Installation Endpoint PDF

Guía de instalación para
Symantec Endpoint
Protection y Symantec
Network Access Control
Guía de instalación para Symantec Endpoint Protection
y Symantec Network Access Control
El software que se describe en este manual se suministra con contrato de licencia y sólo
puede utilizarse según los términos de dicho acuerdo.
Versión de la documentación 11.00.00.00.00
Aviso legal
Copyright © 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el
logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence
Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de
Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros países. Otros nombres
pueden ser marcas comerciales de sus respectivos propietarios.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribución y descompilación o ingeniería inversa. Está prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorización previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DE

GARANTÍA EN RELACIÓN CON CONDICIONES EXPRESAS O IMPLÍCITAS,
REPRESENTACIONES Y GARANTÍAS, INCLUSO GARANTÍAS IMPLÍCITAS DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIÓN DE
DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIÓN CARECE DE VALIDEZ
LEGAL. SYMANTEC CORPORATION NO SERÁ RESPONSABLE DE DAÑOS INCIDENTALES
O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE
ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTA DOCUMENTACIÓN ESTÁ
SUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentación con licencia se consideran programas informáticos

comerciales según lo definido en la sección 12.212 de la normativa de adquisiciones de la
Administración Federal de los EE. UU. (FAR) y conforme a derechos restringidos según lo
definido en la sección 52.227-19 de la FAR sobre derechos restringidos de los programas
informáticos comerciales, y en la sección 227.7202 de la normativa de adquisiciones de la
Defensa de la Administración Federal de los EE. UU. (DFARS), sobre los derechos de los
programas informáticos comerciales y la documentación de programas informáticos
comerciales, según corresponda, y cualquier normativa siguiente. Cualquier uso,
modificación, versión de reproducción, rendimiento, visualización o divulgación del Software
y de la Documentación con licencia por parte del Gobierno de los EE. UU. se realizará
exclusivamente de acuerdo con los términos de este acuerdo.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.mx
Soluciones de Servicio y Soporte
Symantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestra
meta es ofrecerle ayuda profesional para la utilización de nuestro software y
servicios, cualquiera que sea el lugar del mundo en que se encuentre.
Las soluciones de Soporte técnico y Servicio al cliente varían según el país.
Si tiene alguna pregunta respecto a los servicios que se describen a continuación,
consulte la sección "Para contactar el Servicio y Soporte mundial" al final de este
capítulo.
Registro y licencias
Si el producto que está implementando requiere ser registrado y/o una clave de
licencia, la manera más rápida y fácil de registrar su servicio es acceder a nuestro
sitio de registro y programas de licenciamiento en www.symantec.com/certificate.
También puede ir a http://www.symantec.com/techsupp/ent/enterprise.html,
seleccionar el producto que desea registrar y desde la página principal del producto,
seleccionar el vínculo Registro y licencias.
Si ha adquirido una suscripción de soporte, tiene derecho a recibir asistencia
técnica de Symantec por teléfono y por Internet. Cuando se ponga en contacto
con el servicio de soporte por primera vez, tenga a mano el número de licencia
que aparece en su Certificado de licencia o el Id de contacto que se genera al
registrar el soporte, para que el personal pueda comprobar su autorización de
soporte. Si no ha adquirido una suscripción de soporte, póngase en contacto con
su distribuidor o con el Servicio de Atención al Cliente de Symantec para obtener
información sobre cómo adquirir soporte técnico de Symantec.
Actualizaciones de seguridad
Para obtener la información más reciente sobre las últimas amenazas de seguridad
y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como
SARC) en:
http://www.symantec.com/region/mx/avcenter/.
Este sitio contiene extensa información sobre amenazas de seguridad y de virus,
así como las últimas definiciones de virus. Las definiciones también pueden
descargarse utilizando la función LiveUpdate de su producto.
Renovación de la suscripción de actualizaciones antivirus

La adquisición del servicio de mantenimiento de su producto le da derecho a
descargar definiciones de virus gratuitas durante el plazo de validez de su acuerdo
de mantenimiento. Si su acuerdo de mantenimiento ha caducado, póngase en
contacto con su distribuidor o con el Servicio de Atención al Cliente de Symantec
para obtener información sobre la renovación del acuerdo.
Los sitios Web de Symantec:

Página principal de Symantec (por idioma):
■ Alemán:
http://www.symantec.de
■ Español:
http://www.symantec.com/region/es
■ Francés:
http://www.symantec.fr
■ Inglés:
http://www.symantec.com
■ Italiano:
http://www.symantec.it
■ Neerlandés:
http:// www.symantec.nl
■ Portugués:
http://www.symantec.com/br
Symantec Security Response:
■ http://securityresponse.symantec.com
Página de Servicio y Soporte Empresarial de Symantec:
■ http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Boletines de noticias de productos:
■ EE.UU., Pacífico Asiático / inglés:
http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Medio y África / inglés:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemán:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francés:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina / inglés:
Soporte Técnico
Nuestro grupo de soporte técnico global, por ser parte integrante de Symantec
Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro
papel principal es responder a preguntas específicas sobre
características/funciones de los productos, instalaciones y configuración, además
de elaborar el contenido de nuestra Base de conocimientos accesible por Internet.
Trabajamos en colaboración con las otras áreas funcionales de Symantec para
responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniería
de productos, así como con nuestros Centros de Investigación de Seguridad para
suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando
hay ataques de virus y alertas de seguridad. Nuestros servicios más importantes
incluyen:
■ Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar
la amplitud de servicio necesaria para una organización de cualquier tamaño.
■ Componentes de soporte telefónico y de Web que le proporcionan respuestas
rápidas y la información más reciente.
■ Actualizaciones de producto que proporcionan protección automática y
actualizada de software.
■ Actualizaciones de contenido para definiciones de virus y firmas de seguridad
que le garantizan el más alto nivel de protección.
■ Soporte global de los expertos de Symantec Security Response, disponible las
24 horas del día, 7 días por semana, en todo el mundo, en varios idiomas.
■ Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de
Administrador de cuentas técnico que suministran respuestas mejoradas y
soporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener información actualizada sobre los
programas de soporte.
Para contactarnos
Los clientes que tienen un acuerdo de soporte válido pueden ponerse en contacto
con el equipo de Soporte Técnico por teléfono, a través de la Web en la dirección
URL a continuación o utilizando los sitios de soporte regionales que se indican
más adelante en este documento.
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Cuando se ponga en contacto con el personal de Soporte Técnico, asegúrese de
tener a mano la siguiente información:
■ Número de versión del producto
■ Información del hardware
■ Memoria disponible, espacio en disco, información sobre el NIC (tarjeta interfaz
de red)
■ Sistema operativo
■ Versión y nivel de parche
■ Topología de la red
■ Router, gateway y dirección IP
■ Descripción del problema
■ Mensajes de error/archivos de registro
■ Soluciones intentadas antes de ponerse en contacto con Symantec
■ Cambios recientes en la configuración del software y/o cambios en la red
Servicio de Atención al Cliente de Symantec

El Centro de Servicio de Atención al Cliente de Symantec puede prestarle ayuda
en asuntos no técnicos, tales como:
■ Información general sobre productos (características, idiomas disponibles,
distribuidores en su área, etc.).
■ Solución de problemas básicos, tales como comprobar el número de versión
del producto.
■ Información más reciente sobre actualizaciones y nuevas versiones de
productos.
■ Cómo actualizar su producto.
■ Cómo registrar su producto y/o licencias.
■ Información sobre los programas de licenciamiento de Symantec.
■ Información sobre seguros de actualización y contratos de mantenimiento.
■ Reemplazo de CD y manuales.
■ Actualización de su registro de producto para reflejar un cambio de nombre o
dirección.
■ Consejos sobre las opciones de soporte técnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa información de
servicio al cliente. Esta información también se puede obtener llamando al Centro
de Servicio al cliente de Symantec. Consulte la sección "Para contactar el Servicio
y Soporte mundial", que aparece al final de este capítulo, para obtener el número
y las direcciones Web del Servicio al cliente de su área.
Para contactar el Servicio y Soporte mundial

En Europa, Oriente Medio, África y América Latina.
Sitios Web de Servicio y Soporte de Symantec
■ Alemán:
www.symantec.de/desupport/
■ Español:
www.symantec.com/region/mx/techsupp/
■ Francés:
www.symantec.fr/frsupport/
■ Inglés:
www.symantec.com/eusupport/
■ Italiano:
www.symantec.it/itsupport/
■ Neerlandés:
www.symantec.nl/nlsupport/
■ Portugués:
www.symantec.com/region/br/techsupp/
■ Dirección FTP de Symantec:ftp.symantec.com (para descargar notas técnicas
y los últimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener información
técnica y no técnica sobre su producto.
Symantec Security Response :
■ http://www.symantec.com/region/mx/avcenter/
Boletines de noticias de productos:
■ EE.UU. / inglés:
■ Europa, Oriente Medio, África y América Latina / inglés:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemán:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francés:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina / inglés:
Servicio de Atención al Cliente de Symantec
Proporciona información y consejos no técnicos por teléfono en los siguientes
idiomas: inglés, alemán, francés, italiano y español.
■ Alemania
+ (49) 69 6641 0315
■ Austria
+ (43) 1 50 137 5030
■ Bélgica
+ (32) 2 2750173
■ Dinamarca
+ (45) 35 44 57 04
■ España
+ (34) 91 7456467
■ Finlandia
+ (358) 9 22 906003
■ Francia
+ (33) 1 70 20 00 00
■ Holanda
+ (31) 20 5040698
■ Irlanda
+ (353) 1 811 8093
■ Italia
+ (39) 02 48270040
■ Luxemburgo
+ (352) 29 84 79 50 30
■ Noruega
+ (47) 23 05 33 05
■ Sudáfrica
+ (27) 11 797 6639
■ Suecia
+ (46) 8 579 29007
■ Suiza
+ (41) 2 23110001
■ RU
+ (44) 20 7744 0367
■ Otros países
+ (353) 1 811 8093 (sólo en inglés)
Servicio de Atención al Cliente de Symantec – Dirección postal
■ Symantec Ltd
Customer Service Centre
Europa, Oriente Medio y África (EMEA)
PO Box 5689
Dublín 15
Irlanda
En América Latina
Symantec proporciona Soporte técnico y Servicio de Atención al Cliente en todo
el mundo. Los servicios varían según los países e incluyen socios internacionales,
representantes de Symantec en las zonas en que Symantec no tiene una oficina.
Para más información, póngase en contacto con la oficina de Servicio y Soporte
Symantec de su región.
Argentina
■ Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ,
Ciudad de Buenos Aires
Argentina
Central telefónica: +54 (11) 5811-3225
Sitio Web: http://www.service.symantec.com/mx
Soporte Gold: 0800-333-0306
Venezuela
■ Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Dong Cheng District
Venezuela
Soporte Gold: 0800-1-00-2543
Colombia
■ Carrera 18# 86A-14
Oficina 407,
Bogota D.C.
Colombia
Brasil
■ Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil, SA
Fax: +55 (11) 5189-6210
Sitio Web: http://www.service.symantec.com/br
Soporte Gold: 000814-550-4172
Chile
■ Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
México
■ Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, Mexico D.F.
México
Soporte Gold: 001880-232-4615
Resto de América Latina
■ 9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A
Soporte Gold:
Costa Rica: 800-242-9445
Panama: 800-234-4856
Puerto Rico: 800-232-4615
En el Pacífico Asiático
Symantec proporciona Soporte técnico y Servicio de Atención al Cliente en todo
el mundo. Los servicios varían según los países e incluyen socios internacionales,
representantes de Symantec en las zonas en que Symantec no tiene una oficina.
Para más información, póngase en contacto con la oficina de Servicio y Soporte
Symantec de su región.
Oficinas de Servicio y Soporte
AUSTRALIA
■ Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australia
Central telefónica: +61 2 8879 1000
Fax: +61 2 8879 1001
Sitio Web: http://service.symantec.com
Soporte Gold: 1800 805 834 gold.au@symantec.com
Admin. contratos de soporte: 1800 808 089 contractsadmin@symantec.com
CHINA
■ Symantec China
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.
Soporte Técnico: +86 10 8518 6923
Fax: +86 10 8518 6928
Sitio Web: http://www.symantec.com.cn
HONG KONG
■ Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
Central telefónica: +852 2528 6206
Soporte Técnico: +852 2528 6206
Fax: +852 2526 2646
Sitio Web: http://www.symantec.com.hk
INDIA
■ Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, India
Soporte Técnico: +91 22 652 0671
Fax: +91 22 657 0669
Sitio Web: http://www.symantec.com/india
COREA
■ Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Corea del Sur
Fax: +822 3420 8650
Sitio Web: http://www.symantec.co.kr
MALASIA
■ Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malasia
Correo electrónico empresarial: gold.apac@symantec.com
Nº empresarial gratuito: +1800 805 104
Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
■ Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nueva Zelanda
Fax: +64 9 375 4101
Sitio Web de support: http://service.symantec.co.nz
Soporte Gold: 0800 174 045 gold.nz@symantec.com
Admin. contratos de soporte: 0800 445 450 contractsadmin@symantec.com
SINGAPUR
■ Symantec Singapore
6 Battery Road
#22-01/02/03
Singapur 049909
Central telefónica: 1800 470 0730
Fax: +65 6239 2001
Soporte Técnico: 1800 720 7898
Sitio Web: http://www.symantec.com.sg
TAIWÁN
■ Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taiwán
Soporte corporativo: +886 2 8761 5800
Fax: +886 2 2742 2838
Soporte Gold: 0800 174 045 gold.nz@symantec.com
Sitio Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la información contenida en este documento
esté libre de errores. Sin embargo, dicha información puede estar sujeta a
modificaciones. Symantec Corporation se reserva el derecho de realizar dichas
modificaciones sin previo aviso.
Contenido
Soluciones de Servicio y Soporte

