no están en la lista de exclusión
registren procesos que se ejecutan cada vez que se reinicia el sistema.
Consejo: Práctica recomendada: Agregue aplicaciones legítimas a la
lista de exclusión o instálelas antes de activar esta regla.
Acceso remoto a archivos o carpetas locales Impide el acceso de lectura y escritura al equipo desde equipos
remotos.
Esta regla impide que se extienda un gusano entre los recursos
compartidos.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero
no para servidores, y solo cuando los equipos están activamente bajo
ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla
impide la instalación de actualizaciones o parches. Esta regla no afecta
a las funciones gestionadas de McAfee ePO.
Creación remota de archivos de ejecución automática Impide que otros equipos realicen una conexión y creen o modifiquen
archivos de ejecución automática (autorun.inf).
Los archivos de ejecución automática se utilizan para iniciar
automáticamente archivos de programa, generalmente archivos de
configuración de CD.
Esta regla impide que se ejecuten el spyware y el adware distribuidos
en CD.
Esta regla está configurada de manera predeterminada para Bloquear e
Informar.
Creación o modificación remota de archivos o carpetas Bloquea el acceso de escritura a todos los recursos compartidos.
Esta regla resulta útil en un brote al prevenir el acceso de escritura y
limitar que se extienda la infección. La regla bloquea malware que de
otro modo limitaría seriamente el uso del equipo o la red.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero
no para servidores, y solo cuando los equipos están activamente bajo
ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla
impide la instalación de actualizaciones o parches. Esta regla no afecta
a las funciones gestionadas de McAfee ePO.
Creación o modificación remota de archivos de tipo portable Impide que otros equipos realicen conexiones y modifiquen
ejecutable (PE), .INI, .PIF y ubicaciones de núcleo del sistema ejecutables, como los archivos en la carpeta Windows. Esta regla afecta
solo a los tipos de archivo normalmente infectados por los virus.
17
Windows
Esta regla protege contra los gusanos o virus que se extienden
rápidamente y atraviesan una red mediante los recursos compartidos
abiertos o administrativos.
Ejecución de archivos desde las carpetas de usuario común Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo
nombre contenga la palabra "temp".
Esta regla protege contra el malware que se guarda y ejecuta desde la
carpeta temp del usuario o del sistema. Este malware puede incluir
datos adjuntos ejecutables en correos electrónicos y programas
descargados.
Aunque esta regla proporciona la mayor protección, podría bloquear la
instalación de aplicaciones legítimas.
Ejecución de archivos de carpetas de usuario comunes por parte Impide que las aplicaciones instalen software desde el navegador o el
de programas comunes cliente de correo electrónico.
Esta regla impide que los ejecutables y los datos adjuntos de correos
electrónicos se ejecuten en páginas web.
Consejo: Procedimiento recomendado: Para instalar una aplicación
que utilice la carpeta Temp, agregue el proceso a la lista de exclusión.
Configuración de las reglas de Protección de acceso definidas por el usuario

Las reglas definidas por el usuario complementan la protección proporcionada por las reglas definidas por McAfee. Puede
agregar y quitar, así como activar, desactivar y cambiar la configuración de estas reglas.
Consejo: Procedimiento recomendado: Para obtener más información sobre la creación de reglas de Protección de acceso
para protegerse frente a ransomware, consulte PD25203.
task_mcafee
5. Cree la regla: en la sección Reglas, haga clic en Agregar.
En la página Regla, configure las opciones de la regla.
a. En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic en Guardar.
Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
b. En la sección Nombres de usuario, haga clic en Agregar, configure las propiedades del nombre de usuario y haga clic en Guardar.
Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
c. En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla.
Consejo: Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no seleccione la operación Leer.
En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en Guardar tres veces.
6. En la sección Reglas, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.
◦ Para seleccionar o anular la selección de todas las reglas de Bloquear o Informar, haga clic en Bloquear todo o Informar de todo.
◦ Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
7. Haga clic en Guardar.
Cómo se evalúan los destinos de subreglas de Protección de acceso

Cada destino se agrega con una directiva Incluir o Excluir.
18
Windows
Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de evaluación verdadero si:
• Al menos una inclusión se evalúa como verdadero.
y
• Todas las exclusiones se evalúan como falso.
Excluir tiene prioridad sobre Incluir. Por ejemplo:
• Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, la subregla no se activa para dicho
archivo.
• Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla se activa si el archivo no es C:
\marketing\jjaime.
• Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjaime, la subregla se activa para C:
\marketing\cualquiera, pero no se activa para C:\marketing\jjaime.
Excluir procesos de Protección de acceso

Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en directivas o basada en reglas.
task_mcafee
5. Compruebe que la opción Protección de acceso está activada.
6. Realice una de las siguientes acciones:
Para... Haga esto...
Excluir procesos 1. En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.
de todas las 2. En la página Exclusión, configure las propiedades del ejecutable.
reglas. 3. Haga clic en Guardar dos veces para guardar la configuración de la directiva.
Especificar 1. Editar una regla definida por el usuario existente o agregar una nueva regla.
procesos para 2. En la página Regla, en la sección Ejecutables, haga clic en Agregar para agregar un ejecutable que excluir
inclusión o o incluir.
exclusión en 3. En la página Ejecutable, configure las propiedades del ejecutable, y también si desea incluir o excluir el
una regla ejecutable en la protección.
definida por el 4. Haga clic en Guardar tres veces para guardar la configuración de la directiva.
usuario.
19
Windows
Bloqueo de vulnerabilidades de desbordamiento del búfer
Prevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Esta función supervisa las
llamadas de modo usuario de API y reconoce cuándo son el resultado de un desbordamiento del búfer.
Cuando se produce una detección, la información se incluye en el registro de actividades y se muestra en el sistema cliente, y se
envía al servidor de administración, si se ha configurado.
Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para proteger aplicaciones como Microsoft Internet
Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y MSN Messenger.
Nota: Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión 10.5. Si McAfee Host
IPS está activado, se desactiva Prevención de exploits aunque esté activada en la configuración de la directiva.
Cómo se producen los exploits de desbordamiento del búfer

Los atacantes utilizan exploits de desbordamiento del búfer para ejecutar código ejecutable que desborda el búfer de memoria
de tamaño fijo reservado para un proceso de entrada. Este código permite al atacante tomar el control del equipo de destino o
poner en peligro sus datos.
Un gran porcentaje de los ataques de malware son ataques de desbordamiento del búfer que intentan sobrescribir la memoria
adyacente en el marco de pila.
Los dos tipos de vulnerabilidades de desbordamiento del búfer son:
• Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas de usuario (más comunes).
• Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el usuario realice una entrada. Cuando un
programa recibe una entrada por parte del usuario, los datos se almacenan en la parte superior de la pila y se les asigna una
dirección de memoria de retorno. Cuando se procesa la pila, la entrada del usuario se envía a la dirección de retorno
especificada por el programa.
A continuación se describe un ataque por desbordamiento del búfer basado en pila:
1. Desbordar la pila.
Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los datos. La pila se desborda
si los datos escritos tienen un tamaño superior al espacio reservado para ellos en la pila. Esta situación solo supone un
problema si se combina con una entrada maliciosa.
2. Vulnerar el desbordamiento.
El programa espera por información del usuario. Si el atacante introduce un comando ejecutable que excede el tamaño de la
pila, dicho comando se almacenará fuera del espacio reservado.
3. Ejecutar el malware.
El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un principio, el programa se
bloquea debido al desbordamiento del búfer. Si el atacante proporcionó una dirección de memoria de retorno que hace
referencia al comando malicioso, el programa intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno
es válida, el comando malicioso se ejecuta.
4. Vulnerar los permisos.
El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta en peligro. Debido a que los
programas se ejecutan normalmente en modo kernel o con permisos heredados de una cuenta de servicio, el código atacante
puede ahora adquirir un control total del sistema operativo.
Las firmas y cómo funcionan

Las firmas de Prevención de exploit son conjuntos de reglas que comparan el comportamiento con ataques conocidos y llevan a
cabo una acción cuando se detecta una coincidencia. McAfee proporciona firmas en las actualizaciones de contenido de
Prevención de exploit.
Las firmas protegen aplicaciones específicas, las cuales están definidas en la lista Reglas de protección de aplicaciones. Cuando se
detecta un ataque, Prevención de exploits puede detener el comportamiento iniciado por dicho ataque.
Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas si es necesario.
20
Windows
Puede cambiar la configuración relativa a las acciones de estas firmas, pero no puede agregar o eliminar firmas, ni tampoco
modificarlas. Para proteger determinados archivos, recursos compartidos, claves o valores de Registro, procesos y servicios, cree
reglas de Protección de acceso personalizadas.
Acciones
Una acción es aquello que lleva acabo Prevención de exploit cuando se activa una firma.
• Bloquear: impide la operación.
• Informar: permite la operación e informa del evento.
Si no se selecciona ninguna, la firma se desactiva; Prevención de exploit permite la operación y no informa del evento.
El archivo de contenido de Prevención de exploit establece automáticamente la acción de las firmas dependiendo del nivel de
gravedad. Puede modificar la acción de una firma determinada en la sección Firmas de la configuración de Prevención de exploit. Los
cambios que realice en las acciones de las firmas se conservarán tras las actualizaciones del contenido.
Reglas de comportamiento
Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el comportamiento apropiado del sistema
operativo y las aplicaciones. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. La actividad que
no coincide con estas reglas se considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento
puede establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro proceso intenta
acceder a los archivos HTML, Prevención de exploits realiza la acción especificada. Este tipo de protección, denominada "blindaje
y envoltura de aplicaciones", impide que se pongan en peligro las aplicaciones y los datos de estas, así como que se utilicen las
aplicaciones para atacar otras aplicaciones.
Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la ejecución de código
derivada de un ataque de desbordamiento del búfer, uno de los métodos de ataque más habituales.
Niveles de gravedad
Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque.
• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La mayoría de estas firmas son
específicas para exploits bien identificados y, por lo general, no tienen que ver con el comportamiento.
Precaución: Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo nivel de
gravedad sea Alto en Bloquear en todos los hosts.
• Media: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de su entorno (adecuado para
clientes que protegen servidores web y Microsoft SQL Server 2000).
Consejo: Procedimiento recomendado: En los servidores críticos, configure las firmas cuyo nivel de gravedad sea Medio en
Bloquear tras afinar su ajuste.
• Baja: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste en bloquear los recursos de
las aplicaciones y del sistema para que no se puedan modificar.
Configurar las firmas cuyo nivel de gravedad sea Bajo en Bloquear incrementa la seguridad el sistema, pero requiere ajustes
adicionales.
• Informativa: indica un cambio de la configuración del sistema que puede crear un riesgo benigno para la seguridad o bien un
intento de acceder a información del sistema de carácter confidencial. Los eventos de este nivel se producen durante la
actividad normal del sistema y, por lo general, no constituyen un indicio de ataque.
• Desactivado: indica las firmas que están desactivadas en el archivo de contenido de Prevención de exploits.
Nota: No puede activar firmas cuya gravedad sea Desactivado.
Las reglas de protección de aplicaciones y su funcionamiento