Capítulo 1 Presentación de los productos de Symantec
Acerca de sus productos de Symantec .............................................. 23
Acerca de Symantec Endpoint Protection ................................... 23
Acerca de Symantec Network Access Control .............................. 26
Acerca de Symantec Endpoint Protection Manager ...................... 27
Componentes que funcionan con Symantec Endpoint Protection
Manager ............................................................................... 28
Funcionamiento de Symantec Endpoint Protection Manager ................ 29
Entornos administrados y no administrados ............................... 29
Acerca de los grupos ............................................................... 30
Interacción de clientes y servidores ........................................... 30
Acciones que pueden llevarse a cabo con Symantec Endpoint
Protection Manager ................................................................ 30
Sitios donde se puede obtener más información ................................. 31
Capítulo 2 Instalación por primera vez

Antes de proceder a la instalación ................................................... 33
Instalar y configurar Symantec Endpoint Protection Manager .............. 35
Configurar e implementar el software de cliente ................................ 37
Iniciar sesión y buscar su grupo en la consola .................................... 38
Iniciar sesión en la consola de administración ............................. 38
Cómo encontrar su grupo en la consola ...................................... 39
Configurar LiveUpdate para actualizaciones de sitio ........................... 39
Configurar LiveUpdate para actualizaciones de clientes ...................... 40
Configurar una política de configuración de LiveUpdate ................ 41
Configurar una política de contenido de LiveUpdate ..................... 42
Configurar y probar Symantec Endpoint Protection ............................ 43
Configurar una política antivirus y contra software espía
predeterminada ............................................................... 43
Probar las funciones antivirus .................................................. 44
Configurar y probar Symantec Network Access Control ....................... 48
Crear una política de integridad del host ..................................... 48
Probar una política de integridad del host ................................... 50
16 Contenido
Capítulo 3 Planificar la instalación de producción

Acerca de la planificación de la instalación y la arquitectura de
red ...................................................................................... 51
Requisitos de sistema y de red ........................................................ 56
Acerca de la definición de derechos administrativos en equipos
de destino ....................................................................... 56
Acerca de la configuración de derechos de usuarios con Active
Directory ........................................................................ 56
Requisitos de instalación del sistema ......................................... 57
Acerca de la compatibilidad con VMWare ................................... 64
Acerca de los firewalls de escritorio y los puertos de
comunicación ........................................................................ 65
Habilitar y modificar firewalls de Windows ....................................... 67
Acerca de los firewalls de Windows y Symantec ........................... 68
Deshabilitar el Servidor de seguridad de conexión a
Internet .......................................................................... 68
Deshabilitar el Firewall de Windows XP ...................................... 69
Modificar el firewall de Windows Vista ...................................... 70
Preparar equipos con Windows XP/Vista para la implementación
remota ................................................................................. 70
Preparar equipos que ejecutan Windows XP en grupos de
trabajo ........................................................................... 71
Preparar equipos con Windows Vista ......................................... 71
Preparar equipos para la instalación ................................................ 73
Eliminar amenazas de virus y riesgos de seguridad ....................... 73
Evaluar software de cliente de otros fabricantes .......................... 73
Instalar software de cliente en etapas ........................................ 73
Reinicios del equipo obligatorios ..................................................... 74
Capítulo 4 Instalar Symantec Endpoint Protection Manager

Antes de proceder a la instalación .................................................. 75
Instalar Symantec Endpoint Protection Manager con una base de
datos integrada ...................................................................... 76
Acerca de la configuración de instalación de la base de datos
integrada ........................................................................ 76
Instalar Symantec Endpoint Protection Manager con la base de
datos integrada ................................................................ 78
Instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL ........................................................... 81
Preparar Microsoft SQL Server 2000/2005 para la creación de
una base de datos ............................................................. 81
Contenido 17
Acerca de las opciones de instalación de la base de datos de

Microsoft SQL Server ........................................................ 86
Instalar Symantec Endpoint Protection Manager con una base
de datos de Microsoft SQL .................................................. 90
Instalar consolas adicionales de Symantec Endpoint Protection
Manager ............................................................................... 94
Instalar y configurar Symantec Endpoint Protection Manager para
la conmutación por error o el balanceo de carga ........................... 95
Instalar Symantec Endpoint Protection Manager para la
conmutación por error o el balanceo de carga ........................ 95
Configurar conmutación por error y balanceo de carga ................. 96
Instalar y configurar Symantec Endpoint Protection Manager para
la replicación ....................................................................... 100
Instalar Symantec Endpoint Protection Manager para la
replicación .................................................................... 100
Configurar Symantec Endpoint Protection Manager para la
replicación .................................................................... 101
Ajustar el tamaño de pila de Symantec Endpoint Protection
Manager ............................................................................. 102
Actualizar desde la base de datos integrada a Microsoft SQL
Server ................................................................................ 103
Hacer copia de respaldo del almacén de claves y los archivos
server.xml ..................................................................... 104
Hacer una copia de respaldo de la base de datos integrada ............ 105
Instalar una instancia de Microsoft SQL Server 2000 ó 2005 ......... 105
Desinstalar Symantec Endpoint Protection Manager con una
base de datos integrada ................................................... 106
Volver a instalar Symantec Endpoint Protection Manager con
una base de datos de Microsoft SQL ................................... 106
Restaurar el archivo de almacén de claves de Java original ........... 107
Volver a configurar Symantec Endpoint Protection
Manager ....................................................................... 108
Desinstalar Symantec Endpoint Protection Manager ......................... 109
Capítulo 5 Instalar el software de cliente de Symantec

Acerca del software de instalación de clientes de Symantec ................ 111
Acerca de Symantec Endpoint Protection .................................. 112
Acerca del software de Symantec Network Access Control ........... 113
Acerca de Windows Installer versión 3.1 ................................... 113
Acerca de los grupos y los clientes ........................................... 113
Acerca de la instalación de software de cliente no administrado .......... 114
Crear paquetes de instalación de clientes ........................................ 114
18 Contenido
Acerca de la implementación de software de cliente desde una unidad

asignada ............................................................................. 115
Implementar software de cliente con el Asistente de implementación
mediante transferencia ......................................................... 116
Implementar software de cliente con Buscar equipos no
administrados ...................................................................... 117
Importar listas de equipos ............................................................ 119
Crear un archivo de texto de equipos para instalar ...................... 119
Importar un archivo de texto de los equipos que desea
instalar ......................................................................... 120
Acerca de la instalación y la implementación de software con
Altiris ................................................................................ 120
Opciones de instalación de otros fabricantes .................................... 121
Acerca de la instalación de clientes mediante productos de otros
fabricantes .................................................................... 121
Acerca de la personalización de las instalaciones mediante
opciones de .msi ............................................................. 121
Acerca de la instalación de clientes con Microsoft SMS
2003 ............................................................................ 121
Instalar clientes con un Objeto de directiva de grupo de Active
Directory ...................................................................... 123
Desinstalar el software de cliente con un Objeto de directiva de
grupo de Active Directory ................................................ 130
Acerca de la desinstalación de software de cliente ............................ 131
Capítulo 6 Instalar los servidores de Cuarentena y de LiveUpdate

Antes de proceder a la instalación ................................................. 133
Instalar y configurar la Cuarentena central ..................................... 133
Instalar la consola de cuarentena ............................................ 134
Instalar el Servidor de cuarentena ........................................... 135
Adjuntar un servidor de administración a la Cuarentena central
................................................................................... 137
Configurar los grupos para que utilicen Cuarentena central ......... 138
Acerca del uso de un servidor de Symantec LiveUpdate ..................... 139
Instalar y configurar un servidor de LiveUpdate ............................... 141
Desinstalar componentes de administración de Symantec Endpoint
Security .............................................................................. 142
Capítulo 7 Migrar de Symantec AntiVirus y Symantec Client

Security
Descripción y secuencia de migración ............................................ 144
Rutas de migración compatibles e incompatibles .............................. 145
Contenido 19
Migraciones compatibles ....................................................... 146

Migraciones que se bloquean .................................................. 146
Migraciones incompatibles ..................................................... 146
Acerca de la migración de Cuarentena central ............................ 147
Preparar instalaciones de versiones anteriores para la
migración ........................................................................... 147
Preparar todas las instalaciones de versiones anteriores .............. 147
Preparar instalaciones de versiones anteriores de Symantec
10.x/3.x ........................................................................ 151
Acerca de migrar y no conservar los servidores y los grupos de clientes
y la configuración ................................................................. 152
Acerca de la migración de grupos y opciones ................................... 153
Acerca de las opciones que no se migran ......................................... 157
Acerca de los paquetes y la implementación .................................... 157
Acerca de los paquetes de instalación de clientes que se generan
durante la migración ....................................................... 158
Exportar y dar formato a una lista de nombres de equipos cliente
para migrar ................................................................... 159
Puertos de comunicaciones que se abren ................................... 161
Acerca de la preparación de los equipos cliente para la
migración ..................................................................... 162
Instalar Symantec Endpoint Protection Manager .............................. 162
Migrar opciones de configuración de grupos de clientes y
servidores ........................................................................... 164
Verificar la migración y actualizar políticas migradas ....................... 165
Migrar clientes no administrados .................................................. 166
Acerca de migrar clientes no administrados con archivos
CD ............................................................................... 166
Migrar clientes no administrados con paquetes exportados .......... 167
Qué se ha modificado para los administradores de versiones
anteriores ........................................................................... 168
Capítulo 8 Migrar software de versión anterior de Symantec

Sygate
Acerca de la migración a Symantec Endpoint Protection 11.x ............. 174
Acerca de la migración del servidor de Symantec Sygate y el
software de administración .............................................. 174
Acerca de la migración del software de cliente de versiones
anteriores de Symantec Sygate ......................................... 176
Acerca de la migración a Symantec Network Access Control 11.x ........ 177
Acerca de la migración del software de servidor de versiones
20 Contenido
Acerca de la migración del software de cliente de versiones

Acerca de las actualizaciones de Enforcer ....................................... 178
Situaciones de migración de servidores .......................................... 179
Migrar una instancia de instalación que utiliza un servidor de
administración ............................................................... 179
Migrar una instancia de instalación que utiliza una base de datos
de Microsoft SQL y varios servidores de
administración ............................................................... 180
Migrar una instancia de instalación que utiliza varias bases de
datos integradas y servidores de administración .................. 180
Migrar una instancia de instalación que utiliza varias bases de
datos SQL y servidores de administración ........................... 181
Procedimientos de migración de servidores de administración ............ 182
Migrar un servidor de administración ...................................... 183
Detener los servidores antes de la migración de balanceo de carga
y conmutación por error .................................................. 184
Deshabilitar la replicación antes de la migración ........................ 184
Habilitar la replicación después de la migración ......................... 185
Cambios de la interfaz y de las funciones del usuario de la consola
después de la migración ......................................................... 186
Migrar consolas de administración remotas .................................... 187
Acerca de la configuración de políticas migradas y nuevas ................. 187
Acerca de la eliminación de la protección de contraseña del cliente
de la configuración del grupo .................................................. 188
Migrar software de cliente de versiones anteriores de Symantec
Sygate ................................................................................ 188
Capítulo 9 Actualizar a los nuevos productos de Symantec

Acerca de la actualización a nuevos productos de Symantec ............... 191
Actualizar Symantec Endpoint Protection Manager .......................... 191
Realizar una copia de respaldo de la base de datos ...................... 192
Deshabilitar la replicación ..................................................... 192
Detener el servicio de Symantec Endpoint Protection
Manager ....................................................................... 193
Actualizar Symantec Endpoint Protection Manager .................... 193
Habilitar la replicación después de la migración ......................... 194
Acerca de actualizar clientes de Symantec Endpoint Protection con
Symantec Network Access Control ........................................... 195
Acerca de actualizar clientes de Symantec Network Access Control
con Symantec Endpoint Protection .......................................... 195
Contenido 21
Apéndice A Funciones y propiedades de instalación de Symantec

Endpoint Protection
Acerca de las funciones y propiedades de instalación ........................ 197
Acerca de la configuración de Setaid.ini .................................... 198
Acerca de la configuración de cadenas de comando de MSI ........... 199
Funciones y propiedades de la instalación de clientes ........................ 200
Funciones del cliente de Symantec Endpoint Protection ............... 200
Propiedades de la instalación de clientes de Symantec Endpoint
Protection ..................................................................... 202
Parámetros de Windows Installer .................................................. 203
Propiedades del Centro de seguridad de Windows ............................. 205
Acerca de la utilización del archivo de registro para comprobar
errores ............................................................................... 206
Identificación del punto de falla de una instalación ........................... 207
Ejemplos de línea de comandos .................................................... 207
Apéndice B Actualizar el software de cliente de Symantec

Acerca de las actualizaciones y los parches ...................................... 209
Actualizar el software de cliente de Symantec .................................. 210
Apéndice C Recuperación después de un desastre

Cómo prepararse para la recuperación después de un desastre ............ 213
Acerca del proceso de recuperación después de un desastre ................ 216
Restaurar Symantec Endpoint Protection Manager ........................... 217
Acerca de identificar el equipo nuevo o reconstruido ................... 217
Volver a instalar Symantec Endpoint Protection Manager ............ 217
Restaurar el certificado del servidor ............................................... 218
Restaurar comunicaciones de clientes ............................................ 219
Restaurar comunicaciones de clientes con una copia de respaldo
de la base de datos .......................................................... 219
Restaurar comunicaciones de clientes sin una copia de respaldo
de la base de datos .......................................................... 221
Índice
22 Contenido
Capítulo 1
Presentación de los
productos de Symantec
En este capítulo se incluyen los temas siguientes:
■ Acerca de sus productos de Symantec
■ Componentes que funcionan con Symantec Endpoint Protection Manager
■ Funcionamiento de Symantec Endpoint Protection Manager
■ Acciones que pueden llevarse a cabo con Symantec Endpoint Protection

Manager
■ Sitios donde se puede obtener más información
Acerca de sus productos de Symantec

Sus productos de Symantec pueden incluir Symantec Endpoint Protection y
Symantec Network Access Control. Ambos productos incluyen Symantec Endpoint
Protection Manager, que proporciona la infraestructura para instalar y administrar
Symantec Endpoint Protection y Symantec Network Access Control. Symantec
Endpoint Protection y Symantec Network Access Control son dos tecnologías
diferentes de protección de puntos finales que funcionan juntas. Este libro incluye
ambas tecnologías de protección de puntos finales, que se compran por separado.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection protege dispositivos informáticos de punto final
contra virus, amenazas y riesgos, y proporciona tres capas de protección a sus
dispositivos informáticos de punto final. Las capas son: protección contra amenazas
24 Presentación de los productos de Symantec
de red, protección proactiva contra amenazas y protección antivirus y contra

software espía.
Figura 1-1 Capas de protección
Protección contra
amenazas de red
Protección proactiva contra

amenazas
Protección antivirus y
contra software espía
La protección contra amenazas de red bloquea el acceso de las amenazas a su

equipo mediante normas y firmas. La protección proactiva contra amenazas
identifica y atenúa las amenazas que se basan en el comportamiento de la amenaza.
La protección antivirus y contra software espía identifica y atenúa las amenazas
que intentan acceder o han accedido a sus equipos con las firmas que Symantec
crea.
Acerca de la protección contra amenazas de red

La protección contra amenazas de red consiste en software de firewall y de
prevención de intrusiones para proteger dispositivos informáticos de punto final.
El firewall admite las normas que se escriben para puertos y aplicaciones
específicos, y utiliza la inspección de estado de todo el tráfico de red. Por lo tanto,
para todo el tráfico de red iniciado por clientes, sólo es necesario crear una norma
saliente para admitir ese tráfico. El tráfico de vuelta que responde al tráfico saliente
es permitido automáticamente por la inspección de estado.
El firewall proporciona compatibilidad total con TCP, UDP, ICMP y todos los
protocolos de IP tales como ICMP y RSVP. El firewall también admite protocolos
de Ethernet tales como Token Ring y puede bloquear controladores de protocolo
tales como VMWare y WinPcap. El firewall puede reconocer automáticamente el
tráfico legítimo de DNS, DHCP y WINS, de forma que es posible marcar una casilla
para permitir este tráfico sin necesidad de escribir una norma.
Presentación de los productos de Symantec 25
Nota: Symantec asume que usted construye su base de normas de firewall de forma
que se prohíba todo el tráfico que no esté permitido. El firewall no admite IPv6.
El motor de prevención de intrusiones admite la comprobación en busca de análisis

de puertos y ataques de negación de servicio, y protege contra ataques de
desbordamiento de búfer. Este motor también admite el bloqueo automático del
tráfico malicioso de equipos infectados. El motor de detección de intrusiones
admite la inspección de paquetes profunda y expresiones regulares, y permite
crear firmas personalizadas con un formato similar a SNORT.
Acerca de la protección proactiva contra amenazas

La protección proactiva contra amenazas incluye seguridad basada en
comportamiento que identifica amenazas en línea tales como gusanos, virus,
caballos de Troya y registradores de pulsaciones. La protección proactiva contra
amenazas identifica estas amenazas por sus acciones y características, no con las
firmas de seguridad tradicionales. La protección proactiva contra amenazas analiza
el comportamiento de la amenaza y lo compara con centenares de módulos de
detección para determinar si los procesos activos son seguros o maliciosos. Esta
tecnología puede detectar y atenuar inmediatamente las amenazas desconocidas
por su comportamiento sin las firmas o los parches tradicionales.
En los sistemas operativos de 32 bits compatibles, la protección proactiva contra
amenazas también permite controlar el acceso de lectura, escritura y ejecución
para dispositivos de hardware, archivos y claves del registro. Si es necesario, es
posible ajustar el control a sistemas operativos específicos compatibles. Es posible
también bloquear dispositivos periféricos por ID de clase, tales como USB,
Bluetooth, infrarrojos, FireWire, de serie, paralelos, SCSI y PCMCIA.
Acerca de la protección contra amenazas de virus y software

espía
La protección contra amenazas de virus y software espía previene infecciones en
los equipos mediante el análisis del sector de arranque, la memoria y los archivos
en busca de virus, software espía y riesgos de seguridad. La protección contra
amenazas de virus y software espía utiliza las firmas de virus y riesgos de seguridad
que se encuentran en los archivos de definiciones de virus. Esta protección también
protege los equipos bloqueando riesgos de seguridad antes de que se instalen, si
esta acción no deja el equipo en un estado inestable.
La protección contra amenazas de virus y software espía incluye Auto-Protect,
que detecta virus y riesgos de seguridad cuando intentan acceder a la memoria o
instalarse. Auto-Protect también analiza en busca de riesgos de seguridad tales
como publicidad no deseada y software espía. Cuando encuentra riesgos de
seguridad, pone en cuarentena los archivos infectados, o quita y repara los efectos
secundarios de los riesgos de seguridad. También se puede deshabilitar el análisis
de riesgos de seguridad en Auto-Protect. Auto-Protect puede reparar riesgos
complicados, tales como riesgos de modo de usuario ocultos (rootkits) y riesgos
de seguridad persistentes que son difíciles de quitar o que se reinstalan.
La protección contra amenazas de virus y software espía también incluye análisis
de Auto-Protect para programas de correo electrónico de Internet que supervisa
todo el tráfico POP3 y SMTP. Es posible configurar la protección contra amenazas
de virus y software espía a fin de analizar los mensajes entrantes en busca de
amenazas y riesgos de seguridad, así como los mensajes salientes en busca de
heurística conocida. El análisis de los mensajes enviados ayuda a evitar la
propagación de amenazas como los gusanos, que pueden utilizar los clientes de
correo electrónico para replicarse en una red.
Nota: Auto-Protect para los programas de correo electrónico de Internet basados

en Web está bloqueado en la instalación en sistemas operativos basados en
servidor. Por ejemplo, no es posible instalar esta función en Windows 2003 Server.
Acerca de Symantec Network Access Control

Symantec Network Access Control protege las redes contra dispositivos
informáticos de punto final no autorizados, mal configurados o infectados. Por
ejemplo, Symantec Network Access Control puede negar el acceso a la red a los
equipos cliente que no ejecuten versiones específicas del software y de las firmas.
Si los equipos cliente no cumplen con los requisitos, Symantec Network Access
Control puede ponerlos en cuarentena y repararlos. Por ejemplo, si los equipos
cliente tienen definiciones antivirus de más de una semana de antigüedad,
Symantec Network Access Control puede poner en cuarentena los equipos.
Symantec Network Access Control puede actualizar los equipos con las últimas
definiciones antivirus (corrección) y después permitir que los equipos accedan a
la red.
Symantec Network Access Control le permite controlar esta protección con
políticas de integridad del host. Se crean políticas de integridad del host con la
Consola de Symantec Endpoint Protection Manager y después se aplican las
políticas a los grupos de equipos cliente. Si instala solamente el software de cliente
de Symantec Network Access Control, es posible exigir que los equipos cliente
ejecuten software antivirus, contra software espía y de firewall. Es posible también
exigir que ejecuten los últimos paquetes de servicios y parches del sistema
operativo, y crear requisitos de aplicación personalizados. Si los equipos cliente
no cumplen con los requisitos, es posible ejecutar comandos en los equipos cliente
para intentar actualizarlos.
Si se integra Symantec Network Access Control con Symantec Endpoint Protection,

es posible aplicar políticas de firewall a los clientes que no cumplen con las políticas
de integridad del host. Esta política puede restringir los puertos que los clientes
pueden utilizar para el acceso a la red y puede limitar las direcciones IP a las que
los clientes pueden acceder. Por ejemplo, es posible restringir las comunicaciones
de equipos que no cumplen y permitir solamente la comunicación con equipos
que contienen el software y las actualizaciones obligatorios. Esta integración se
llama aplicación automática.
Si se integra Symantec Network Access Control con Symantec Enforcer, un
dispositivo de hardware opcional, es posible restringir aún más los equipos que
no cumplen e impedirles el acceso a la red. Es posible restringir el acceso a los
equipos que no cumplen a segmentos específicos de la red para su corrección y
es posible prohibir totalmente el acceso a los equipos que no cumplen. Por ejemplo,
con Symantec Gateway Enforcer, es posible controlar el acceso de equipos externos
a su red mediante VPN. Con los módulos DHCP Enforcer y LAN Enforcer de
Symantec, es posible controlar el acceso interno del equipo a la red asignando las
direcciones IP no conmutables a los equipos que no cumplen. Es posible también
asignar los equipos que no cumplen a segmentos de la LAN en cuarentena.
Acerca de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager consiste en dos aplicaciones basadas en
Web. Una aplicación basada en Web necesita Microsoft Internet Information
Services, que debe existir antes de que se instale Symantec Endpoint Protection
Manager. La otra aplicación basada en Web se ejecuta en Apache Tomcat, que se
instala automáticamente. Symantec Endpoint Protection Manager incluye un
servidor y una base de datos SQL incorporados y la Consola de Symantec Endpoint
Protection Manager. Es posible instalar el servidor y la base de datos SQL
incorporados automáticamente, o es posible instalar una base de datos en una
instancia de Microsoft SQL Server 2000/2005.
Si la red utilizada en su empresa es pequeña y está ubicada en una misma área
geográfica, es necesario instalar solamente una instancia de Symantec Endpoint
Protection Manager. Si su red está dispersa geográficamente, puede ser necesario
instalar instancias adicionales de Symantec Endpoint Protection Manager para
el balanceo de carga y la distribución del ancho de banda. Si su red es muy grande,
es posible instalar instancias adicionales de Symantec Endpoint Protection
Manager con bases de datos adicionales y configurarlas para compartir datos con
replicación. Para proporcionar redundancia adicional, es posible instalar instancias
de Symantec Endpoint Protection Manager para conmutación por error.
Componentes que funcionan con Symantec Endpoint Protection Manager
Componentes que funcionan con Symantec Endpoint