Las Reglas de protección de aplicaciones definen los ejecutables que se supervisan en busca de firmas de Prevención de exploits.
Si un ejecutable no está incluido en esta lista, no se supervisa.
Las firmas de Prevención de exploits pertenecen a dos clases:
• Las firmas Desbordamiento del búfer ofrecen protección de la memoria mediante la supervisión del espacio de memoria
que utilizan los procesos.
• Las firmas API supervisan las llamadas de la API entre los procesos que se ejecutan en el modo de usuario y el kernel.
21
Windows
El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que están protegidas.
Prevención de amenazas muestras estas aplicaciones en la sección Reglas de protección de aplicaciones de la configuración de Prevención
de exploits.
Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploits reemplazan las reglas de
protección de aplicaciones definidas por McAfee en la configuración de Prevención de exploits con las reglas de protección de
aplicaciones más recientes.
Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por
McAfee. Además, puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que realice en estas
reglas se conservarán tras las actualizaciones del contenido.
Si la lista incluye reglas de protección de aplicaciones contradictorias, las reglas cuyo Estado de inclusión sea Excluir tienen prioridad
sobre las configuradas con Incluir.
Nota: Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas aplicaciones que se
estén ejecutando actualmente en el sistema cliente. Este comportamiento es distinto del de McAfee Host IPS.
En los sistemas gestionados, las reglas de protección de aplicaciones creadas en el Cliente de Endpoint Security no se envían a
McAfee ePO, y se pueden sobrescribir cuando el administrador despliega una directiva actualizada.
Configuración de las opciones de Prevención de exploits

Para impedir que las aplicaciones ejecuten código arbitrario en el sistema cliente, configure las exclusiones, las firmas definidas
por McAfee y las reglas de protección de aplicaciones de Prevención de exploits.
Puede configurar la acción de las firmas definidas por McAfee. Puede activar, desactivar, eliminar y cambiar el estado de
inclusión de las reglas de protección de aplicaciones definidas por McAfee. También puede crear y duplicar sus propias reglas de
protección de aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del contenido.
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
task_mcafee
2. En la lista Categoría, seleccione Prevención de exploit.
5. Configure los parámetros en la página y haga clic en Guardar.
Exclusión de procesos de Prevención de exploits

Si un programa de confianza está bloqueado, cree una exclusión para excluirlo de Prevención de exploits. Puede excluir el
proceso por el nombre del proceso, el módulo autor de la llamada, la API o el ID de firma. También puede crear reglas de
protección de aplicaciones para incluir o excluir procesos en la protección.
task_mcafee
2. En la lista Categoría, seleccione Prevención de exploit.
5. Verifique que Prevención de exploits está activada.
6. Realice una de las siguientes acciones:
Excluir procesos 1. En la sección Exclusiones, haga clic en Agregar.

de todas las 2. En la página Exclusión, configure las propiedades de la exclusión.
reglas. 3. Haga clic en Guardar dos veces para guardar la configuración de la directiva.
22
Windows
Especificar 1. Editar una regla definida por el usuario existente o agregar una regla de protección de aplicaciones.
procesos para 2. En la página Regla de protección de aplicaciones, en la sección Ejecutables, haga clic en Agregar y configure las
inclusión o propiedades del ejecutable.
exclusión en 3. Haga clic en Guardar tres veces para guardar la configuración de la directiva.
una regla de
protección de
aplicaciones
definida por el
usuario.
Exclusiones de Prevención de exploits y cómo funcionan

Un falso positivo se produce cuando un comportamiento que es una parte normal de la rutina de trabajo de un usuario se
interpreta como un ataque. Para evitar los falsos positivos, cree una exclusión para dicho comportamiento.
Las exclusiones permiten reducir alertas de falsos positivos, minimizan el flujo de datos innecesarios y garantizan que las alertas
sean amenazas de seguridad reales.
Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma "Java - Creation of suspicious files in Temp folder". La
firma indica que la aplicación Java está intentando crear un archivo en la carpeta Temp de Windows. Un evento activado por esta
firma es motivo de alarma, puesto que se podría utilizar una aplicación Java para descargar malware en la carpeta Temp de
Windows. En este ejemplo, podría tener sospechas razonables de que se ha instalado un troyano. No obstante, si el proceso crea
normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con la aplicación Java, cree una exclusión que
permita esta acción.
Cuando se produce un evento de infracción de Prevención de exploits, el evento incluye un proceso asociado y un módulo autor
de llamada, una API o una firma posibles. Si cree que el evento de infracción es un falso positivo, puede agregar una exclusión
que permita uno o varios de estos identificadores.
En los sistemas gestionados, las exclusiones de Prevención de exploits creadas en el Cliente de Endpoint Security no se envían a
McAfee ePO, y se pueden sobrescribir cuando el administrador despliega una directiva actualizada. Configurar exclusiones
globales en la directiva Prevención de exploits en McAfee ePO.
Al especificar exclusiones, tenga en cuenta lo siguiente:
• Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un conector lógico OR de manera que,
si una exclusión coincide, el evento de infracción no se produce.
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.
• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre de archivo o ruta, Hash MD5 o
Firmante.
• Si especifica más de un identificador, se aplicarán todos los identificadores.
• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al mismo
archivo), la exclusión no es válida.
• Las exclusiones no distinguen mayúsculas de minúsculas.
• Se aceptan caracteres comodín para todo excepto para hash MD5.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas. Si no se especifica ningún ID
de firma, la exclusión se aplica al proceso en todas las firmas.
Detección de programas potencialmente no deseados

Para proteger el equipo gestionado contra programas potencialmente no deseados, especifique archivos y programas que
detectar en el entorno y luego active la detección.
Los programas potencialmente no deseados son programas de software que molestan o que pueden alterar el estado de
seguridad o la política de privacidad del sistema. Los programas potencialmente no deseados pueden ir incrustados en
programas que los usuarios descargan intencionalmente. Los programas no deseados pueden incluir spyware, adware y
marcadores.
23
Windows
1. Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo demanda los detecten en
la configuración de la directiva Opciones.
2. Active la detección de programas no deseados y especifique acciones que emprender cuando se producen detecciones en
estas configuraciones:
◦ Configuración de directiva Análisis en tiempo real
◦ Configuración de directiva Análisis bajo demanda
◦ Configuración de tarea cliente Análisis bajo demanda personalizado
Especificar programas potencialmente no deseados a detectar

Especifique programas adicionales para que los analizadores en tiempo real y bajo demanda los traten como programas no
deseados en la configuración de directiva de Opciones.
Nota: Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de AMCore
content.
task_mcafee
2. En la lista Categoría, seleccione Opciones.
5. Desde Detecciones de programas potencialmente no deseados:
◦ Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o programa que tratar como
programa potencialmente no deseado.
Nota: La Descripción aparece como nombre de detección cuando se produce una detección.
◦ Seleccione un programa existente y potencialmente no deseado, y a continuación haga clic en Editar para modificar el
nombre o la descripción, o haga clic en Eliminar para quitarlo de la lista.
◦ Haga clic en Eliminar todo para quitar de la lista todos los programas potencialmente no deseados personalizados.
Activar y configurar la detección de programas potencialmente no deseados y respuestas

Active que los analizadores en tiempo real o bajo demanda detecten programas potencialmente no deseados, y especifique
respuestas cuando se encuentre alguno.
task_mcafee
1. Configure la directiva Análisis en tiempo real.
a. Seleccione Menú → Directiva → Catálogo de directivas y, a continuación, Prevención de amenazas de Endpoint Security en la lista Producto.
b. En la lista Categoría, seleccione Análisis en tiempo real.
c. Haga clic en el nombre de una directiva editable.
d. En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no deseados.
e. En Acciones, configure respuestas a los programas no deseados.
2. Configure la directiva Análisis bajo demanda.
a. Seleccione Menú → Directiva → Catálogo de directivas y, a continuación, Prevención de amenazas de Endpoint Security en la lista Producto.
b. En la lista Categoría, seleccione Análisis bajo demanda.
c. Haga clic en el nombre de una directiva editable.
d. Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):
◦ Seleccione Detectar programas no deseados.
◦ En Acciones, configure respuestas a los programas no deseados.
3. Configure la tareas cliente Análisis bajo demanda personalizado.
a. Seleccione Menú → Directiva → Catálogo de tareas cliente.
b. Seleccione Endpoint Security Threat Prevention 10.0.
c. Haga clic en Nueva tarea.
d. En Tipos de tarea, seleccione Análisis bajo demanda personalizado.
24
Windows
e. En Opciones de análisis, seleccione Detectar programas no deseados.
f. En Acciones, configure respuestas a los programas no deseados.
Análisis de los equipos cliente en busca de amenazas

Analizar archivos en busca de amenazas cuando el usuario acceda a ellos proporciona protección contra las intrusiones cuando
se producen. Ejecutar periódicamente un análisis de las áreas del sistema más susceptibles de infección garantiza una
protección completa.
Tipos de análisis
Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.
• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución en los equipos gestionados.
Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta la operación y analiza el
elemento según los criterios definidos en la configuración.
Para configurar análisis en tiempo real, utilice la configuración de directiva Análisis en tiempo real.
• Análisis bajo demanda
Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configura análisis bajo demanda
predefinidos o personalizados que los usuarios pueden ejecutar en equipos gestionados.
◦ Ejecute un análisis bajo demanda predefinido en cualquier momento desde Cliente de Endpoint
Security haciendo clic en y seleccionando un tipo de análisis:

Análisis rápido ejecuta una comprobación rápida de las áreas del sistema más susceptibles de
infección.
Análisis completo realizar una comprobación exhaustiva de todas las áreas del sistema. (Se
recomienda si sospecha que el equipo está infectado.)
demanda.
◦ Analice un archivo o una carpeta en cualquier momento desde el Explorador de Windows
haciendo clic con el botón derecho y seleccionando Analizar en busca de amenazas en el menú
emergente.
Para configurar el comportamiento de Análisis con el botón derecho, use la configuración de directiva
Análisis bajo demanda.
◦ Para configurar y ejecutar un análisis bajo demanda personalizado como administrador desde
Cliente de Endpoint Security:
◦ Seleccione Configuración → Ajustes generales → Tareas.
◦ Seleccione la tarea que ejecutar.
◦ Haga clic en Ejecutar ahora.
Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura y planifica análisis bajo
demanda para su ejecución en los equipos.
Cuando un análisis bajo demanda planificado está a punto de iniciarse, Endpoint Security muestra un
mensaje de análisis en la parte inferior de la pantalla. Puede iniciar el análisis inmediatamente o aplazarlo,
si se ha configurado.
Para configurar y planificar análisis bajo demanda, utilice estas configuraciones de tareas cliente:
◦ Análisis bajo demanda personalizado — Configura y planifica análisis bajo demanda personalizados,
como los análisis de memoria diarios.
◦ Análisis bajo demanda basado en directiva — Planifica los análisis bajo predefinidos Análisis rápido y Análisis
completo.
demanda.
La directiva Opciones incluye parámetros que se aplican a todos los tipos de análisis.
25
Windows
Cómo funciona McAfee GTI
Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística para buscar archivos
sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central alojado por McAfee Labs a fin
de determinar si son malware. Al enviar hashes, es posible que la detección esté disponible antes que la próxima actualización
de archivos de contenido, cuando McAfee Labs publique la actualización.
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra detectada es malware. Cuanto
mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse más
detecciones también puede que se obtengan más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se
encuentra establecido en Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la configuración
de Análisis en tiempo real y Análisis bajo demanda.
Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información de reputación de McAfee
GTI en la configuración de Ajustes generales.
Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.
Configurar parámetros de análisis de ajustes generales

Para especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configure los parámetros de la
directiva Opciones de Prevención de amenazas.
Esta configuración se aplicará a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente
• Nombres de detecciones que excluir de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
• Comentarios de telemetría basados en McAfee GTI
task_mcafee
Análisis de archivos en tiempo real