Protection Manager
La Tabla 1-1 describe los componentes que conforman Symantec Endpoint
Protection Manager y funcionan con Symantec Endpoint Protection Manager.
Tabla 1-1 Componentes que conforman Symantec Endpoint Protection

Manager y funcionan con Symantec Endpoint Protection Manager
Componente Descripción
Consola de Symantec Endpoint Permite realizar operaciones de administración tales

Protection Manager como las siguientes:
■ Instalación de protección para clientes en estaciones

de trabajo y servidores de red.
■ Actualización de definiciones, firmas y
actualizaciones del producto.
■ Administración de servidores de red y estaciones de
trabajo que ejecutan el software de cliente de
Symantec Endpoint Protection y de Symantec
Network Access Control.
■ Recopilación y organización de eventos, lo cual
incluye alertas de virus y riesgos de seguridad,
análisis, actualizaciones de definiciones, eventos de
cumplimiento de terminales e intentos de
intrusiones. También permite crear e imprimir
informes detallados y configurar alertas.
Symantec Endpoint Protection Se comunica con los clientes de punto final y se

Manager configuren con la Consola de Symantec Endpoint
Protection Manager.
Symantec Endpoint Protection Proporciona protección antivirus, firewall, protección

proactiva contra amenazas y prevención de intrusiones
para equipos conectados y no conectados.
Symantec Network Access Proporciona protección del cumplimiento de red para

Control equipos conectados.
Servidor de LiveUpdate Proporciona la capacidad de obtener definiciones, firmas

y actualizaciones del producto desde un servidor de
Symantec LiveUpdate y distribuir las actualizaciones a
los equipos cliente.
Funcionamiento de Symantec Endpoint Protection Manager
Componente Descripción
Cuarentena central Funciona como parte de Digital Immune System para

proporcionar respuestas automáticas a los virus nuevos
o no reconocidos que se detecten mediante el análisis
heurístico a través de las acciones siguientes:
■ Recibe los elementos infectados sin reparar desde

clientes de Symantec Endpoint Protection.
■ Envía los archivos sospechosos a Symantec Security
Response.
Funcionamiento de Symantec Endpoint Protection

Manager
Es necesario entender los siguientes conceptos de red de Symantec para
administrar Symantec Endpoint Protection Manager:
■ Entornos administrados y no administrados
■ Acerca de los grupos
■ Interacción de clientes y servidores
Entornos administrados y no administrados

Los clientes pueden instalarse como administrados o no administrados. La red
administrada aprovecha por completo las funcionalidades de red de Symantec
Endpoint Protection Manager. Se puede supervisar, configurar y actualizar cada
cliente y servidor de su red desde un solo equipo que ejecute Symantec Endpoint
Protection Manager. Es posible también instalar y actualizar los clientes de
Symantec Endpoint Protection y de Symantec Network Access Control desde la
Consola de Symantec Endpoint Protection Manager.
En una red no administrada, debe administrar cada equipo de forma individual o
trasladar esta responsabilidad al usuario primario del equipo. Las responsabilidades
incluyen la actualización de definiciones de virus y riesgos de seguridad, la
configuración del firewall y antivirus, y la migración o actualización periódica de
software de cliente. Este enfoque es adecuado para las redes más pequeñas que
poseen recursos de tecnología de la información limitados.
Nota: Si desea permitir a usuarios modificar la configuración del cliente, Symantec

recomienda instalar los clientes en un entorno administrado.
Acciones que pueden llevarse a cabo con Symantec Endpoint Protection Manager
Acerca de los grupos

En una red administrada, es posible ordenar los equipos cliente en grupos. Esto
permite agrupar los clientes que requieren niveles de acceso y configuraciones
similares. Es posible especificar opcionalmente una configuración de ubicación
diferente en un grupo. Por lo tanto, si un cliente accede a la red desde diversas
ubicaciones, se pueden aplicar diversas políticas. Es posible crear, ver y configurar
grupos desde la Consola de Symantec Endpoint Protection Manager.
Interacción de clientes y servidores

En una red administrada, Symantec Endpoint Protection Manager administra
cada cliente. Symantec Endpoint Protection Manager proporciona a sus clientes
actualizaciones de las definiciones de contenido e información de configuración,
y realiza un seguimiento de esta configuración. Los clientes administrados, a su
vez, realizan un seguimiento de Symantec Endpoint Protection Manager. Los
clientes administrados se comunican con Symantec Endpoint Protection Manager
para determinar si hay nueva información o definiciones de políticas disponible.
Acciones que pueden llevarse a cabo con Symantec

Endpoint Protection Manager
Symantec Endpoint Protection Manager le permite hacer lo siguiente:
■ Definir y aplicar políticas de seguridad.
■ Proteger contra virus, amenazas combinadas y riesgos de seguridad, como
aplicaciones de publicidad no deseada y software espía.
■ Administrar la distribución, configuración, actualización y realización de
informes de la protección antivirus desde una consola de administración
integrada.
■ Evitar que los usuarios accedan a dispositivos de hardware en sus equipos,
tales como unidades USB.
■ Administrar la distribución, configuración, actualización y la realización de
informes de la protección antivirus y la del firewall, además de la prevención
de intrusiones desde una consola de administración integrada.
■ Administrar los clientes de acuerdo con su ubicación.
■ Responder rápidamente a los ataques de virus mediante la identificación de
clientes desactualizados y la implementación de definiciones de virus
actualizadas.
Sitios donde se puede obtener más información
■ Crear y mantener los informes donde se detallan los eventos importantes que
ocurran en la red.
■ Brindar un alto nivel de protección y una respuesta integrada ante amenazas
de seguridad para todos los usuarios que se conecten a la red. Esta protección
incluye a teletrabajadores con conexiones a la red siempre activas y usuarios
móviles con conexiones intermitentes.
■ Obtener una visión consolidada de los distintos componentes de seguridad
distribuidos a lo largo de todas las estaciones de trabajo que forman la red.
■ Realizar una instalación personalizable e integrada de todos los componentes
de seguridad y establecer políticas simultáneamente.
■ Ver la historia y los datos del registro de eventos.

Las fuentes de información incluyen las siguientes:
■ Guía de administración para Symantec Endpoint Protection y Symantec Network
Access Control
■ Guía de usuario del cliente para Symantec Endpoint Protection y Symantec
■ Guía de administración de LiveUpdate
■ Guía de administración de Symantec Central Quarantine
■ Ayuda en línea, que contiene toda la información incluida en las guías y más
La documentación principal está disponible en la carpeta de documentos de los
CD de instalación. Algunas carpetas de componentes individuales incluyen
información específica del componente. En los sitios Web de soporte técnico y de
soporte Platinum de Symantec, hay disponibles actualizaciones de estas guías.
La Tabla 1-2 enumera información adicional disponible en los sitios Web de
Symantec.
Tabla 1-2 Sitios Web de Symantec
Tipo de información Dirección Web
Base de conocimientos pública http://www.symantec.com/es/mx/enterprise/support/
Versiones y actualizaciones
Manuales y documentación
Opciones de contacto
Tipo de información Dirección Web
Información y actualización de http://www.symantec.com/es/mx/security_response/

virus y otras amenazas
Noticias y actualizaciones de http://enterprisesecurity.symantec.com

productos
Acceso Web al soporte Platinum https://www-secure.symantec.com/platinum/

Capítulo 2
Instalación por primera vez
■ Antes de proceder a la instalación
■ Instalar y configurar Symantec Endpoint Protection Manager
■ Configurar e implementar el software de cliente
■ Iniciar sesión y buscar su grupo en la consola
■ Configurar LiveUpdate para actualizaciones de sitio
■ Configurar LiveUpdate para actualizaciones de clientes
■ Configurar y probar Symantec Endpoint Protection
■ Configurar y probar Symantec Network Access Control
Antes de proceder a la instalación

Si esta instalación es una instalación nueva, es necesario instalar, configurar y
probar el software de Symantec Endpoint Protection o Symantec Network Access
Control en un entorno de prueba.
Nota: Las pequeñas empresas que no tienen recursos de entorno de prueba deben
instalar y probar el software de cliente en algunos clientes de producción.
La Figura 2-1 muestra una forma de configurar un entorno de prueba.

34 Instalación por primera vez
Figura 2-1 Ejemplo de entorno de prueba
Symantec
Security
Internet
Response
Router
Firewall
Conmutador/Hub
Cliente A Cliente B Cliente C
Symantec Endpoint Security Manager con

base de datos integrada
Este entorno de prueba contiene tres clientes y un servidor. El servidor ejecuta

tres componentes de administración. Los tres componentes de administración
son Symantec Endpoint Protection Manager, la Consola de Symantec Endpoint
Protection Manager y la base de datos Sybase integrada. Estos procedimientos de
instalación y configuración están diseñados para este entorno de prueba de
muestra.
Los equipos en los cuales usted instala Symantec Endpoint Protection Manager
deben cumplir los siguientes requisitos mínimos de software:
■ Windows 2000 Server con Service Pack 3, Windows XP o Windows Server 2003
■ Internet Information Services (IIS) versión 5.0 o superior
■ Internet Explorer 6.0
Los equipos en los cuales usted instala el software de cliente deben cumplir los
siguientes requisitos mínimos de software:
Instalación por primera vez 35
Instalar y configurar Symantec Endpoint Protection Manager
■ Windows 2000 Professional con Service Pack 3, Windows XP o Windows Server

2003
■ Internet Explorer 6.0 o superior
Instalar y configurar Symantec Endpoint Protection

Manager
La instalación del software de administración por primera vez se divide en dos
partes. La primera parte instala Symantec Endpoint Protection Manager. La
segunda parte instala y configura la base de datos de Symantec Endpoint Protection
Manager. En la primera parte, es posible aceptar todas las opciones
predeterminadas. En la segunda parte, es necesario agregar por lo menos un valor
personalizado, que es una contraseña.
Nota: El software de administración no incluye Symantec Endpoint Protection ni

ningún otro software de cliente que se administre.
Para instalar Symantec Endpoint Protection Manager

1 Inserte el CD de instalación e inicie la instalación.
2 En el panel de instalación, realice una de las siguientes acciones:
■ Si instala Symantec Endpoint Protection, haga clic en Instalar Symantec
Endpoint Protection.
■ Si instala Symantec Network Access Control, haga clic en Instalar
Symantec Network Access Control.
3 En el panel de instalación siguiente, haga clic en Instalar Symantec Endpoint

Protection Manager.
4 En el panel de bienvenida, haga clic en Siguiente.
5 En el panel Contrato de licencia, marque Acepto los términos del contrato
de licencia y, a continuación, haga clic en Siguiente.
6 En el panel Carpeta de destino, acepte o modifique el directorio de instalación.
7 Realice uno de los pasos siguientes:
■ Para configurar el servidor Web de IIS de Symantec Endpoint Protection
Manager como el único servidor Web de este equipo, marque Crear un
sitio Web personalizado y después haga clic en Siguiente.
Instalar y configurar Symantec Endpoint Protection Manager
■ Para permitir que el servidor Web de IIS de Symantec Endpoint Protection

Manager se ejecute con otros servidores Web en este equipo, marque Usar
el sitio Web predeterminado y después haga clic en Siguiente.
8 En el panel Preparado para la instalación, haga clic en Instalar.

9 Cuando la instalación finaliza y aparece el panel Asistente de instalación
finalizado, haga clic en Finalizar.
Espere a que aparezca el panel del Asistente para la configuración del servidor
de administración, que puede tardar hasta 15 segundos adicionales.
Para configurar Symantec Endpoint Protection Manager
1 En el panel Asistente para la configuración del servidor de administración,
haga clic en Siguiente.
2 En el panel Tipo de sitio, marque Instalar mi primer sitio y después haga clic
en Siguiente.
3 En el panel Información de servidor, acepte o modifique los valores
predeterminados para los cuadros siguientes y después haga clic en Siguiente:
■ Nombre del servidor
■ Puerto del servidor
■ Carpeta de datos del servidor
4 En el panel Nombre del sitio, en el cuadro Nombre del sitio, escriba el nombre
de su sitio y después haga clic en Siguiente.
5 En el panel Contraseña de cifrado, escriba un valor en ambos cuadros y
después haga clic en Siguiente.
Documente esta contraseña cuando instale Symantec Endpoint Protection
en su entorno de producción. La necesitará para la recuperación después de
un desastre y para agregar hardware opcional de Enforcer.
6 En el panel Elección del servidor de bases de datos, marque Base de datos
integrada y después haga clic en Siguiente.
7 En el panel Configurar usuario, en los cuadros Contraseña, escriba una
contraseña para utilizar con el usuario Admin a fin de iniciar sesión en la
consola y, después, haga clic en Siguiente.
Cuando finaliza la instalación, tiene la opción de implementar software de
cliente con el Asistente de instalación y migración. Si no implementa el
software de cliente en este momento, consulte el capítulo de instalación de
clientes para obtener información sobre cómo instalar el software de cliente.
Inicie sesión en la consola con el nombre de usuario y la contraseña que usted
escribió aquí.
Configurar e implementar el software de cliente
Configurar e implementar el software de cliente

El Asistente de instalación y migración le permite configurar un paquete de
software de cliente. El Asistente de implementación mediante transferencia
aparece opcionalmente para permitirle implementar el paquete de software de
cliente. Si no opta por utilizar al Asistente de implementación mediante
transferencia, es posible iniciarlo manualmente usando ClientRemote.exe desde
el directorio \tomcat\bin.
Nota: En este procedimiento se asume que usted implementa el software de cliente

en equipos de 32 bits y no en equipos de 64 bits. Este procedimiento también
implica seleccionar un directorio en el cual poner los archivos de instalación.
Puede crear este directorio antes de iniciar el procedimiento. También necesitará
autenticarse con credenciales administrativas en el dominio de Windows o el
grupo de trabajo que contenga los equipos.
La implementación del software de cliente en equipos que ejecutan firewalls y

con Windows XP/Vista tiene requisitos especiales. Los firewalls deben permitir
la implementación remota mediante el puerto TCP 139, y los equipos que estén
en grupos de trabajo y tengan Windows XP deben deshabilitar el uso compartido
simple de archivos. Windows Vista tiene requisitos adicionales.
Ver "Habilitar y modificar firewalls de Windows" en la página 67.
Ver "Preparar equipos con Windows XP/Vista para la implementación remota"
en la página 70.
Para configurar el software de cliente
1 En el panel de finalización del Asistente para la configuración del servidor
de administración, marque Sí y después haga clic en Finalizar.
2 En el panel de bienvenida del Asistente para migración y distribución, haga
clic en Siguiente.
3 En el panel ¿Qué desea hacer?, marque Distribuir el cliente y después haga
clic en Siguiente.
4 En el siguiente panel sin nombre, marque Especifique el nombre de un nuevo
grupo al que desee distribuir los clientes, escriba un nombre de grupo en el
cuadro y después haga clic en Siguiente.
5 En el panel siguiente, deje sin marcar cualquier software de cliente que no
desee instalar y después haga clic en Siguiente.
6 En el panel siguiente, marque las opciones que desee para los paquetes, los
archivos y la interacción de usuario.
Iniciar sesión y buscar su grupo en la consola
7 Haga clic en Examinar, busque y seleccione un directorio en el cual poner los

archivos de instalación y después haga clic en Abrir.
8 Haga clic en Siguiente.
9 En el siguiente panel sin nombre, marque Sí y después haga clic en Finalizar.
No marque Iniciar la consola de administración. Puede llevar hasta 5 minutos
crear y exportar el paquete de instalación para su grupo antes de que aparezca
el Asistente de implementación mediante transferencia.
Para implementar el software de cliente con el Asistente de implementación
mediante transferencia
1 En el panel Asistente de implementación mediante transferencia, bajo Equipos
disponibles, amplíe los árboles y seleccione los equipos en los cuales instalar
el software de cliente y, después, haga clic en Agregar.
2 En el cuadro de diálogo Autenticación de clientes remotos, escriba un nombre
de usuario y una contraseña que puedan autenticarse en el dominio de
Windows o el grupo de trabajo que contiene los equipos y, después, haga clic
en Aceptar.
3 Cuando haya seleccionado todos los equipos y éstos aparezcan en el panel
derecho, haga clic en Finalizar.
4 Cuando la instalación termine, haga clic en Finalizado.
Iniciar sesión y buscar su grupo en la consola

Su primera actividad es iniciar sesión en la consola y buscar su grupo.
Iniciar sesión en la consola de administración

La primera vez que inicie sesión en la consola de administración, se le pedirá que
modifique la contraseña de administrador.
Para iniciar sesión en la consola de administración
1 Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager
> Consola de Symantec Endpoint Protection Manager.
2 En la indicación de inicio de sesión de Symantec Endpoint Protection Manager,
en el cuadro Nombre de usuario, escriba admin.
3 En el cuadro Contraseña, escriba la contraseña de admin que creó durante la
instalación y haga clic en Iniciar sesión.
Configurar LiveUpdate para actualizaciones de sitio
Cómo encontrar su grupo en la consola

Después de iniciar sesión, es necesario buscar el grupo que usted creó durante la
instalación. A continuación, verifique que los equipos cliente en los cuales usted
implementó el software aparezcan en ese grupo.
La Figura 2-2 ilustra un ejemplo de un grupo que fue creado durante la instalación.
Figura 2-2 Grupo
Configurar LiveUpdate para actualizaciones de sitio

Es necesario configurar la frecuencia con la que Symantec Endpoint Protection
Manager busca y descarga nuevas actualizaciones al sitio. También puede
configurar actualizaciones de clientes con políticas de contenido de LiveUpdate,
por lo tanto, asegúrese de descargar todos los tipos que usted quisiera que los
clientes recibieran.
Symantec Endpoint Protection Manager para Symantec Network Access Control
sólo admite actualizaciones del producto.
Para configurar LiveUpdate para el sitio
1 En el panel izquierdo de la consola, haga clic en Admin.
2 En el panel inferior izquierdo, haga clic en Servidores.
Configurar LiveUpdate para actualizaciones de clientes
3 En el panel superior izquierdo, haga clic con el botón secundario en Sitio local
y después haga clic en Propiedades.
4 En la ficha LiveUpdate, bajo Programación de descarga, marque las opciones

de la frecuencia con la cual desea descargar las últimas definiciones.
5 Para obtener información acerca de la configuración de otras opciones en
este cuadro de diálogo, haga clic en Ayuda.
6 Cuando se finaliza la configuración de las propiedades de LiveUpdate del
sitio, haga clic en Aceptar.
Configurar LiveUpdate para actualizaciones de

clientes
Cuando se crea un grupo con el Asistente de instalación y migración, su grupo
recibe políticas predeterminadas. Si crea una nueva política del mismo tipo que
una política predeterminada y la aplica al grupo, la política predeterminada
desaparece. Por ejemplo, es posible crear una política de LiveUpdate llamada "Mi
LiveUpdate" y aplicarla a un grupo que utilice una política de LiveUpdate
predeterminada. Mi LiveUpdate entonces toma el lugar de la política antivirus
predeterminada. Otros grupos pueden también compartir la nueva política que

usted crea.
Existen dos tipos de políticas de LiveUpdate. Una política de configuración de
LiveUpdate especifica la frecuencia con la que los clientes ejecutan LiveUpdate
para saber si hay actualizaciones de contenido. Una política de contenido de
LiveUpdate especifica el contenido que los clientes pueden recibir cuando ejecutan
LiveUpdate.
Configurar una política de configuración de LiveUpdate

Cuando se crea un grupo con el Asistente de instalación y migración, su grupo
recibe políticas predeterminadas. Es posible crear una nueva política y sustituir
la política predeterminada, o editar la política predeterminada. Las mejores
prácticas son crear una nueva política y modificar la política predeterminada.
Para configurar una política de configuración de LiveUpdate
1 En la consola, haga clic en Políticas.
2 En el panel Ver políticas, haga clic en LiveUpdate.
3 En el panel inferior izquierdo Tareas, haga clic en Agregar una política de
configuración de LiveUpdate.
4 En el panel Descripción general, en el cuadro Nombre de política, escriba un
nombre para la política.
5 Bajo Política de LiveUpdate, haga clic en Programar.
6 En el panel Programar, acepte o modifique las opciones de programación.
7 Bajo Política de LiveUpdate, haga clic en Configuración avanzada.
8 Decida si se guardarán o se modificarán las opciones predeterminadas.
9 Para obtener información sobre las opciones, haga clic en Ayuda.
Generalmente, no se permite que los usuarios modifiquen las opciones de
actualización. Sin embargo, es posible permitir que inicien manualmente una
sesión de LiveUpdate si usted no admite centenares o millares de clientes.
10 Cuando haya configurado su política, haga clic en Aceptar.
11 En el cuadro de diálogo Asignar política, haga clic en Sí.
12 En el cuadro de diálogo Asignar política de LiveUpdate, marque los grupos y

las ubicaciones a los que se aplicará la política y después haga clic en Asignar.
Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda políticas
de su grupo principal, como se establece en la ficha Políticas de clientes.
13 En el cuadro de diálogo Aplicar Política de LiveUpdate, haga clic en Aceptar
y termine la aplicación.
Configurar una política de contenido de LiveUpdate

De forma predeterminada, todos los clientes de un grupo reciben las últimas
versiones de todas las actualizaciones del contenido. Si se configura un grupo
para que obtenga actualizaciones de un servidor de administración, los clientes
reciben sólo las actualizaciones que descarga el servidor. Si la política de contenido
de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor
de administración no se configura para descargar todas las actualizaciones, los
clientes reciben sólo lo que el servidor descarga. Los elementos que el servidor
descarga pueden configurarse desde el panel Administrador.
Nota: Las políticas de contenido de LiveUpdate no están disponibles para los

clientes de Symantec Network Access Control.
Para configurar una política de contenido de LiveUpdate

2 En el panel Ver políticas, haga clic en LiveUpdate.
3 En el panel Políticas de LiveUpdate, haga clic en la ficha Contenido de
LiveUpdate.
4 En el panel inferior izquierdo Tareas, haga clic en Agregar una política de
contenido de LiveUpdate.
6 Si configura Symantec Endpoint Protection, en el panel Contenido de
LiveUpdate, haga clic en Definiciones de seguridad.
7 En el panel Definiciones de seguridad, marque las actualizaciones que se
descargarán e instalarán, y deje sin marcar las actualizaciones que no se
utilizarán.
8 En la ventana Política de contenido de LiveUpdate, haga clic en Aceptar.
9 En el cuadro de diálogo Asignar política, haga clic en Sí.
Configurar y probar Symantec Endpoint Protection
10 En el cuadro de diálogo Asignar política de contenido de LiveUpdate, marque

uno o más grupos a los cuales se aplicará esta política y, después, haga clic
en Asignar.
Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda políticas
de su grupo principal, como se establece en la ficha Políticas de clientes.
11 En el cuadro de diálogo Aplicar Política de LiveUpdate, haga clic en Aceptar
y termine la aplicación.