El analizador en tiempo real examina los archivos del equipo a medida que el usuario accede a ellos, y proporciona una
detección continua y en tiempo real de las amenazas.
Nota: Las funciones Protección de acceso y Prevención de exploit también examinan los archivos a medida que el usuario
accede a ellos, y proporciona una detección continua y en tiempo real de las infracciones de acceso y los exploits de
desbordamiento del búfer, respectivamente.
Elección del momento en que analizar archivos con el analizador en tiempo real
Puede especificar cuándo debe examinar archivos el analizador en tiempo real: al escribir en el disco, al leer el disco o cuando lo
decida McAfee.
Al escribir en el disco ("análisis de escritura")

Precaución: La opción de análisis de escritura no impide el acceso a los archivos, ni antes ni después del análisis, de modo que
puede provocar que su sistema sea vulnerable a los ataques.
Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que se haya escrito en el disco y
cerrado. Un proceso puede llevar a cabo una operación de lectura, apertura o ejecución en el archivo antes de que el analizador
realice un análisis de escritura, lo que podría acarrear una infección. Las aplicaciones también podrían encontrarse con errores
de tipo SHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis de escritura.
El analizador en tiempo real examina los archivos cuando:
26
Windows
• Se crean o modifican en la unidad de disco duro local.
• Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también está activada la opción En unidades de
red).
• Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también está activada la opción En unidades de
red).
Al leer el disco ("análisis de lectura")

Consejo: Procedimiento recomendado: Active la opción de análisis de escritura para proporcionar seguridad contra brotes.
Cuando se selecciona el análisis de lectura, el analizador impide el acceso a los archivos a menos que se determine que están
limpios.
El analizador en tiempo real examina los archivos cuando:
• Se leen, abren o ejecutan desde la unidad de disco duro local.
• Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción En unidades de red).
Dejar que McAfee decida

Consejo: Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejor rendimiento.
Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza para optimizar el análisis. La lógica
de confianza mejora la seguridad y aumenta el rendimiento mediante la elusión de análisis, lo que evita análisis innecesarios.
Por ejemplo, McAfee analiza algunos programas y considera que son de confianza. Si McAfee verifica que no se han manipulado
estos programas, el analizador podría llevar a cabo un análisis reducido u optimizado.
Cómo funcionan los análisis en tiempo real

El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza
los archivos en la ubicación por donde entran al sistema por primera vez.
Cuando se producen detecciones, el analizador en tiempo real envía notificaciones a la interfaz del servicio.
Nota: Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca
como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows
notifica el problema y remite a la Tienda Windows para una reinstalación.
El analizador utiliza estos criterios para determinar si se debe analizar un elemento:
• La extensión del archivo coincide con la configuración.
• La información del archivo no está en la caché de análisis global.
• El archivo no se ha excluido, ni tampoco analizado previamente.
Análisis de lectura
Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:
1. El analizador bloquea la solicitud.

2. El analizador determina si el elemento se debe analizar o no.
◦ Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché su información y autoriza la
operación.
◦ Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de
contenido de AMCore cargado actualmente.
◦ Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.
◦ Si el archivo contiene una amenaza, el analizador deniega el acceso a él y realiza la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
◦ Utiliza la información en el archivo de AMCore Content cargado en ese momento para limpiar el archivo.
◦ Registra los resultados en el registro de actividades.
◦ Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se debe realizar (limpiar
o eliminar el archivo).
Análisis de escritura
Nota: El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado.
27
Windows
Cuando se selecciona el análisis de escritura y se escribe un archivo en el disco:
1. El analizador determina si el elemento se debe analizar o no.

a. Si no es necesario analizar el archivo, el analizador almacena en caché su información y autoriza la operación.
b. Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo de
contenido de AMCore cargado actualmente.
◦ Si el archivo está limpio, el analizador almacena en caché el resultado.
◦ Si el archivo contiene una amenaza, el analizador realiza la acción configurada.
El analizador no deniega el acceso al archivo.
¿Cuándo se vacía la caché de análisis global?

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint Security o el sistema.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando:
• La configuración de Análisis en tiempo real cambia.
• Se agrega un archivo Extra.DAT.
• El sistema se reinicia en modo seguro.
Si el proceso está firmado por un certificado de confianza, el certificado firmante se almacena en caché y se conserva allí tras el
reinicio del sistema. Es menos probable que el analizador analice archivos a los que accedan procesos que estén firmados por
un certificado de confianza almacenado en caché, lo que permite evitar el análisis y mejorar el rendimiento.
Procedimientos recomendados: Reducción del impacto de los análisis en tiempo real en los usuarios
Para minimizar el impacto que tienen los análisis en tiempo real sobre un sistema, seleccione opciones que eviten que el
rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Elección de las opciones de rendimiento

Algunas opciones de análisis pueden afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas
opciones únicamente si necesita analizar determinados elementos. Seleccione o anule la selección de estas opciones en la
configuración del Análisis en tiempo real.
• Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que se encuentren actualmente en la
memoria cada vez que:
◦ Se vuelven a activar los análisis en tiempo real.
◦ Los archivos de contenido se actualizan.
◦ El sistema se inicia.
◦ Se inicia el proceso McShield.exe.
28
Windows
Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule la selección de esta opción
para reducir el tiempo de inicio del sistema.
• Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados por McAfee o Microsoft) o los
archivos del servicio Instalador de confianza de Windows.
Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones de Microsoft de gran tamaño.
Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas
opciones solo si necesita analizar tipos específicos de archivos. Seleccione o anule la selección de estas opciones en la sección
Qué analizar de la configuración de Análisis en tiempo real.
• En unidades de red: analiza los recursos de las unidades de red asignadas.
Anule la selección de esta opción para mejorar el rendimiento.
• Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia de seguridad.
En la mayoría de los entornos no es necesario seleccionar esta configuración.
• Archivos de almacenamiento comprimidos: Examina el contenido de archivos de almacenamiento (comprimidos), incluidos los
archivos .jar.
Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el sistema hasta que se
extraiga el archivo de almacenamiento. Una vez que se haya extraído el archivo de almacenamiento, el análisis en tiempo real
examina los archivos y detecta cualquier malware.
Acerca de ScriptScan
ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca de scripts maliciosos antes
de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript para su procesamiento. Si ScriptScan detecta un script
malicioso, lo bloquea para que no se ejecute.
Nota: ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts ejecutados por
wscript.exe o cscript.exe.
Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la posibilidad de activar uno o
más complementos de McAfee. Para que ScriptScan analice scripts:
• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera predeterminada.
• El complemento debe estar activado en el navegador.
Precaución: Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará scripts maliciosos
en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts
maliciosos.
• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
29
Windows
Procedimientos recomendados: Exclusiones de ScriptScan
Los sitios web y las aplicaciones basadas en web que utilizan muchos scripts podrían experimentar un rendimiento deficiente
cuando ScriptScan está activado. En lugar de desactivar ScriptScan, le recomendamos especificar exclusiones de URL para los
sitios web de confianza, tales como los de una intranet, o las aplicaciones web que se sabe que son seguras.
Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena de exclusión coincide con
cualquier parte de la URL, entonces se excluye la URL.
Al crear exclusiones de URL:
• No se admiten caracteres comodín.
• Unas URL más completas tienen un mejor rendimiento.
• No incluya números de puerto.
• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.
Cómo determinar el número de directivas de análisis

Siga este procedimiento para determinar si debe configurar más de una directiva de análisis en tiempo real.
Configure la directiva Análisis en tiempo real

Estos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación de mensajes que enviar al
detectarse una amenaza y opciones distintas según el tipo de proceso.
Nota: Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más opciones de
configuración de análisis.
task_mcafee
2. En la lista Categoría, seleccione Análisis en tiempo real.
5. Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.
6. Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos para procesos de riesgo
alto o bajo.
◦ Configuración estándar: configure los parámetros de análisis en la ficha Estándar.
◦ Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo bajo) y configure los parámetros
de análisis para cada tipo de proceso.
30
Windows
Análisis de archivos bajo demanda
El analizador bajo demanda examina el equipo en busca de amenazas potenciales, a las horas más convenientes o a intervalos
periódicos. Utilice los análisis bajo demanda para complementar la protección en el analizador en tiempo real, como para
analizar procesos latentes e inactivos.
Prevención de amenazas incluye estos tipos de análisis bajo demanda:
• Análisis rápido y Análisis completo: inicie estos análisis preconfigurados desde Cliente de Endpoint Security en el equipo cliente.
• Análisis con el botón derecho del ratón — Haga clic con el botón derecho en el archivo o la carpeta y seleccione Analizar en busca de
amenazas en el menú emergente en el equipo cliente.
• Tareas cliente Análisis bajo demanda basado en directiva: ejecute los análisis bajo demanda preconfigurados Análisis rápido y Análisis
completo, ya sean planificados o no, desde McAfee ePO.
• Tareas cliente Análisis bajo demanda personalizado: configure y ejecute análisis bajo demanda personalizados, ya sean planificados o
no, desde McAfee ePO.
McAfee recomienda que se planifiquen estas tareas cliente Análisis bajo demanda como mínimo:
◦ Análisis de memoria diarios
◦ Análisis planificados regularmente
Nota: Si se configura, el módulo Control web envía solicitudes de descarga al analizador bajo demanda para su análisis antes de
la descarga.
Cómo funciona el análisis bajo demanda

El analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otros elementos en busca de malware
que pueda haber infectado el equipo.
Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizar sistemas manualmente, a una
hora programada o cuando el sistema arranca.
1. El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe analizar:
◦ La extensión del archivo coincide con la configuración.
◦ El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizador utiliza la caché de análisis).
Nota: Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2. Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de malware conocido que se
encuentran en ese momento en los archivos de AMCore content.
◦ Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el siguiente elemento.
◦ Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
◦ Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar el archivo.
◦ Registra los resultados en el registro de actividades.
◦ Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del elemento y la acción que
se ha realizado.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca
como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows
notifica el problema y remite a la Tienda Windows para una reinstalación.
3. Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, el analizador continúa hasta
que se han analizado todos los datos.
31
Windows
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando se carga un Extra.DAT.
Procedimientos recomendados: Reducción del impacto de los análisis bajo demanda en los usuarios
Para minimizar el impacto que tienen los análisis bajo demanda sobre un sistema, seleccione opciones que eviten que el
rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Analizar solo cuando el sistema está inactivo

La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutar el análisis bajo demanda
solo cuando el equipo esté inactivo.
Cuando se activa esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad del disco o del usuario (por
ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas reanuda el análisis si el usuario no accede al sistema
durante tres minutos.
Como opción, puede:
• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del usuario.
• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios acceden mediante una conexión de
Escritorio remoto (RDP). Prevención de amenazas depende de McTray para determinar si el sistema está inactivo. En sistemas a
los que solo se accede mediante el escritorio remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para
evitar este problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa\McAfee\Agent
\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto.
Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la configuración de la tarea clienteAnálisis bajo demanda
personalizado.
Pausar análisis automáticamente

Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de la batería. También puede
pausar el análisis cuando se está ejecutando en modo de pantalla completa una aplicación (por ejemplo, un navegador, un
reproductor multimedia o una presentación). El análisis se reanuda inmediatamente cuando el sistema se conecta a una fuente
de energía o ya no se está ejecutando en modo de pantalla completa.
• No analizar si el sistema funciona mediante la batería
• No analizar si el sistema está en modo de presentación (disponible cuando se ha activado Analizar en cualquier momento)
Seleccione estas opciones en la sección Rendimiento de la configuración de la tarea cliente Análisis bajo demanda personalizado.
Permitir que los usuarios aplacen los análisis

Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisis planificados en incrementos de una
hora, hasta 24 horas, o para siempre. El aplazamiento de cada usuario puede durar una hora. Por ejemplo, si la opción Aplazar
como máximo se ha establecido en 2, el usuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de
32
Windows
horas máximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a 0, el usuario puede
seguir aplazando el análisis para siempre.
Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la configuración de tarea cliente Análisis bajo demanda
personalizado.
Limitar la actividad de análisis con análisis incrementales