Después de configurar e instalar una política de LiveUpdate, es necesario crear y
aplicar una política de protección antivirus y contra software espía.
Nota: En esta sección, se asume que usted compró Symantec Network Access
Control y lo instaló.
Configurar una política antivirus y contra software espía

predeterminada
A continuación, debe configurar una política antivirus y contra software espía
para su grupo. En este paso, deberá editar la política predeterminada que
actualmente se aplica solamente al grupo. Es posible, sin embargo, crear una nueva
política y aplicarla a su grupo.
Para configurar una política antivirus y contra software espía predeterminada
1 En la consola, en el panel izquierdo, haga clic en Clientes.
2 Bajo Mi_Grupo, en la ficha Políticas, bajo Políticas, al costado de Política
antivirus y contra software espía [compartida], haga clic en Tareas > Editar
política.
3 En el cuadro de diálogo Editar política, haga clic en Convertir en no
compartida.
4 En el panel Antivirus y protección contra software espía, haga clic en
Auto-Protect para el sistema de archivos.
5 En la ficha Detalles del análisis, verifique que Habilitar Auto-Protect para
el sistema de archivos esté marcado y que el icono de bloqueo esté en el modo
desbloqueado (para la prueba).
Generalmente, esta configuración debe estar bloqueada, pero para los
propósitos de prueba iniciales, déjela desbloqueada. Bloquear una opción
impide que los usuarios modifiquen una configuración.
6 En la ficha Acciones, bajo Detección, haga clic en Virus no de macro.

7 Bajo Acciones para: Virus no de macro, examine la secuencia de acciones
predeterminada que ocurrirán cuando se detecta un virus no de macro.
La primera acción es intentar limpiar el virus. Si no es posible limpiarlo, el
virus se pone en cuarentena.
8 En la ficha Notificaciones, examine el mensaje que aparece en los equipos
cliente cuando se detecta un virus o un riesgo de seguridad.
Es posible modificar este mensaje más tarde si es necesario.
9 En el panel izquierdo, haga clic en Análisis definidos por el administrador.
10 En la ficha Análisis, bajo Nombre, haga clic en Análisis completo cada viernes
a las 8 P.M. y después haga clic en Editar.
11 Familiarícese con las opciones de las diversas fichas y modifíquelas si es
necesario.
Inicialmente, se recomienda siempre realizar análisis completos. Después de
que se ejecuten análisis completos, los análisis rápidos y Auto-Protect son
eficaces para asegurar los equipos cliente.
12 Cuando comprenda las opciones del análisis, haga clic en Aceptar.
13 En el panel de la izquierda, presione Cuarentena.
14 En el panel Cuarentena, bajo Opciones adicionales, haga clic en Opciones de
limpieza.
15 En el cuadro de diálogo Opciones de limpieza, revise las opciones para depurar
archivos reparados y en cuarentena.
Familiarícese con esta configuración si desea modificarla en el futuro.
16 Haga clic en Aceptar.
Probar las funciones antivirus

Es necesario experimentar con la detección antivirus en un entorno de prueba
controlado a fin de familiarizarse con las alertas y las entradas de registro. Antes
de probar la detección antivirus, descargue el último archivo Eicar.com de prueba
de antivirus en un soporte transportable, tal como una memoria flash. Puede
descargar Eicar.com de la siguiente URL:
http://www.eicar.org
Probar Auto-Protect
Auto-Protect es el proceso en tiempo real de Symantec que examina cada archivo
que se ejecuta o al que accede un usuario a fin de evaluar si es un virus o un riesgo
de seguridad. Auto-Protect determina si los archivos son virus o riesgos de
seguridad usando las definiciones que usted descarga de Symantec. Es posible ver
cómo Auto-Protect funciona usando un virus benigno llamado Eicar. Están
disponibles varias versiones en la URL siguiente:
http://www.eicar.org.
Para probar Auto-Protect
1 En un equipo cliente, en la esquina inferior derecha, haga clic con el botón
secundario en el escudo de Symantec Endpoint Protection y haga clic en
Deshabilitar Auto-Protect.
2 Si no ha descargado eicar.com, vaya a http://www.eicar.org y busque y
descargue eicar.com en el equipo cliente.
3 En la esquina inferior derecha, haga clic con el botón secundario en el escudo
de Symantec Endpoint Protection y haga clic en Habilitar Auto-Protect.
4 Haga doble clic en eicar.com.
5 Lea los detalles en las indicaciones del mensaje y familiarícese con ellos.
Administrar amenazas detectadas

Después de que Symantec Endpoint Protection detecta y aísla eicar.com, envía la
información a Symantec Endpoint Protection Manager. Es posible entonces ver
la actividad que ocurrió desde la página principal en la Consola de Symantec
Endpoint Protection Manager. Esta tarea es una tarea primaria que usted realiza
en un entorno de producción. Cuando los clientes detectan amenazas verdaderas,
usted primero verá detalles sobre la amenaza. A continuación, deberá decidir si

Auto-Protect atenúa la amenaza y dejar en blanco el estado.
Para administrar amenazas detectadas
1 En la consola, haga clic en Página principal.
2 En la columna Virus de la fila Bloqueado, haga clic en el número.

3 En la ventana Informes: Equipos infectados y en riesgo, familiarícese con la

información obtenida y cierre la ventana.
4 Haga clic en Supervisión.
5 En la ficha Registros, en el menú desplegable Tipo de registro, haga clic en
Estado del equipo y después haga clic en Ver registro.
6 Para visualizar información sobre la infección, haga clic en Detalles.

7 Para borrar el estado Infectado, haga clic en Borrar estado infectado.
Configurar el icono de estado de la seguridad

La página principal muestra el estado de la seguridad de sus equipos cliente. Los
dos estados posibles son Bueno y Malo. Es posible controlar cuando el estado es
Bueno y Malo configurando las preferencias del umbral del estado de seguridad.
Para configurar el icono de estado de la seguridad
1 En la consola, haga clic en Página principal.
2 Bajo Estado de seguridad, haga clic en Más detalles.
3 En el cuadro de diálogo Estado de seguridad, revise las funciones que activan
los estados Bueno y Malo.
4 En la esquina superior derecha, haga clic en X.
5 Bajo Estado de seguridad, haga clic en Preferencias.
Configurar y probar Symantec Network Access Control
6 En el cuadro de diálogo Preferencias, en la ficha Estado de seguridad, revise

las activaciones y el umbral del estado de seguridad que es posible configurar.
Todos los umbrales se establecen de forma predeterminada en diez por ciento.
7 Para ver detalles del estado de la seguridad, haga clic en Ayuda.
Para activar el estado Malo, deshabilite Auto-Protect en uno de sus clientes
de prueba.
9 Para revisar el estado de la seguridad de sus clientes administrados en
cualquier momento, en la página principal, haga clic en el icono de estado.

Symantec Network Access Control admite dos políticas solamente: LiveUpdate e
Integridad del host. La política de integridad del host, sin embargo, proporciona
las funciones clave de Symantec Network Access Control.
Nota: En esta sección, se asume que usted compró e instaló Symantec Network
Access Control.
Crear una política de integridad del host

La política de integridad del host es la base de Symantec Network Access Control.
La política creada para esta prueba es sólo con fines de demostración. La política
detecta la existencia de un sistema operativo y, cuando se detecta, genera un
evento de ERROR. Normalmente, los eventos de ERROR se generarían por otros
motivos.
Nota: Si compró e instaló Symantec Network Access Control y Symantec Endpoint

Protection, puede crear políticas de firewall para los equipos cliente que no pasan
la comprobación de integridad del host. Si ejecuta Symantec Enforcer con Symantec
Network Access Control, es posible restringir los clientes que no pasan la
comprobación de integridad del host a segmentos de la red específicos. Este
aislamiento impide la autenticación del cliente y el acceso al dominio.
Para crear una política de integridad del host

2 Bajo Ver políticas, haga clic para seleccionar Integridad del host.
3 En el panel derecho, si una política de integridad del host está destacada en

amarillo, haga clic en el espacio en blanco debajo de la política para dejarla
sin seleccionar.
4 Bajo Tareas, haga clic en Agregar una política de integridad del host.
6 Haga clic en Requisitos.
7 En el panel Requisitos, marque Comprobar siempre la integridad del host y
después haga clic en Agregar.
8 En el cuadro de diálogo Nuevo requisito, en el menú desplegable Tipo, haga
clic en Requisito personalizado y después haga clic en Aceptar.
9 En la ventana Requisito personalizado, en el cuadro Nombre, escriba un
nombre para el Requisito personalizado.
10 Bajo Script del requisito personalizado, haga clic con el botón secundario en
Insertar instrucciones a continuación y después haga clic en Agregar > IF
.. THEN.
11 En el panel derecho, en el menú desplegable Seleccione una condición, haga
clic en Utilidad: El sistema operativo es.
12 Bajo Comprobar versión de Windows, active uno o más sistemas operativos
que ejecuten sus equipos cliente.
13 Bajo Script del requisito personalizado, haga clic con el botón secundario en
THEN //Insertar instrucciones aquí y después haga clic en Agregar > Función
> Utilidad: Mostrar cuadro de diálogo del mensaje.
14 En Leyenda del cuadro de mensaje, escriba un nombre que aparecerá en el
título del mensaje.
15 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisiera
mostrar en el mensaje.
16 Para ver información sobre la configuración para los iconos y los botones que
es posible integrar con el mensaje, haga clic en Ayuda.
17 En el panel izquierdo, bajo Script del requisito personalizado, haga clic en
Aprobado.
18 En el panel derecho, bajo Arrojar lo siguiente como resultado del requisito,
marque Error y después haga clic en Aceptar.
19 En la ventana Integridad del host, haga clic en Aceptar.
20 En la indicación Asignar política, haga clic en Sí.
21 En el cuadro de diálogo Política de integridad del host, marque el grupo o los

grupos a los cuales se aplicará la política y que contengan los equipos cliente
de prueba. A continuación, haga clic en Asignar.
22 En la indicación Asignar política de integridad del host, haga clic en Sí.
Probar una política de integridad del host

Es posible probar una política de integridad del host desde la Consola de Symantec
Endpoint Protection Manager.
Nota: Es posible también ejecutar comprobaciones de integridad del host desde

el cliente.
Para probar una política de integridad del host

1 En la consola, haga clic en Clientes.
2 En el panel derecho, haga clic en la ficha Clientes.
3 En el panel izquierdo, bajo Ver, haga clic para resaltar el grupo que contiene
los equipos cliente a los cuales usted aplicó la política de integridad del host.
4 Bajo Tareas, haga clic en Ejecutar comando en el grupo > Actualizar.
5 Inicie sesión en un equipo cliente que ejecute Symantec Network Access
Control y observe el cuadro de mensaje que aparece.
Si la norma activó un error en la prueba, el cuadro de mensaje aparece.
Después de la prueba, deshabilite o elimine la política de prueba.
Capítulo 3
Planificar la instalación de
producción
■ Acerca de la planificación de la instalación y la arquitectura de red
■ Requisitos de sistema y de red
■ Acerca de los firewalls de escritorio y los puertos de comunicación
■ Habilitar y modificar firewalls de Windows
■ Preparar equipos con Windows XP/Vista para la implementación remota
■ Preparar equipos para la instalación
■ Reinicios del equipo obligatorios
Acerca de la planificación de la instalación y la

arquitectura de red
La primera decisión que debe tomar cuando usted planea una instalación de
producción es seleccionar la base de datos que se utilizará. Es posible optar por
utilizar una base de datos integrada que puede instalarse desde el CD de instalación.
Es posible también optar por utilizar una instancia de Microsoft SQL Server
2000/2005. Es necesario comprar e instalar Microsoft SQL Server antes de instalar
Symantec Endpoint Protection Manager. La base de datos integrada Sybase es la
más fácil de instalar y de configurar y admite hasta 1000 clientes. El rendimiento
comienza a degradarse a medida que se agregan clientes adicionales.
La Figura 3-1 ilustra el ejemplo más simple de esta configuración.
52 Planificar la instalación de producción
Acerca de la planificación de la instalación y la arquitectura de red
Figura 3-1 Implementación pequeña
Symantec
Security
Internet
Response
Router
Firewall
Conmutador/Hub
Cliente A Cliente B Cliente C
Symantec Endpoint Security Manager con

base de datos integrada
Para admitir más de 1000 clientes, debería considerar comprar e instalar Microsoft
SQL Server. Cada instancia de Symantec Endpoint Protection Manager que utiliza
Microsoft SQL Server puede admitir hasta 50 000 clientes. Si es necesario admitir
más de 50 000 clientes, deberá instalar otra instancia de Symantec Endpoint
Protection Manager y una base de datos de Microsoft SQL Server.
La Figura 3-2 presenta un ejemplo de esta configuración.
Planificar la instalación de producción 53
Figura 3-2 Implementación grande
Symantec
Security
Internet
Response
Router
Firewall
Red troncal empresarial
Symantec Endpoint Security Manager Symantec Endpoint Security Manager

Microsoft SQL Server Microsoft SQL Server
Nota: Este diagrama muestra los componentes en diversas subredes y tiene

propósitos sólo ilustrativos. Las instancias de Symantec Endpoint Protection
Manager y los servidores de bases de datos pueden estar en las mismas subredes.
Si decide utilizar una instancia de Microsoft SQL Server 2000/2005, tiene que
tomar una decisión adicional. Puede instalar Symantec Endpoint Protection
Manager en el equipo que ejecuta Microsoft SQL Server, o puede instalarlo en un

equipo que no ejecute Microsoft SQL Server.
Utilizar Microsoft SQL Server también proporciona flexibilidad adicional para
instalar instancias adicionales de Symantec Endpoint Protection Manager para
la conmutación por error y el balanceo de carga. Es posible instalar dos o más
instancias de Symantec Endpoint Protection Manager que se comuniquen con un
servidor de Microsoft SQL Server y configurarlos para la conmutación por error
o el balanceo de carga. La configuración de la conmutación por error hace que un
servidor recoja la carga de comunicaciones del cliente si otro servidor deja de
funcionar. La configuración del balanceo de carga hace que los servidores
compartan la carga de comunicaciones de los clientes y ejecuten automáticamente
la conmutación por error si uno de los servidores deja de funcionar.
La Figura 3-3 ilustra esta configuración.
Figura 3-3 Conmutación por error y balanceo de carga
Clientes
1 2
Symantec Endpoint Symantec Endpoint

Protection Manager Protection Manager
Microsoft SQL Server
Nota: Este diagrama muestra los componentes en diversas subredes y tiene

propósitos sólo ilustrativos. Las instancias de Symantec Endpoint Protection
Manager y los servidores de bases de datos pueden estar en las mismas subredes.
En esta ilustración, los servidores se identifican con los números 1 y 2, que significa
una configuración de conmutación por error. En una configuración de conmutación
por error, todos los clientes envían tráfico al servidor 1 y reciben tráfico de éste.
Si el servidor 1 se desconectara, todos los clientes enviarían el tráfico al servidor
2 y lo recibirían desde éste hasta que el servidor 1 volviera a estar en línea. La
base de datos se ilustra como una instalación remota, pero puede también instalarse
en un equipo que ejecute Symantec Endpoint Protection Manager.
Finalmente, es posible instalar y configurar el servidor de base de datos
incorporado y Microsoft SQL Server para la replicación. La configuración de
replicación hace que se dupliquen los datos entre las bases de datos de forma que
ambas bases de datos contengan la misma información, preferiblemente en
diferentes servidores de bases de datos en distintos equipos. Si un servidor de
bases de datos deja de funcionar, es posible continuar administrando todo el sitio
usando la información del servidor de bases de datos que está en funcionamiento.
Nota: Symantec Endpoint Protection Manager configura y controla esta replicación.

Esta replicación no es replicación nativa del servidor SQL.
La Figura 3-4 ilustra esta configuración.
Figura 3-4 Replicación
Symantec Endpoint
Symantec Endpoint
Protection Manager
Protection Manager
Clientes
Clientes
En esta ilustración, cada instancia de Symantec Endpoint Protection Manager

administra sus respectivos clientes. Si uno de los servidores se desconecta, sin
embargo, el otro servidor puede administrar los clientes que el servidor
desconectado administraba.
Requisitos de sistema y de red

Antes de instalar el software de Symantec en su red, debe entender cómo ciertas
variables de la red y del sistema afectan la capacidad de implementar servidores
y clientes.
Debe tener en cuenta los siguientes conceptos y requisitos al planear la instalación:
■ Acerca de la definición de derechos administrativos en equipos de destino
■ Acerca de la configuración de derechos de usuarios con Active Directory
■ Requisitos de instalación del sistema
■ Acerca de la compatibilidad con VMWare
Acerca de la definición de derechos administrativos en equipos de

destino
Para instalar el software de cliente de Symantec, es necesario tener derechos de
administrador en el equipo o el dominio de Windows, e iniciar sesión como
administrador. El programa de instalación de software de Symantec inicia un
segundo programa de instalación en el equipo para crear e iniciar los servicios y
modificar el registro.
Si no desea proporcionar a los usuarios derechos administrativos en sus propios
equipos, utilice al Asistente de implementación mediante transferencia para
instalar remotamente los clientes de Symantec. Para ejecutar el Asistente de
implementación mediante transferencia, debe contar con derechos administrativos
locales en los equipos donde desea instalar el programa.
Nota: Este paquete de instalación del cliente actualiza la versión de MSI a la 3.1,
que requiere derechos de administrador. Si todos sus equipos están actualizados
con MSI 3.1, los usuarios necesitan solamente privilegios elevados para instalar
el software de cliente de Symantec.
Acerca de la configuración de derechos de usuarios con Active Directory

Si utiliza Active Directory para administrar equipos, puede crear una política de
grupo que proporcione los derechos de usuario necesarios para instalar el software
de Symantec.
Para obtener más información sobre el uso de Active Directory, consulte la
documentación de Active Directory.
Requisitos de instalación del sistema

El software de Symantec requiere protocolos, software, hardware, sistemas
operativos y versiones de Service Pack específicos. Todos los equipos en los que
instale el software de Symantec deberán cumplir o sobrepasar los requisitos de
sistema recomendados para el sistema operativo utilizado.
Nota: No se admite la instalación en nombres de directorio que contienen caracteres

de doble byte, o desde ellos.
Symantec Endpoint Protection Manager, Consola y base de

datos integrada
La Tabla 3-1 enumera los requisitos mínimos para los equipos en los cuales se
instalará Symantec Endpoint Protection Manager, la Consola y la base de datos
integrada.
Tabla 3-1 Symantec Endpoint Protection Manager, Consola y base de datos

integrada
Componente 32 bits 64 bits
Procesador Intel Pentium III de 900 MHz 1 GHz en x64 solamente con los procesadores
siguientes:
■ Intel Xeon compatible con Intel EM64T

■ Intel Pentium IV compatible con EM64T
■ AMD Opteron™ de 64 bits
■ AMD Athlon™ de 64 bits
Nota: Itanium no se admite. Los componentes

de administración son aplicaciones de 32 bits.
Sistema operativo Se admiten los sistemas operativos siguientes: Se admiten los sistemas operativos siguientes:
■ Windows® 2000 ■ Windows XP Professional x64 con Service

Professional/Server/Advanced Server con Pack 1 o posterior
Service Pack 3 o posterior ■ Windows Server 2003 x64 con Service
■ Windows XP Professional con Service Pack Pack 1 o posterior
1 o posterior
Nota: El servidor de administración, la
■ Windows Server 2003
consola y la base de datos integrada son
Web/Standard/Enterprise/Datacenter aplicaciones de 32 bits.
Memoria 2 GB de RAM 2 GB de RAM

Disco duro 1 GB más 1 GB para los registros, la base de 800 MB más 1 GB para los registros, la base
datos y los archivos de respaldo de datos y los archivos de respaldo
Pantalla Super VGA (1024x768) o adaptador de video Super VGA (1024x768) o adaptador de video
y monitor de mayor resolución y monitor de mayor resolución
Otros requisitos Los siguientes requisitos adicionales deben Los siguientes requisitos adicionales deben
cumplirse: cumplirse:
■ Servidor de Internet Information Services ■ Servidor de Internet Information Services

5.0 o posterior 5.0 o posterior
El servidor no tiene que estar en ejecución, El servidor no tiene que estar en ejecución,
sino que debe estar habilitado. sino que debe estar habilitado.
■ Internet Explorer 6.0 o superior ■ Internet Explorer 6.0 o superior
■ Dirección IP fija (recomendado) ■ Dirección IP fija (recomendado)
■ Java Runtime Environment 1.4.2 (incluido) ■ Java Runtime Environment 1.4.2 (incluido)
Symantec Endpoint Protection Manager y Consola

instalará Symantec Endpoint Protection Manager y la Consola.
Tabla 3-2 Symantec Endpoint Protection Manager y Consola
siguientes:

Nota: Itanium no se admite.

1 o posterior
Nota: El servidor de administración y la
consola son aplicaciones de 32 bits.
Web/Standard/Enterprise/Datacenter
Memoria 512 MB de RAM 512 MB de RAM
Disco duro 500 MB más 100 MB para espacio temporal 500 MB más 100 MB para espacio temporal
■ Servidor de Internet Information Services ■ Servidor de Internet Information Services

5.0 o posterior 5.0 o posterior
El servidor no tiene que estar en ejecución, El servidor no tiene que estar en ejecución,
sino que debe estar habilitado. sino que debe estar habilitado.
■ Dirección IP fija (recomendado) ■ Dirección IP fija (recomendado)
Consola de Symantec Endpoint Protection

instalará la Consola de Symantec Endpoint Protection.
Tabla 3-3 Consola de Symantec Endpoint Protection
siguientes:


1 o posterior
Nota: La consola de administración es una
aplicación de 32 bits.
Memoria 256 MB de RAM 256 MB de RAM
Disco duro 40 MB más 100 MB para espacio temporal 40 MB más 100 MB para espacio temporal

Consola de cuarentena
instalará la Consola de cuarentena.
Tabla 3-4 Consola de cuarentena
Procesador Intel Pentium III de 600 MHz No probado
Sistema operativo Se admiten los sistemas operativos siguientes: No probado
■ Windows® 2000
Professional/Server/Advanced Server
■ Windows XP Professional
Memoria 64 MB de RAM No probado
Disco duro 35 MB No probado
Pantalla Super VGA (1024x768) o adaptador de video No probado

y monitor de mayor resolución
Otros requisitos Los siguientes requisitos adicionales deben No probado

cumplirse:
■ Internet Explorer 5.5 con Service Pack 2
o posterior
■ Microsoft Management Console 1.2 o
posterior
Si la consola no está instalada, se
requieren 3 MB de espacio libre en disco
(10 MB durante la instalación).
Servidor de Cuarentena central

instalará el servidor de Cuarentena central.
Tabla 3-5 Servidor de Cuarentena central
Procesador Intel Pentium III de 600 MHz No probado
Sistema operativo Se admiten los sistemas operativos siguientes: No probado
■ Windows® 2000
Professional/Server/Advanced Server
■ Windows XP Professional
Memoria 128 MB de RAM No probado
Disco duro 40 MB, 500 MB a 4 GB recomendados para los No probado

elementos en cuarentena, y archivo de
intercambio de 250 MB
Pantalla Super VGA (1024x768) o adaptador de video No probado

y monitor de mayor resolución
Otros requisitos Los siguientes requisitos adicionales deben No probado

cumplirse:
■ Internet Explorer 5.5 con Service Pack 2

o posterior
Symantec Endpoint Protection

instalará Symantec Endpoint Protection.
Tabla 3-6 Symantec Endpoint Protection
Procesador Intel Pentium III de 400 MHz (1 GHz para 1 GHz en x64 solamente con los procesadores
Windows Vista) siguientes:


Service Pack 3 o posterior ■ Windows Server 2003 x64
■ Windows XP Home ■ Windows Vista (x64)
Edition/Professional/Tablet PC Edition
Nota: El CD de instalación de Symantec
Endpoint Protection contiene una aplicación
de 64 bits.
■ Windows Vista (x86)
Memoria 256 MB de RAM 256 GB de RAM
Disco duro 600 MB 700 MB
Otros requisitos Internet Explorer 6.0 o superior Internet Explorer 6.0 o superior
Los clientes de Terminal Server que se
conecten a un equipo con protección antivirus
presentan los siguientes requisitos
adicionales:
■ Cliente de Microsoft Terminal Server RDP

(Remote Desktop Protocol)
■ Cliente de Citrix® Metaframe® (ICA) 1.8 o
posterior, si se utiliza un servidor Citrix
Metaframe en Terminal Server
Nota: El Asistente de implementación mediante transferencia no verifica que