Utilice análisis incrementales, o reanudables, para limitar cuándo se produce la actividad del análisis bajo demanda pero analizar
igualmente todo el sistema en varias sesiones. Para usar el análisis incremental, agregue un límite temporal al análisis
planificado. El análisis se detiene cuando se alcanza el límite de tiempo. La siguiente vez que se inicie esta tarea, continuará a
partir del punto de la estructura de archivos y carpetas en el que se haya detenido el análisis anterior.
Seleccione Detener la tarea si se ejecuta durante en la página Planificación para la tarea cliente Análisis bajo demanda personalizado.
Consulte la ayuda de McAfee ePO para obtener información acerca de la planificación y el Generador de asignaciones de tareas cliente.
Configuración de la utilización del sistema

La utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante el análisis. En los sistemas
con actividad por parte del usuario final, establezca el valor de utilización del sistema en Baja.
Seleccione Utilización del sistema en la sección Rendimiento de la configuración de tarea cliente Análisis bajo demanda.
Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas
opciones solo si necesita analizar tipos específicos de archivos. Seleccione o anule la selección de estas opciones en la sección
Qué analizar de la configuración de tarea cliente Análisis bajo demanda personalizado.
• Archivos que se han migrado al almacenamiento
Algunas soluciones de almacenamiento de datos sin conexión sustituyen los archivos con un archivo stub. Cuando el
analizador se encuentra con un archivo stub, que indica que se ha migrado el archivo, el analizador restaura el archivo al
sistema local antes de proceder con el análisis. El proceso de restauración puede afectar negativamente al rendimiento del
sistema.
Anule la selección de esta opción a menos que necesite específicamente analizar los archivos del almacenamiento.
• Archivos de almacenamiento comprimidos
Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el sistema hasta que se
extraiga el archivo de almacenamiento. Una vez que se haya extraído el archivo de almacenamiento, el análisis en tiempo real
examina los archivos y detecta cualquier malware.
Procedimiento recomendado: Dado que el análisis de archivos de almacenamiento comprimidos puede afectar
negativamente al rendimiento del sistema, anule la selección de esta opción para mejorar dicho rendimiento.
Funcionamiento de la utilización del sistema

El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisis y la prioridad de los
subprocesos. El parámetro de utilización del sistema (regulación) permite al sistema operativo especificar la cantidad de tiempo
de CPU que el analizador bajo demanda recibe durante el proceso de análisis.
Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de aplicaciones que están en
ejecución. El valor bajo resulta útil en sistemas con actividad del usuario final. Por el contrario, si se establece el valor de
utilización del sistema en Normal, el análisis finaliza más rápido. La configuración normal es útil en sistemas que tienen grandes
volúmenes y poca actividad del usuario final.
Nota: Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Tabla 1: Configuración de procesos predeterminada
Configuración de procesos
de Prevención de
amenazas Esta opción... parámetro Windows Set Priority
Bajo Proporciona un rendimiento mejorado del resto de Bajo

las aplicaciones en ejecución. Seleccione esta
33
Windows
Configuración de procesos
de Prevención de
amenazas Esta opción... parámetro Windows Set Priority
opción para sistemas con actividad del usuario
final.
Por debajo de lo normal Establece la utilización del sistema para el análisis Por debajo de lo normal
en el valor predeterminado de McAfee ePO.
Normal (predeterminado) Permite que el análisis finalice más rápido. Normal

Seleccione esta opción para sistemas que tienen
grandes volúmenes y poca actividad del usuario
final.
Cómo funciona el análisis de Almacenamiento remoto

Puede configurar el analizador bajo demanda para que analice el contenido de los archivos gestionados por Almacenamiento
remoto.
El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando resulta necesario,
Almacenamiento remoto migra automáticamente el contenido (datos) de archivos pertinentes del sistema cliente a un
dispositivo de almacenamiento, como una biblioteca en cinta. Cuando un usuario abre un archivo cuyos datos se han migrado,
Almacenamiento remoto recupera automáticamente los datos del dispositivo de almacenamiento.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo demanda de modo que analice
los archivos gestionados por Almacenamiento remoto. Cuando el analizador encuentra un archivo con contenido migrado,
restaura el archivo al sistema local antes del análisis.
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Configurar la directiva de Análisis bajo demanda

Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisis completo, Análisis rápido y Análisis
con el botón derecho.
Los usuarios pueden ejecutar estos análisis en cualquier momento en su sistema. Para ejecutar el Análisis completo o Análisis rápido en
el sistema cliente desde McAfee ePO, planifique una tarea cliente Análisis bajo demanda basado en directiva.
Nota: Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más opciones de
configuración de análisis.
task_mcafee
2. En la lista Categoría, seleccione Análisis bajo demanda.
4. Haga clic en una ficha para configurar ajustes para el análisis especificado.
◦ Análisis completo
◦ Análisis rápido
◦ Análisis con el botón derecho del ratón
Ejecute las tareas cliente Análisis completo y Análisis rápido de McAfee ePO
Para ejecutar un Análisis completo o Análisis rápido desde McAfee ePO, asigne una tarea cliente Análisis bajo demanda basado en directiva para
equipos en el Árbol de sistemas.
34
Windows
task_mcafee
1. (Opcional) Configure el comportamiento del análisis en la configuración de directiva Análisis bajo demanda.
2. Seleccione Menú → Directiva → Catálogo de tareas cliente.
3. Desde Tipos de tarea cliente, seleccione Prevención de amenazas de Endpoint Security → Análisis bajo demanda basado en directiva.
4. En Acciones para el tipo de análisis, haga clic en el vínculo Asignar, especifique los equipos a los que asignar la tarea y luego haga
clic en Aceptar.
5. Haga clic en Planificación para planificar la tarea y luego haga clic en Guardar.
Configure, planifique y ejecute tareas de análisis desde el cliente

Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadas desde Cliente de Endpoint
Security en la configuración de Ajustes generales.
Antes de empezar
Establezca el modo de interfaz de Cliente de Endpoint Security en Acceso total o inicie sesión como administrador.
task_mcafee
1. Abra Cliente de Endpoint Security.
2. En el menú Acción , seleccione Configuración.
4. En Ajustes generales, haga clic en Tareas.
5. Configure los ajustes de la tarea de análisis en la página.
Para... Siga estos pasos
Crear una tarea de 1. Haga clic en Agregar.

análisis 2. Introduzca el nombre, seleccione Análisis personalizado en la lista desplegable y haga clic en Siguiente.
personalizada. 3. Configure los ajustes de la tarea de análisis y haga clic en Aceptar para guardar la tarea.
Cambiar una tarea ◦ Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar para guardarla.
de análisis.
Eliminar una tarea ◦ Seleccione la tarea y haga clic en Eliminar.

de análisis
personalizada.
Crear una copia de 1. Seleccione la tarea y haga clic en Duplicar.

una tarea de 2. Introduzca el nombre, configure los ajustes y haga clic en Aceptar para guardar la tarea.
análisis.
Cambiar la 1. Haga doble clic en Análisis completo o Análisis rápido.

planificación de una 2. Haga clic en la ficha Planificación, modifique la planificación y haga clic en Aceptar para guardar la
tarea de Análisis tarea.
completo o Análisis Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en sistemas
rápido. autogestionados.
De forma predeterminada, la ejecución del Análisis completo está planificada el miércoles a las 12 de la
noche. La ejecución del Análisis rápido está planificada cada día a las 19 horas. Las planificaciones
están activadas.
Ejecutar una tarea ◦ Seleccione la tarea y haga clic en Ejecutar ahora.

de análisis.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón cambia a Ver.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint Security le pide confirmación
para guardar la configuración.
35
Windows
6. Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Configure y ejecute tareas cliente Análisis bajo demanda personalizado

Configure tareas cliente Análisis bajo demanda personalizado desde el Catálogo de tareas cliente, y luego asígnelas a equipos en el Árbol de
sistemas.
task_mcafee
2. Desde Tipos de tarea cliente, seleccione Endpoint Security Threat Prevention → Análisis bajo demanda personalizado.
3. Haga clic en el nombre de una tarea cliente existente. o en Nueva tarea.
4. Cerciórese de que Análisis bajo demanda personalizado esté seleccionado y haga clic en Aceptar.
5. Configure los parámetros y haga clic en Guardar.
6. En Acciones, haga clic en el vínculo Asignar, especifique los equipos a los que asignar la tarea y haga clic en Aceptar.
Análisis de memoria diarios

McAfee recomienda configurar una tarea cliente Análisis bajo demanda personalizado para analizar la memoria y los procesos a diario.
El análisis finaliza en 30–90 segundos de media, sin que los usuarios del sistema se vean apenas afectados.
Los rootkits y los procesos ocultos funcionan en el nivel de sistema operativo y permiten a un atacante acceder al sistema en el
nivel de administrador. Los rootkits de malware se pueden instalar sin querer en un equipo de destino cuando los usuarios:
• Abren archivo de contenido enriquecido, como los documentos PDF.
• Abren vínculos maliciosos que parecen legítimos.
• Instalan una aplicación legítima con un rootkit añadido como parte de la instalación.
Importante: Si el análisis de la memoria detecta algún malware en un sistema, ejecute un análisis completo inmediatamente.
Para analizar la memoria y los procesos, configure un Análisis bajo demanda personalizado:
1. Seleccione estas ubicaciones para su análisis:

◦ Memoria para rootkits
◦ Procesos en ejecución
2. Planifique la ejecución del análisis una vez al día a una hora conveniente.
Análisis planificados regularmente según el tipo de sistema

McAfee recomienda que los análisis bajo demanda se planifiquen siguiendo unos intervalos mínimos según el tipo de sistema.
Análisis de estaciones de trabajo de usuarios activos

Como algunas ubicaciones en las estaciones de trabajo de usuarios activos son muchas veces blanco de los ataques de malware,
McAfee recomienda que se analicen estas estaciones de trabajo más a menudo que otros sistemas. Como las ubicaciones son
limitadas, es menos probable que los análisis afecten a los usuarios.
Para activar estaciones de trabajo de usuarios, configure un Análisis bajo demanda personalizado:
1. Especifique estas ubicaciones para su análisis:

◦ Carpeta de perfil del usuario
◦ Carpeta Temp
◦ Archivos registrados(Solo Windows)
◦ Carpeta Windows (Solo Windows)
2. Planifique la ejecución del análisis al menos semanalmente, o incluso a diario.
Sistemas servidor normales

Para analizar estaciones de trabajo servidor normales, configure un Análisis bajo demanda personalizado:
36
Windows
1. Seleccione la opción Sectores de arranque (Solo Windows).
2. Especifique estas ubicaciones para su análisis:
◦ Analizar subcarpetas
◦ Memoria para rootkits (Solo Windows)
◦ Procesos en ejecución (Solo Windows)
◦ Todas las unidades locales
3. Planifique la ejecución del análisis a estos intervalos.
Diario Solo si ha sufrido un brote de malware importante
Semanal Recomendado: agresivo y proporciona buena protección
Mensual Aceptable: proporciona una protección decente, con un riesgo aceptable
Trimestral Intervalo de planificación mínimo
Nota: Para mejorar el rendimiento del sistema durante los análisis bajo demanda de Todas las unidades locales, establezca Uso del
sistema en Por debajo de lo normal o Bajo.
37
Windows
Gestionar Prevención de amenazas
Gestione Prevención de amenazas respondiendo a las detecciones de amenazas, administrando los elementos en cuarentena y
analizando periódicamente la protección.
Administrar AMCore content en el cliente

Puede administrar AMCore content en equipos cliente mediante McAfee ePO o directamente desde Cliente de Endpoint Security.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Archivos de
programa\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar una versión anterior.
Eliminación de AMCore Content del cliente mediante McAfee ePO

Configure tareas cliente Revertir AMCore Content desde el Catálogo de tareas cliente y asígnelas a sistemas en el Árbol de sistemas.
Nota: Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.
task_mcafee
2. En Tipos de tareas cliente, seleccione Prevención de amenazas de Endpoint Security → Quitar AMCore Content.
4. Cerciórese de que Revertir contenido de AMCore esté seleccionado y haga clic en Aceptar.
5. Establezca la configuración y haga clic en Guardar.
Cambio de la versión de AMCore content en un sistema cliente independiente

Utilice Cliente de Endpoint Security para cambiar la versión de AMCore content en el sistema cliente.
Antes de empezar
Nota: Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.
task_mcafee
2. En el menú Acción , seleccione Revertir contenido de AMCore.
3. Seleccione la versión para cargar del elemento desplegable.
4. Haga clic en Aplicar.
Resultados
Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.
Utilice archivos Extra.DAT

Puede instalar un archivo Extra.DAT para proteger los sistemas cliente contra un brote de malware importante hasta que se
publique la próxima actualización de AMCore content.
Acerca de archivos Extra.DAT

Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfee Labs facilita un archivo
Extra.DAT. Los archivos Extra.DAT contienen información que Prevención de amenazas utiliza para manejar el nuevo malware.
Nota: Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud de Extra.DAT de McAfee Labs.
Prevención de amenazas solo admite el uso de un archivo Extra.DAT.
38
Windows
Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo Extra.DAT, la fecha de caducidad se
compara con la fecha de compilación de AMCore content instalado en el sistema. Si la fecha de compilación de AMCore content
es más reciente que la fecha de caducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza.
El Extra.DAT se elimina del sistema en la siguiente actualización.
Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.
Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee\Engine\content\avengine
\extradat.
Descargar archivos Extra.DAT

Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfee Labs.
task_mcafee
1. Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT y haga clic en Guardar.
2. Si es preciso, descomprima el archivo EXTRA.ZIP.
3. Despliegue el archivo Extra.DAT con McAfee ePO o directamente en un sistema cliente independiente con Cliente de Endpoint
Security.
Despliegue de un archivo Extra.DAT en los sistemas cliente desde McAfee ePO

Después de descargar el archivo Extra.DAT, instálelo en el Repositorio principal y despliéguelo en los sistemas cliente mediante una
tarea cliente Actualización de producto.
task_mcafee
1. Seleccione Menú → Software → Repositorio principal.
2. Seleccione Acciones → Incorporar paquetes.
3. Seleccione Extra DAT (.DAT), abra la ubicación en la que descargar el archivo y haga clic en Abrir.
4. Confirme la selección y haga clic en Siguiente.
La página Repositorio principal muestra el paquete de contenido nuevo en la columna Nombre.
5. Replique el archivo Extra.DAT para duplicar sitios, si procede. Ejecute una tarea cliente Repositorios de duplicación de McAfee Agent.
Consejo: Práctica recomendada: Cuando termine de usar el archivo Extra.DAT, quítelo del Repositorio principal y ejecute una
tarea cliente Repositorios de duplicación para quitarlo de los repositorios distribuidos. Quitar el archivo Extra.DAT impide que los
clientes de Prevención de amenazas lo descarguen durante una actualización. De forma predeterminada, la detección de la
nueva amenaza en el archivo Extra.DAT se omite una vez que se agrega la nueva definición de detección a los archivos de
contenido diarios.
6. Despliegue el archivo Extra.DAT en los sistemas cliente mediante una tarea cliente Actualización de producto de McAfee Agent.
7. Envíe una llamada de activación del agente para actualizar los sistemas cliente con el archivo Extra.DAT.
Cargue un archivo Extra.DAT en un sistema cliente independiente

Para instalar el archivo Extra.DAT descargadoen un sistema cliente independiente, utilice Cliente de Endpoint Security.
Antes de empezar
task_mcafee
2. En el menú Acción, seleccione Cargar Extra.dat.
3. Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a continuación, haga clic en Abrir.
4. Haga clic en Aplicar.
Resultados
Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.
39
Windows
Respuesta a detecciones
Cuando se produce una amenaza, la configuración de Prevención de amenazas determina el método de detección y la respuesta
a la amenaza.
Si Prevención de amenazas está configurado para limpiar automáticamente (la opción predeterminada sugerida), la acción
resultante dependerá de la instrucción de limpieza incluida en el archivo de contenido. Por ejemplo, si no se puede limpiar el
archivo, el analizador podría eliminarlo o llevar a cabo la acción secundaria según la instrucción en el archivo de contenido.
Infracciones de puntos de acceso del sistema

Cuando se infringe un punto de acceso de sistema, la acción que se emprende depende de cómo se haya configurado la regla.
Si la regla está configurada con:
• Informar — La información se registra en el archivo de registro.
• Bloquear — Se deniega el acceso.
Siga estos pasos:
1. Revise el archivo de registro para determinar qué puntos de acceso del sistema se han vulnerado y qué reglas han detectado
las infracciones.
2. Configure las reglas de Protección de acceso para que los usuarios puedan tener acceso a elementos legítimos, pero no a los
protegidos.
Utilice estos escenarios para decidir qué medidas tomar como respuesta.
Tipo de detección Escenarios
Procesos no deseados • Si la regla ha informado de la infracción en el archivo de registro pero no la ha bloq

• Si la regla ha bloqueado la infracción pero no ha informado de ella en el archivo de
• Si la regla ha bloqueado la infracción y ha informado de ella en el archivo de regist
• Si descubre un proceso no deseado que no se detectó, edite la regla para que lo in
Procesos legítimos • Si la regla ha informado de la infracción en el archivo de registro pero no la ha bloq

regla.
• Si la regla ha bloqueado la infracción y ha informado de ella en el archivo de regist
legítimo de ser bloqueado.
Detecciones de desbordamiento del búfer

Cuando se produce una detección de desbordamiento del búfer, Prevención de vulnerabilidades bloquea la detección.
Revise la información en el registro de actividades para decidir si va a crear una exclusión.
Si el proceso detectado se utiliza legítimamente, o es un falso positivo, cree una exclusión con la información en el mensaje:
1. Revise la información en la columna Nombre para determinar el nombre del proceso propietario de la memoria de escritura
que hace la llamada.
2. Cree una exclusión para el proceso en la configuración de directiva Prevención de vulnerabilidades.
Detecciones de programas no deseados

Los analizadores en tiempo real y bajo demanda detectan programas no deseados según la directiva de programas no deseados
que se haya configurado y los archivos AMCore content.
Cuando se produce una detección, el analizador que detectó el programa no deseado aplica la acción configurada para este
analizador.
Revise la información del archivo de registro y, a continuación, decida si se debe llevar a cabo alguna de estas acciones
adicionales:
• Perfeccione los elementos de análisis para hacer más eficientes los análisis.
40
Windows
• Excluya el programa de la detección.
Si se detecta un programa legítimo (falso positivo), configúrelo como una exclusión.
• Agregue el programa no deseado a la lista de detección definida por usuario.
Si no se detectó un programa no deseado (falso negativo), agréguelo a la lista de detección definida por usuario en la
configuración de la directiva Opciones.
• Envíe una muestra a McAfee Labs para su análisis.
Si encuentra un falso positivo o un falso negativo, envíe una muestra de la amenaza a McAfee Labs.
Detecciones del análisis en tiempo real

Cuando se detecte una amenaza, el analizador en tiempo real actúa según la configuración de directiva Análisis en tiempo real.
Revise la información en el registro de actividades para decidir si va a emprender más acciones:
• Perfeccione los elementos de análisis.
Para que el análisis sea más eficiente, excluya archivos legítimos y elimine amenazas conocidas de la cuarentena.
• Configure el analizador para realizar acciones en los archivos.
◦ Negar el acceso a los archivos: impide que los usuarios accedan a archivos con amenazas potenciales.
◦ Limpiar archivos: quita la amenaza del archivo detectado, si es posible.
Consejo: Procedimiento recomendado: Utilice Prevención de amenazas, ya que usa la información del archivo de
contenido para limpiar archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y no se
puede reparar, el analizador realiza la segunda respuesta (eliminar o denegar acceso), si procede. En este caso,
restaure el archivo desde una copia de seguridad limpia.
◦ Eliminar archivos: elimina el elemento que contiene la amenaza.
Si una acción no está disponible para la detección actual, la opción correspondiente no estará disponible. Por ejemplo, Limpiar
no está disponible si el archivo ya se ha eliminado, y Eliminar no está disponible si la configuración no lo permite.
• Configure el analizador para que se muestre un mensaje a los usuarios cuando se detecta una amenaza.
Detecciones de análisis bajo demanda

Cuando se produce una detección bajo demanda, la respuesta del analizador depende del tipo de análisis bajo demanda. Para
los análisis bajo demanda personalizados, el analizador utiliza los parámetros de la tarea cliente Análisis bajo demanda personalizado.
Para los análisis bajo demanda basados en directivas, el analizador utiliza la configuración de directiva Análisis bajo demanda.
Revise la información en el archivo de registro para decidir si va a emprender acciones adicionales:
• Perfeccione los elementos que analizar.
Para que el análisis sea más eficiente, excluya archivos legítimos y elimine amenazas conocidas de la cuarentena.
• Configure el analizador para que solicite un acción.
• Configure el analizador para realizar acciones en los archivos.
◦ Continuar analizando: continúa con el análisis cuando se detecta una amenaza.
◦ Limpiar archivos: quita la amenaza del archivo detectado, si es posible.
Consejo: Procedimiento recomendado: Utilice Prevención de amenazas, ya que usa la información del archivo de
contenido para limpiar archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y no se
puede reparar, el analizador realiza la segunda respuesta (eliminar o denegar acceso), si procede. En este caso,
restaure el archivo desde una copia de seguridad limpia.
◦ Eliminar: elimina el elemento que contiene la amenaza.
Elementos en cuarentena
Prevención de amenazas limpia o elimina elementos que se detectan como amenazas y guarda copias en un formato no
ejecutable en la carpeta de cuarentena.
Nota: Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos, registros o todo lo que
Prevención de amenazas analice en busca de malware.
41
Windows
Puede realizar acciones en los elementos en cuarentena. Por ejemplo, puede restaurar un elemento después de descargar una
versión posterior de AMCore content con información que limpia la amenaza.
Configurar parámetros de Quarantine Manager

Configure los parámetros del Administrador de cuarentena, incluida la ubicación de los elementos en cuarentena y durante cuánto
tiempo permanecerán en ella, en la directiva Opciones.
task_mcafee
4. Configure los parámetros de Quarantine Manager.
Administrar elementos en cuarentena

Puede administrar elementos en cuarentena desde McAfee ePO o Cliente de Endpoint Security.
Restauración de los elementos en cuarentena mediante McAfee ePO tareas cliente

Restaure elementos individuales de la cuarentena.
task_mcafee
2. Desde Tipos de tarea cliente, seleccione Endpoint Security Threat Prevention → Restaurar desde cuarentena.
4. Configure los parámetros y haga clic en Guardar.
Administrar elementos en cuarentena desde el cliente

Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puede realizar acciones en los
elementos en cuarentena.
Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido con información que
limpia la amenaza.
Nota: Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos, registros o todo lo que
Endpoint Security analice en busca de malware.
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
task_mcafee
2. Haga clic en Poner en cuarentena en el lado izquierdo de la página.
La página muestra todos los elementos en cuarentena.
Nota: Si Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra un mensaje de error de
comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.
3. Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Para... Haga lo siguiente...
Cambiar el tamaño relativo de los paneles. Haga clic y arrastre el marco deslizante entre los paneles.
42
Windows
Para... Haga lo siguiente...
Ordenar elementos de la tabla por nombre o tipo de Haga clic en el encabezado de columna.
amenaza.
4. En la página Cuarentena, realice acciones en elementos seleccionados.
Para... Siga estos pasos
Eliminar elementos en cuarentena. Seleccione elementos, haga clic en Eliminar y haga clic de
nuevo en Eliminar para confirmar.
Nota: Los archivos eliminados no se pueden restaurar.
Restaurar elementos en cuarentena. Seleccione elementos, haga clic en Restaurar y, a continuación,

haga clic de nuevo en Restaurar para confirmar.
Endpoint Security restaura los elementos a su ubicación
original y los quita de la cuarentena.
Nota: Si un elemento aún es una amenaza válida, Endpoint
Security lo devolverá a la cuarentena la próxima vez que se
acceda a dicho elemento.
Volver a analizar elementos. Seleccione elementos, luego haga clic en Volver a analizar.
Por ejemplo, puede volver a analizar un elemento tras
actualizar la protección. Si el elemento ya no es una
amenaza, lo puede restaurar a su ubicación original y
quitarlo de la cuarentena.
Ver un elemento en el Registro de eventos. Seleccione un elemento y haga clic en el vínculo Ver en Registro
de eventos en el panel de detalles.
La página Registro de eventos se abre, y el evento relacionado
con el elemento seleccionado aparecerá resaltado.
Obtener más información sobre una amenaza. Seleccione un elemento y haga clic en el vínculo Obtenga más
información sobre esta amenaza en el panel de detalles.
Se abre una nueva ventana de navegador en el sitio web
McAfee Labs con más información acerca de la amenaza
que provocó que el elemento se pusiera en cuarentena.
Nombres de detecciones
Los análisis en tiempo real y bajo demanda informan de amenazas por nombre de detección.
Nombre de detección Descripción
Adware Genera ingresos mostrando anuncios dirigidos al usuario. El

adware genera ingresos a través del proveedor o los socios
del proveedor. Algunos tipos de adware pueden capturar o
transmitir información personal.
Marcador Redirige las conexiones de Internet a otra parte distinta del

proveedor de servicios de Internet predeterminado del
usuario. Los marcadores están diseñados para agregar costes
de conexión para un proveedor de contenidos, un vendedor u
otro.
43
Windows
Broma Afirma dañar el equipo pero no tiene carga útil ni uso

maliciosos. Las bromas no afectan a la seguridad o la
privacidad, pero pueden alarmar o molestar al usuario.
Registrador de pulsaciones de teclado Intercepta datos entre el usuario que los introduce y la
aplicación a la que iban destinados. Un caballo troyano y un
programa no deseado registrador de pulsaciones de teclado
pueden funcionar de manera idéntica. El software de McAfee
detecta los dos tipos para evitar intrusiones de privacidad.
Cracker de contraseñas Permite al usuario o administrador recuperar las contraseñas

perdidas u olvidadas desde las cuentas o archivos de datos.
En manos de un atacante, permiten el acceso a información
confidencial y son una amenaza para la seguridad y la
privacidad.
Programa potencialmente no deseado A menudo incluye software legítimo (que no es malware) que
puede alterar el estado de seguridad o la política de
privacidad del sistema. Este software se puede descargar con
un programa que el usuario desea instalar. Puede incluir
spyware, adware, registradores de pulsaciones de teclado,
crackers de contraseñas, herramientas de hacker y
aplicaciones de marcador.
Herramienta de administración remota Otorga a un administrador el control remoto de un sistema.

Estas herramientas pueden suponer una amenaza de
seguridad grave si las controla un atacante.
Spyware Transmite información personal a terceros sin el

conocimiento o consentimiento del usuario. El spyware
genera exploits en los equipos infectados con finalidades
comerciales mediante:
• Envío de anuncios emergentes no solicitados
• Robo de información personal, incluida su información
financiera, como puede ser el número de las tarjetas de
crédito
• Supervisión de la actividad de navegación por la Web para
fines de marketing
• Enrutamiento de solicitudes HTTP a sitios de publicidad
Consulte también Programa potencialmente no deseado.
Sigiloso Es un tipo de virus que intenta evitar ser detectado por el

software antivirus.
También conocido como interceptor interruptor.
Muchos virus sigilosos interceptan solicitudes de acceso a
disco. Cuando una aplicación antivirus intenta leer archivos o
sectores de arranque para encontrar virus, el virus muestra
una imagen "limpia" del elemento solicitado. Otros virus
esconden el tamaño real del archivo infectado y muestran el
tamaño del archivo antes de infectarse.
Troyano Es un programa dañino que se hace pasar por una aplicación

benigna. Un troyano no se replica pero causa daño o pone en
peligro la seguridad del equipo.
44
Windows
Los equipos suelen infectarse:
• Cuando un usuario abre un troyano adjunto en un correo
electrónico.
• Cuando un usuario descarga un troyano de un sitio web.
• Redes de igual a igual.
Como no se replican, los troyanos no se consideran virus.
Virus Capaz de incrustarse en discos u otros archivos y replicarse

repetidamente, normalmente sin el conocimiento o permiso
del usuario.
Algunos virus se adjuntan a archivos, de forma que cuando se
ejecuta el archivo, el virus también se ejecuta. Otros virus
permanecen en la memoria del equipo e infectan más
archivos a medida que ese equipo los va abriendo,
modificando o creando. Algunos virus presentan síntomas,
mientras que otros dañan los archivos y sistemas del equipo.
Repetición de análisis de elementos en cuarentena

Cuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración de análisis diseñada para
proporcionar la máxima protección.
Consejo: Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos. Por ejemplo,
puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a su
ubicación original y quitarlo de la cuarentena.
Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el análisis, las condiciones de
análisis pueden cambiar, lo cual puede afectar a la detección de elementos en cuarentena.
Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre:
• Analiza archivos codificados mediante MIME.
• Analiza archivos de almacenamiento comprimidos.
• Fuerza una búsqueda de McAfee GTI en los elementos.
• Establece el nivel de sensibilidad de McAfee GTI en Muy alto.
Nota: Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la detección de una
amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de Registro) cambian, volver a analizar puede
producir un falso positivo incluso aunque el elemento siga infectado.
Eventos, respuestas y Prevención de amenazas

Configure Respuestas automáticas para responder a los eventos de amenaza.
El Registro de eventos de amenaza es un archivo de registro con todos los eventos de amenaza que McAfee ePO recibe de los sistemas
gestionados.
En McAfee ePO, puede definir los eventos que se reenvían al servidor de McAfee ePO. Para mostrar la lista completa de eventos
en McAfee ePO, seleccione Menú → Configuración → Configuración del servidor, seleccione Filtrado de eventos y haga clic en Editar.
Configure la tarea de servidor Purgar registro de eventos de amenaza para purgar el Registro de eventos de amenazas periódicamente.
Para obtener más información sobre Respuestas automáticas y el trabajo con el Registro de eventos de amenaza, consulte la Ayuda de
McAfee ePO.
Análisis de su protección
El proceso continuo de analizar la protección del sistema permite mejorar la protección y el rendimiento del mismo.
El análisis de su protección le permite determinar:
• A qué amenazas se enfrenta
• Qué malware se utilizó en el ataque
45
Windows
• De dónde provienen las amenazas
• Dónde y cuándo se producen los ataques
• Con qué frecuencia se descubren amenazas
• A qué sistemas van dirigidas
Por ejemplo, si un sistema está siendo continuamente atacado, se podría trasladar a una ubicación más segura de la red y
aumentar la seguridad para protegerlo.
• Cómo afecta el ataque al sistema
El análisis de la protección también es útil para:
• Crear informes dirigidos a administradores y TI.
• Capturar información usada para crear scripts y consultas.
• Supervisar las horas de acceso a la red y el uso de la red para la actualización de Prevención de amenazas.
Paneles y consultas
Utilice paneles para ver información sobre el entorno, incluidos los nombres y números de amenazas, y cómo se extiende la
infección por el entorno. Utilice consultas para determinar dónde y cuándo se producen los ataques.
Para obtener información, consulte la ayuda de McAfee ePO.
Registro de eventos de amenazas

Para determinar qué malware se usó en el ataque, utilice Registro de eventos de amenazas.
• El Nombre de la amenaza y el Tipo de amenaza describen el malware que fue utilizado en el ataque.
• Las Descripciones de eventos describen cómo afectó el ataque al sistema y qué acciones se emprendieron como respuesta a la
amenaza.
• La Dirección IP de origen de la amenaza y la Dirección IP de destino de la amenaza pueden ayudar a decidir qué acción emprender.
Para obtener información, consulte la ayuda de McAfee ePO.
46
Windows
Supervisión de la actividad en el entorno
Un paso importante en la estrategia de protección es el uso de herramientas para supervisar los eventos de malware que se
producen en los sistemas.
Supervisión de la actividad con McAfee ePO

Utilice McAfee ePO para supervisar la actividad de los sistemas gestionados y determinar qué se debe hacer cuando se
produzcan problemas.
Rastreo de la actividad de Prevención de amenazas con paneles y monitores

Use los paneles de McAfee ePO para supervisar Prevención de amenazas.
Los paneles son conjuntos de monitores que rastrean la actividad en el entorno de McAfee ePO.
El módulo proporciona paneles y monitores predefinidos. Según los permisos con los que cuente, podrá utilizar paneles
predefinidos sin modificaciones, editarlos para agregar o quitar monitores, o crear paneles personalizados mediante McAfee
ePO.
Paneles y monitores predefinidos

Prevención de amenazas proporciona los siguientes paneles predefinidos.
Tabla 1: Paneles y monitores de Prevención de amenazas
Panel Monitor Muestra...
Endpoint Security: estado Versiones de los archivos de contenido y del

de contenido motor.
Prevención de amenazas de Endpoint Security: estado de Versión de AMCore y número de sistemas con
contenido esa versión instalada.
Prevención de amenazas de Endpoint Security: estado del Versión del contenido de prevención de exploit y
contenido de prevención de exploit número de sistemas con esa versión instalada.
Endpoint Security: duración Tiempo promedio de los análisis del sistema.

del análisis
Endpoint Security Threat Prevention: duración de los análisis Número de análisis del sistema Análisis completo
completos realizados en los últimos 7 días por el tiempo en horas (desde menos de una
hora hasta más de 12 horas) y el número de
sistemas por duración.
Por cada duración, este monitor muestra:
• Hora de inicio y finalización del análisis
• Nombre del sistema
• Hora de la última comunicación
Endpoint Security Threat Prevention: duración de los análisis Número de análisis del sistema Análisis rápido por
rápidos realizados en los últimos 7 días el tiempo en horas (desde menos de 10 minutos
hasta más de una hora) y el número de sistemas
por duración.
Por cada duración, este monitor muestra:
• Hora de inicio y finalización del análisis
• Nombre del sistema
• Hora de la última comunicación
47
Windows
Además de los paneles predefinidos de Prevención de amenazas, Prevención de amenazas ofrece monitores para varios paneles
de Ajustes generales.
Tabla 2: Paneles de Ajustes generales y monitores de Prevención de amenazas
Panel Monitor Muestra...
Endpoint Security: estado Indica si se ha activado una tecnología (estado

de conformidad de la protección).
Prevención de amenazas de Endpoint Security: estado de Número de sistemas con Protección de acceso
conformidad con la protección de acceso activada o desactivada.
Prevención de amenazas de Endpoint Security: estado de Número de sistemas con AV Content Manager
conformidad de AMCore Content activado o desactivado.
Prevención de amenazas de Endpoint Security: estado de Número de sistemas con prevención de exploits
conformidad de prevención de exploit activada o desactivada.
Prevención de amenazas de Endpoint Security: estado de Número de sistemas con protección de

conformidad del análisis en tiempo real analizador en tiempo real activada o
desactivada.
Endpoint Security: estado Indica si se ha instalado o no un módulo.

de la instalación
Prevención de amenazas de Endpoint Security: HotFixes Número de sistemas con hotfixes de Prevención
instalados de amenazas instalados, incluidos los números
de versión de hotfix.
Endpoint Security: orígenes Cómo entran las amenazas en el entorno.

de eventos de amenaza
Prevención de amenazas de Endpoint Security: aplicaciones con Aplicaciones con más exploits de
más exploits en los últimos 7 días desbordamiento del búfer, incluido el número
de detecciones.
Para obtener información sobre los paneles, consulte la ayuda de McAfee ePO.
Paneles personalizados
Según los permisos que tenga, podrá crear paneles personalizados y agregar monitores mediante consultas de Endpoint
Security predefinidas.
Supervisión de Prevención de amenazas con consultas e informes

Utilice consultas de McAfee ePO para obtener información detallada sobre el estado de los sistemas gestionados y cualquier
amenaza que pudiera haber en el entorno.
Las consultas son las preguntas que se hacen a McAfee ePO, que devuelve respuestas en forma de gráficos y tablas. Los
informes permiten empaquetar una o varias consultas en un solo documento PDF, para el acceso fuera de McAfee ePO. Puede
exportar, descargar o combinar consultas en informes, y utilizar las consultas como monitores de panel.
Hay disponible información similar si se accede a los registros de actividades desde los sistemas individuales del Cliente de
Endpoint Security.
Solo podrá ver datos de consultas correspondientes a recursos en los cuales disponga de permisos. Por ejemplo, si sus permisos
le otorgan acceso a una ubicación específica del Árbol de sistemas, las consultas solo devolverán datos para dicha ubicación.
El módulo agrega consultas predefinidas a los Grupos de McAfee. Según los permisos que tenga, podrá usarlas sin modificaciones,
editarlas o crear consultas personalizadas a partir de eventos y propiedades en la base de datos de McAfee ePO.
48
Windows
Consultas predefinidas
• Prevención de amenazas de Endpoint Security: estado de conformidad con la protección de acceso
• Prevención de amenazas de Endpoint Security: estado de conformidad de AMCore Content
• Prevención de amenazas de Endpoint Security: aplicaciones con más exploits en los últimos 7 días
• Prevención de amenazas de Endpoint Security: estado de contenido
• Endpoint Security Threat Prevention: resumen de respuestas a detecciones
• Endpoint Security Threat Prevention: duración de los análisis completos realizados en los últimos 7 días
• Endpoint Security Threat Prevention: duración de los análisis rápidos realizados en los últimos 7 días
• Prevención de amenazas de Endpoint Security: estado de conformidad de Prevención de exploits
• Prevención de amenazas de Endpoint Security: estado del contenido de Prevención de exploits
• Prevención de amenazas de Endpoint Security: eventos de mitigación de falsos positivos
• Prevención de amenazas de Endpoint Security: HotFixes instalados
• Prevención de amenazas de Endpoint Security: estado de conformidad del análisis en tiempo real
• Endpoint Security Threat Prevention: nivel de sensibilidad del análisis en tiempo real de McAfee GTI
• Endpoint Security Threat Prevention: nivel de sensibilidad del análisis completo bajo demanda de McAfee GTI
• Prevención de amenazas de Endpoint Security: nivel de sensibilidad del análisis rápido bajo demanda de McAfee GTI
• Prevención de amenazas de Endpoint Security: nivel de sensibilidad del análisis con el botón derecho del ratón de McAfee GTI
• Prevención de amenazas de Endpoint Security: sistemas que no han realizado un análisis completo en los últimos 7 días
• Endpoint Security Threat Prevention: sistemas que no han realizado un análisis completo en el último mes
• Endpoint Security Threat Prevention: número de amenazas por gravedad
• Endpoint Security Threat Prevention: amenazas detectadas en los 2 trimestres anteriores
• Endpoint Security Threat Prevention: 10 principales reglas de protección de acceso infringidas
• Endpoint Security Threat Prevention: 10 equipos con más detecciones
• Endpoint Security Threat Prevention: 10 principales amenazas detectadas
• Endpoint Security Threat Prevention: 10 principales exploits prevenidos
• Prevención de amenazas de Endpoint Security: 10 principales orígenes de amenaza
• Endpoint Security Threat Prevention: 10 principales amenazas por categoría de amenaza
• Endpoint Security Threat Prevention: 10 usuarios con más detecciones
Consultas personalizadas
El módulo agrega propiedades predefinidas al grupo de funciones de Endpoint Security. Puede utilizar estas propiedades para crear
consultas personalizadas.
Grupo de
funciones Tipo de resultado Propiedad (columna) Propiedad (columna)
Endpoint Security Sistemas de Prevención de amenazas Motivos adicionales de la protección de Motivos adicionales del análisis en tiempo real
de Endpoint Security acceso
Estado de conformidad con la Estado de conformidad del análisis en tiempo real

protección de acceso
Protección de acceso activada Análisis en tiempo real activado
Motivo de la protección de acceso Sensibilidad del análisis en tiempo real de McAfee

GTI
Motivos adicionales de AMCore Content Motivos del análisis en tiempo real
Días de conformidad de AMCore Fecha del análisis completo bajo demanda

Content
Estado de conformidad de AMCore Duración de análisis completo bajo demanda

Content (horas)
Motivo de AMCore Content Sensibilidad del análisis completo bajo demanda

de McAfee GTI
49
Windows
Grupo de
funciones Tipo de resultado Propiedad (columna) Propiedad (columna)
Versión de contenido de AMCore Fecha del análisis rápido bajo demanda
Versión del motor de AMCore Duración de análisis rápido bajo demanda

(minutos)
Versión de DAT (no Windows) Sensibilidad del análisis rápido bajo demanda de
McAfee GTI
Razones adicionales de Prevención de Motivos adicionales del análisis bajo demanda

exploits
Estado de conformidad de Prevención Estado de conformidad del análisis bajo demanda

de exploits
Contenido de Prevención de exploits Motivos del análisis bajo demanda

creado
Versión del contenido de Prevención de Versión de parche

exploits
Prevención de exploits activada Sensibilidad del análisis con el botón derecho del
ratón de McAfee GTI
Razón de Prevención de exploits Motivos adicionales de ScriptScan
Hotfixes Estado de conformidad de ScriptScan
Idioma ScriptScan activado
Estado de licencia Motivo de ScriptScan
Nombres de las amenazas que

Extra.DAT puede detectar
Para obtener información sobre consultas e informes, consulte la ayuda de McAfee ePO.
Automatización de acciones de Prevención de amenazas con tareas de servidor

Utilice tareas servidor de McAfee ePO para automatizar el mantenimiento o la administración de servidores. Por ejemplo, puede
configurar una tarea servidor para que ejecute una consulta una vez al día y le envíe por correo electrónico el informe.
Las tareas servidor son tareas planificadas de administración o mantenimiento que se ejecutan en el servidor de McAfee ePO.
Las tareas servidor permiten planificar y automatizar tareas repetitivas. Use tareas servidor para supervisar el servidor y el
software.
Según los permisos con que cuente, podrá utilizar tareas servidor predefinidas sin modificaciones, editarlas o crear otras
mediante McAfee ePO.
Tareas de servidor predefinidas

Prevención de amenazas no proporciona tareas de servidor predefinidas. Puede usar tareas de servidor predefinidas de McAfee
ePO para administrar Prevención de amenazas.
Tareas de servidor personalizadas

Para crear una tarea de servidor personalizada de Prevención de amenazas, ejecute el Generador de tareas de servidor y seleccione
una opción en la lista desplegable Acción.
50
Windows
Server task Description
Extracción del repositorio Obtiene paquetes del sitio de origen y los coloca en el Repositorio principal. Seleccione
AMCore Content o Contenido de Prevención de exploit de Endpoint Security como tipo de paquete
para obtener actualizaciones de contenido automáticas.
Ejecutar consulta Ejecuta consultas predefinidas en una planificación y a una hora específicas.
Purgar registro de eventos de amenaza Purga el registro de eventos de amenaza en función de una consulta.
Exportar directivas Descarga un archivo XML que contiene la directiva asociada.
Exportar consultas Crea un archivo de salida de consultas que se puede guardar o enviar por correo
electrónico.
Para obtener información sobre las tareas servidor, consulte la ayuda de McAfee ePO.
Supervisión de la actividad con Cliente de Endpoint Security

Utilice el Cliente de Endpoint Security para supervisar la actividad y los registros de depuración de los sistemas individuales.
Visualización del Registro de eventos

Los registros de actividades y depuración almacenan datos de eventos que se producen en el sistema protegido por McAfee.
Puede ver el Registro de eventos desde Cliente de Endpoint Security.
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
task_mcafee
2. Haga clic en Registro de eventos en la parte izquierda de la página.
Esta página muestra todos los eventos que Endpoint Security haya registrado en el sistema durante los últimos 30 días.
Si el Cliente de Endpoint Security no puede acceder al Administrador de eventos, muestra un mensaje de error de comunicación. En
tal caso, reinicie el sistema para ver el Registro de eventos.
3. Seleccione un evento en el panel superior para ver los detalles en el panel inferior.
Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y arrástrelo entre los paneles.
4. En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.
Las opciones que aparecen dependen de cómo esté configurado el análisis.
Para... Pasos
Ordenar los eventos por fecha, Haga clic en el encabezado de columna.

funciones, acción realizada y
gravedad.
Buscar en el registro de eventos. Introduzca el texto de búsqueda en el campo Buscar y pulse Intro o haga clic en
Buscar.
En la búsqueda no se distingue entre mayúsculas y minúsculas, y el texto buscado se
comprueba en todos los campos del registro de eventos. La lista de eventos incluye
todos los elementos con texto coincidente.
Para cancelar la búsqueda y mostrar todos los eventos, haga clic en x en el campo
Buscar.
Filtrar los eventos por gravedad o En la lista desplegable de filtros, seleccione una opción.
módulo. Para eliminar el filtro y mostrar todos los eventos, seleccione Mostrar todos los eventos de
la lista desplegable.
51
Windows
Para... Pasos
Actualizar el Registro de eventos con Haga clic en .

los eventos nuevos.
Abrir la carpeta que contiene los Haga clic en Ver directorio de registros.
archivos de registro.
5. Navegue por el Registro de eventos.
Para... Pasos
Mostrar la página de Haga clic en Página anterior.

eventos anterior.
Mostrar la página de Haga clic en Página siguiente.

eventos siguiente.
Mostrar una página Introduzca un número de página y pulse Intro o haga clic en Ir.
concreta del registro.
De manera predeterminada, el Registro de eventos muestra 20 eventos por página. Para que aparezcan más eventos por página,
seleccione una opción de la lista desplegable Eventos por página.
Nombres y ubicaciones de los archivos de registro de Prevención de amenazas

Los archivos de registro de actividades, errores y depuración reflejan los eventos que se producen en los sistemas en los que
está activado Endpoint Security. Configure el registro en los parámetros Opciones de Ajustes generales.
Nota: Los archivos de registro de actividades siempre aparecen en el idioma especificado en la configuración regional
predeterminada del sistema.
Todos los archivos de registro de actividades y depuración se almacenan en una de las ubicaciones predeterminadas siguientes,
según el sistema operativo.
Sistema operativo Ubicación predeterminada
Microsoft Windows %ProgramData%\McAfee\Endpoint Security\Logs
Macintosh /var/log
Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo independiente. Los módulos
almacenan los registros de errores en un solo archivo, EndpointSecurityPlatform_Errors.log.
La activación del registro de depuración para cualquier módulo también lo activa para las funciones del módulo Ajustes
generales, como por ejemplo Autoprotección.
Tabla 1: Archivos de registro
Módulo Función o tecnología Nombre del archivo
Prevención de La activación del registro de depuración para cualquier ThreatPrevention_Activity.log

amenazas tecnología de Prevención de amenazas también lo activa
para Cliente de Endpoint Security. ThreatPrevention_Debug.log
Protección de acceso AccessProtection_Activity.log
AccessProtection_Debug.log
Prevención de exploits ExploitPrevention_Activity.log
52
Windows
Módulo Función o tecnología Nombre del archivo
ExploitPrevention_Debug.log
Análisis en tiempo real OnAccessScan_Activity.log
OnAccessScan_Debug.log
Análisis bajo demanda OnDemandScan_Activity.log

• Análisis rápido
OnDemandScan_Debug.log
• Análisis completo
• Análisis con el botón derecho del ratón
Ajustes generales EndpointSecurityPlatform_Errors.log

Contiene registros de errores de
todos los módulos.
Macintosh Utilice MFE–AV para identificar y filtrar entradas de system.log

Prevención de amenazas en los archivos de registro.
McAfeeSecurity.log
De manera predeterminada, los archivos de registro de instalación se almacenan aquí:
TEMP\McAfeeLogs, que es la carpeta TEMP del sistema Windows.
53
Windows
Solución de problemas
Antes de llamar a Soporte de McAfee, lea la información sobre los procesos y las herramientas que puede usar para solucionar
problemas con la configuración de Prevención de amenazas.
Herramientas para la solución de problemas

Como administrador de Endpoint Security, instale y configure herramientas que le ayuden a solucionar problemas y evaluar la
seguridad y el rendimiento del sistema.
Cuando se ponga en contacto con Soporte de McAfee, quizás le pidan que ejecute algunas de estas herramientas durante la
solución de problemas de su configuración. Puede descargar estas herramientas de Internet.
Herramientas de McAfee
Puede descargar estas herramientas de McAfee.
Herramienta Sitio de descarga
WebMER McAfee WebMER
ePOMER MER para McAfee ePO
Herramientas de otros proveedores

Puede descargar estas herramientas de otros proveedores.
Herramienta Ejecutable Sitio de descarga
Verificador de controladores Verificador Microsoft.com
Performance Monitor PerfMon
Pool Monitor PoolMon
Process Monitor ProcMon
Process Explorer ProcExp
Process Dump ProcDump
Windows Object Viewer WinObj
TCP Viewer TCPView
Debug Output Viewer DebugView
Windows Debugger WinDbg
Kernel Rate Viewer KrView
Windows Performance Analysis Tools Xperf
VM Converter Varía Vmware.com
WireShark wireshark Wireshark.org
Uso de la herramienta MER para solucionar problemas

La herramienta MER (Minimum Escalation Requirements) recopila datos de McAfee de Prevención de amenazas y otros
productos de McAfee en el equipo.
54
Windows
Soporte de McAfee utiliza estos datos para analizar y resolver el problema.
La información recopilada por la herramienta MER incluye:
• Detalles del registro
• Detalles de la versión del archivo
• Archivos
• Registros de eventos
• Detalles del proceso
McAfee proporciona dos versiones de MER:
• WebMER se ejecuta en el equipo cliente.
Consulte Utilización de las herramientas MER con productos McAfee compatibles.
• La herramienta MER para McAfee ePO utiliza McAfee ePO para ejecutar la herramienta MER en equipos cliente.
Consulte Utilización de la herramienta MER para McAfee ePO.
Desactivar Prevención de amenazas para solucionar problemas

Si se produce un problema en el sistema que podría estar relacionado con los procesos Prevención de amenazas, desactivar de
forma sistemática las funciones de Prevención de amenazas hasta que el problema deje de producirse.
Precaución: Vuelva a activar los componentes de Prevención de amenazas para proporcionar protección contra malware
nuevamente tras la solución de problemas.
Para desactivar sistemáticamente la función Prevención de amenazas, siga este proceso.
Desactivar Prevención de vulnerabilidades

El primer paso en la desactivación de Prevención de amenazas es desactivar Prevención de vulnerabilidades de Cliente de
Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como
administrador.
task_mcafee
1. En el menú Acción, seleccione Configuración.
2. Haga clic en Threat Prevention y luego en Mostrar avanzado.
3. Haga clic en Prevención de exploits y luego anule la selección de Activar prevención de exploits.
¿El problema original del sistema se ha solucionado al desactivar Prevención de exploits?
◦ Sí: visite el ServicePortal del servicio de soporte de McAfee y busque la solución, o póngase en contacto con el Soporte de
McAfee para obtener ayuda.
◦ No — Continúe con el siguiente paso.
Desactivar la protección de acceso

El próximo paso en la desactivación de Prevención de amenazas es desactivar Protección de acceso desde Cliente de Endpoint
Security.
Antes de empezar
administrador.
task_mcafee
3. Haga clic en Protección de acceso y luego anule la selección de Activar protección de acceso.
¿El problema original del sistema se ha solucionado al desactivar la protección de acceso?
55
Windows
Desactivar ScriptScan
El próximo paso en la desactivación de Prevención de amenazas es desactivar ScriptScan desde Cliente de Endpoint Security.
Antes de empezar
administrador.
task_mcafee
3. Haga clic en Análisis en tiempo real y luego anule la selección de Activar ScriptScan.
¿El problema original del sistema se ha solucionado al desactivar ScriptScan?
Desactivar análisis en tiempo real

El próximo paso en la desactivación de Prevención de amenazas es desactivar los análisis en tiempo real desde Cliente de
Endpoint Security y, si fuera necesario, reiniciar el sistema.
Antes de empezar
administrador.
task_mcafee
3. Haga clic en Análisis en tiempo real y luego anule la selección de Activar análisis en tiempo real.
¿El problema original del sistema se ha solucionado al desactivar el análisis en tiempo real?
◦ No — Continúe con el paso 4.
4. Apagar y reiniciar el sistema.
¿El problema original del sistema se ha solucionado al reiniciar el sistema?
Quite el módulo Prevención de amenazas

El paso final en la desactivación de Prevención de amenazas es quitar completamente Prevención de amenazas y reiniciar el
sistema.
task_mcafee
1. Quitar Prevención de amenazas del sistema.
Consulte la guía de instalación de McAfee Endpoint Security .
2. Reinicie el sistema.
¿El problema original del sistema se ha solucionado al quitar la función Prevención de amenazas y luego reiniciar?
◦ Sí — Probablemente, el problema del sistema estaba relacionado con Prevención de amenazas.
56
Windows
◦ No: visite el ServicePortal del servicio de soporte de McAfee y busque la solución, o póngase en contacto con el Soporte de
Preguntas más frecuentes

A continuación se incluyen las respuestas a las preguntas más frecuentes.
General
¿Por qué algunos usuarios de mi red pueden configurar sus propios ajustes y otros no pueden?
El administrador podría haber configurado parámetros para bloquear la interfaz de Cliente de Endpoint Security. Si es así,
los usuarios no pueden modificar la configuración. Además, los sistemas operativos de Windows establecen diferentes
permisos de usuario. Para obtener más información acerca de los permisos de usuario, consulte la documentación de
Microsoft Windows.
Programas bloqueados
He instalado Prevención de amenazas y ahora uno de mis programas no funciona.
Es posible que una regla de protección de acceso lo haya bloqueado.
1. Revise el archivo de registro de protección de acceso para determinar si una regla ha bloqueado el programa.
2. Si encuentra el programa en la lista del registro, introdúzcalo como exclusión a la regla, o desactive la regla.
57
Windows
COPYRIGHT
Copyright © 2020 McAfee, LLC
McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, LLC o sus filiales en EE. UU. y otros países.
Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

Guia de Modulo de Producto Prevencion de Amenazas de Mcafee Endpoint Security 10.5.0 (Mcafee Epolicy Orchestrat 4-3-2020 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia de Modulo de Producto Prevencion de Amenazas de Mcafee Endpoint Security 10.5.0 (Mcafee Epolicy Orchestrat 4-3-2020 PDF

Título original:

Cargado por

Copyright:

Formatos disponibles

Guía de módulo de producto

Prevención de amenazas de McAfee

Configuración de Prevención de amenazas 10

Gestionar Prevención de amenazas 38

Supervisión de la actividad en el entorno 47

Componentes de Prevención de amenazas

Uso de funciones de Prevención de amenazas para proteger el sistema

Prevención: elusión de amenazas

Detección: localización de amenazas

Respuesta: control de amenazas

Ajuste: supervisión, análisis y ajuste preciso de la protección

Funciones de McAfee ePO aprovechadas por Prevención de amenazas

función de McAfee ePO Prevención de amenazas...

Directivas Agrega directivas predefinidas al Catálogo de directivas.

Consultas e informes Agrega:

Uso de los conjuntos de permisos

Tabla 1: Permisos requeridos por función

Función Permisos requeridos

Tareas cliente Tareas de Prevención de amenazas de Endpoint Security

Paneles y monitores Paneles, Consultas

Directivas Directiva de Prevención de amenazas de Endpoint Security

Consultas Consultas e informes

Tareas de servidor Tareas de servidor

Árbol de sistemas Sistemas, acceso al Árbol de sistemas

Tareas cliente y Prevención de amenazas

Tabla 1: Tareas cliente predefinidas de Prevención de amenazas

Tarea cliente Descripción

Restaurar desde cuarentena Restaura elementos individuales de la cuarentena.

Tabla 2: Tareas cliente predefinidas de McAfee Agent

Tarea cliente Descripción

Despliegue de productos Despliega productos de McAfee en los sistemas cliente.

Uso de directivas en McAfee ePO

Tabla 1: Categorías dePrevención de amenazas

En cada categoría, Prevención de amenazas proporciona directivas predefinidas.

Tabla 2: Directivas predefinidas de Prevención de amenazas

My Default Define parámetros predefinidos para la categoría.

Para esta Especificar elementos ¿Usar

Prevención de Procesos Prevención de exploits Ruta o nombre de archivo Todos

API Nombre de la API

Todos los Nombres de detección Opciones de Prevención de amenazas Nombre de detección Sí

Análisis en Archivos, tipos de Análisis en tiempo real Nombre de archivo o Sí

Análisis bajo Archivos, carpetas y Análisis bajo demanda Nombre de archivo o Sí

Caracteres comodín en exclusiones

Tabla 1: Caracteres comodín válidos

? Signo de Un solo carácter.

* Asterisco Varios caracteres, excepto la barra invertida (\).

** Doble Cero o más caracteres, incluida la barra invertida (\).

Exclusiones a nivel de raíz

Protección de los puntos de acceso del sistema

Cómo obtienen acceso las amenazas

Punto de acceso Descripción

Macros Incluidas en documentos de procesamiento de textos y aplicaciones de hojas de cálculo.

Cómo la Protección de acceso detiene amenazas

Cuando se produce una amenaza

Ejemplo de amenaza de acceso

Acerca de las reglas de protección de acceso

Tipo de regla Descripción

Configuración de reglas de Protección de acceso definidas por McAfee

Reglas de Protección de acceso definidas por McAfee

Regla definida por McAfee Descripción

Configuración de las reglas de Protección de acceso definidas por el usuario

Cómo se evalúan los destinos de subreglas de Protección de acceso