Internet Explorer 6.0 o posterior esté instalado en los equipos cuando es un
requisito. Si los equipos de destino no cuentan con la versión correcta de Internet
Explorer, la instalación falla sin notificación alguna.
Symantec Network Access Control

instalará Symantec Network Access Control.
Tabla 3-7 Symantec Network Access Control
Procesador Intel Pentium II de 550 MHz (1 GHz para 1 GHz en x64 solamente con los procesadores
Windows Vista) siguientes:


Service Pack 3 o posterior ■ Windows Server 2003 x64
■ Windows XP Home ■ Windows Vista (x64)
Edition/Professional/Tablet PC Edition
Nota: El CD de instalación de Symantec
Network Access Control contiene una
aplicación de 64 bits.
■ Windows Vista (x86)
Memoria 256 MB de RAM 256 GB de RAM
Disco duro 300 MB 400 MB
Otros requisitos Internet Explorer 6.0 o superior Internet Explorer 6.0 o superior
Los clientes de Terminal Server que se
conecten a un equipo con protección antivirus
presentan los siguientes requisitos
adicionales:
■ Cliente de Microsoft Terminal Server RDP

(Remote Desktop Protocol)
■ Cliente de Citrix® Metaframe® (ICA) 1.8 o
posterior, si se utiliza un servidor Citrix
Metaframe en Terminal Server
Nota: El Asistente de implementación mediante transferencia no verifica que

Internet Explorer 6.0 o posterior esté instalado en los equipos cuando es un
requisito. Si los equipos de destino no cuentan con la versión correcta de Internet
Explorer, la instalación falla sin notificación alguna.
Acerca de la compatibilidad con VMWare

El software de Symantec es compatible con VMWare.
La Tabla 3-8 enumera las configuraciones de VMWare compatibles.
Tabla 3-8 Compatibilidad con VMWare
Software de Symantec Compatibilidad con VMWare
Componentes de El servidor de administración se admite en las siguientes

Symantec Endpoint versiones de VMware:
Protection Manager, la
■ VMware WS 5.0 (estación de trabajo)
Consola y la base de datos
■ VMware GSX 3.2 (empresa)
■ VMware ESX 2.5 (estación de trabajo)
El servidor de administración se admite en las siguientes
versiones de VMware:
■ Windows 2000 Professional/Server/Advanced Server con

Service Pack 3 o posterior
■ Windows 2003 Server/Enterprise Server/Web
■ Windows 2003 Server Windows x64
■ Windows XP Home Edition/Professional
■ Windows XP Professional x64
Acerca de los firewalls de escritorio y los puertos de comunicación
Software de Symantec Compatibilidad con VMWare
Clientes de Symantec Los componentes de cliente se admiten en las siguientes

Endpoint Protection y versiones de VMware:
Symantec Network Access
■ VMware WS 5.0 (estación de trabajo)
Control
■ VMware GSX 3.2 (empresa)
■ VMware ESX 2.5 (estación de trabajo)
Los componentes de cliente se admiten en los siguientes
sistemas operativos de VMware de invitado:
■ Windows 2000 Professional/Server/Advanced Server

■ Windows 2003 Server/Enterprise Server/Web
■ Windows 2003 Server Windows x64
■ Windows XP Professional/Home Edition
■ XP Professional x64
Acerca de los firewalls de escritorio y los puertos de

comunicación
Si sus servidores y clientes ejecutan software de firewall, es necesario abrir ciertos
puertos de modo que la comunicación entre los servidores de administración y
los clientes sea posible. Alternativamente, es posible admitir la aplicación
Rtvscan.exe en todos los equipos para enviar y recibir tráfico a través de los
firewalls. Además, las herramientas de instalación de cliente y servidor remoto
requieren que el puerto TCP 139 esté abierto.
Nota: Los servidores de administración y los clientes utilizan el intervalo de puertos

efímeros para TCP (1024 a 65535) para las comunicaciones por red. El intervalo
de puertos efímeros utilizado, no obstante, rara vez excede 5000 y puede
configurarse en la mayoría de los sistemas operativos. La mayoría de los firewalls
utilizan inspección de estado al filtrar el tráfico TCP, de forma que las respuestas
TCP entrantes se autorizan de forma automática y se regresan al solicitante
original. Por ende, no es preciso que abra los puertos TCP efímeros al configurar
el software de firewall.
La Tabla 3-9 enumera los puertos y protocolos de red que precisan los servidores
de administración y los clientes para la comunicación y las instalaciones de red.
Acerca de los firewalls de escritorio y los puertos de comunicación
Tabla 3-9 Puertos para la comunicación y la instalación de servidores y clientes
Función Componente Protocolo y puerto
Implementación del Symantec Endpoint Protection TCP 139 en administradores y

Asistente de Manager y clientes clientes
implementación
UDP 137 y 138 en
mediante
administradores y clientes
transferencia
Puertos TCP efímeros en
servidores y clientes
Auditoría de red Symantec Endpoint Protection TCP 139 en los administradores

Manager y clientes
clientes
Comunicación del Symantec Endpoint Protection TCP 2967 en todos los

Proveedor de Manager y Proveedores de dispositivos
actualizaciones de actualizaciones de grupo Nota: Este puerto es el
grupo predeterminado, que puede ser
Proveedores de actualizaciones
de grupo y clientes modificado.
Comunicación general Symantec Endpoint Protection TCP 80 en administradores

Manager y clientes
clientes
Nota: El puerto 80 se puede
también modificar a TCP 443
(HTTPS).
Comunicación general Consolas remotas de Symantec TCP 8443 en administradores

Endpoint Protection Manager y
Puertos TCP efímeros y 9090
en las consolas
Manager
Comunicación de Sitio a sitio entre los servidores TCP 8443 entre los servidores
replicación de bases de datos de bases de datos
Instalación de la Symantec Endpoint Protection TCP 9090 en administradores

Consola remota de Manager y la Consola remota de remotos
Symantec Endpoint Symantec Endpoint Protection
Protection Manager Manager
consolas remotas
Nota: Este número de puerto
puede configurarse.
Habilitar y modificar firewalls de Windows
Función Componente Protocolo y puerto
Comunicación de base Servidores remotos de Microsoft TCP 1433 en los servidores

de datos externa SQL y Symantec Endpoint remotos de Microsoft SQL
Protection Manager
Puertos TCP efímeros en los
administradores
Nota: El puerto 1433 es el
puerto predeterminado.
Comunicación de Symantec Endpoint Protection TCP 1812 en los

Symantec Network Manager y Enforcer administradores
Access Control
Puertos TCP efímeros en los
Enforcer
módulos de Enforcer
Nota: Los servidores RADIUS
también utilizan el puerto
1812, así que no instalan
Manager.
Asistente de Symantec Endpoint Protection TCP 139, puertos TCP efímeros

instalación y Manager y servidores de y UDP 137 en los
migración administración de Symantec de administradores
versiones anteriores
TCP 139, TCP 445, puertos TCP
efímeros y UDP 137 en los
servidores de administración
de Symantec de versiones
anteriores
LiveUpdate Clientes y servidores de Puertos TCP efímeros en

LiveUpdate clientes
TCP 80 en los servidores de

LiveUpdate

Windows XP\2003 Server\Vista contiene firewalls que pueden impedir ciertos
tipos de comunicaciones del producto de Symantec. Si se habilitan estos firewalls,
es posible que no pueda instalar el software de cliente remotamente con las
herramientas de instalación y distribución remotas. Si en la red existen equipos
que ejecutan estos sistemas operativos, debe configurar los firewalls a fin de que
permitan estas comunicaciones.
Para usar el firewall de Windows XP, es necesario configurarlo de forma que

admita comunicaciones mediante la apertura de puertos o la especificación de
programas de confianza. Es posible habilitar comunicaciones permitiendo
Rtvscan.exe en todos los equipos.
Si desea instalar el software de cliente remotamente, debe permitir que los
servidores envíen tráfico desde los puertos TCP 1024-5000 hasta el puerto TCP
139 de los clientes. La inspección de estado permite el tráfico de retorno de forma
automática. Es necesario también permitir que los clientes reciban tráfico de los
puertos TCP 1024-5000 del servidor en el puerto TCP 139. Y debe permitir que los
clientes envíen tráfico del puerto TCP 139 a los puertos TCP 1024-5000 de los
servidores. Las comunicaciones de versiones anteriores también requieren que
el puerto UDP 2967 esté abierto en todos los equipos.
Acerca de los firewalls de Windows y Symantec

Si instala la función de firewall de Symantec de la protección contra amenazas
de red, el instalador deshabilita automáticamente los firewalls de Windows que
estén habilitados. Si no instala la función de firewall de Symantec, el instalador
no deshabilita los firewalls de Windows que estén habilitados.
El firewall que se ejecuta en Windows Vista admite IPv4 e IPv6. El firewall de
Symantec admite IPv4 solamente. La base de normas predeterminada del firewall
de Symantec, sin embargo, contiene una norma que bloquea todo el tráfico IPv6.
Advertencia: No elimine la norma que bloquea IPv6 ni modifique su acción de filtro

para habilitar el permiso.
Esta norma se crea para el protocolo de Ethernet. Cuando se visualizan los servicios
para una norma y se agrega un servicio, se obtiene acceso al protocolo de Ethernet.
Es posible entonces seleccionar el tipo de protocolo IPv6 para el protocolo de
Ethernet.
Deshabilitar el Servidor de seguridad de conexión a Internet

Windows XP con Service Pack 1 incluye un firewall que se denomina Servidor de
seguridad de conexión a Internet. Este firewall puede interferir en la instalación
remota y en las comunicaciones entre servidores y clientes. Si alguno de los
servidores o clientes ejecuta Windows XP, se puede deshabilitar este firewall antes
de instalar el software de cliente.
Nota: No es obligatorio deshabilitar el firewall. Si está familiarizado y se siente

cómodo con la creación y configuración de normas, abra puertos para permitir la
implementación.
Ver Tabla 3-9 en la página 66.

Para deshabilitar el Servidor de seguridad de conexión a Internet
1 En la barra de tareas de Windows XP, haga clic en Inicio > Panel de control.
2 En la ventana del Panel de control, haga doble clic en Conexiones de red.
3 En la ventana Conexiones de red, haga clic con el botón secundario en la
conexión activa y, a continuación, haga clic en Propiedades.
4 En la ficha Avanzadas, en la sección Servidor de seguridad de conexión a
Internet, quite la marca de la casilla de verificación Proteger mi equipo y mi
red limitando o impidiendo el acceso a él desde Internet.
Deshabilitar el Firewall de Windows XP

Windows XP con Service Pack 2 y Windows Server 2003 incluyen un firewall
llamado Firewall de Windows. Este firewall puede interferir en la instalación
remota y en las comunicaciones entre servidores de administración y clientes. Si
alguno de los servidores o clientes tuviera instalado Windows XP con Service Pack
2 o Windows Server 2003, podrá deshabilitar el firewall antes de instalar software
de cliente en ellos.
Nota: No es obligatorio deshabilitar el firewall. Si está familiarizado y se siente

cómodo con la creación y configuración de normas, abra puertos para permitir la
implementación.

Para deshabilitar el Firewall de Windows
1 En la barra de tareas de Windows XP, haga clic en Inicio > Panel de control.
2 En la ventana del Panel de control, haga doble clic en Conexiones de red.
3 En la ventana Conexiones de red, haga clic con el botón secundario en la
conexión activa y, a continuación, haga clic en Propiedades.
4 En la ficha Avanzadas, bajo Firewall de Windows haga clic en Configuración.
Preparar equipos con Windows XP/Vista para la implementación remota
5 En la ficha General de la ventana Firewall de Windows, marque Desactivado

(no recomendado).
Modificar el firewall de Windows Vista

Windows Vista contiene un firewall que está activado de forma predeterminada.
Si el firewall está activado, puede no ser posible instalar el software de cliente de
forma remota desde la Consola de Symantec Endpoint Protection Manager ni
desde otras herramientas de instalación remota. Se deberá configurar el Firewall
de Windows para que permita la comunicación entre los distintos componentes.
El Firewall de Windows debe configurarse antes de instalar el software de cliente.
También es posible deshabilitar temporalmente el Firewall de Windows en los
clientes antes de implementar el software de cliente.
Para configurar el Firewall de Windows a fin de instalar el software de cliente en
Windows Vista, es necesario habilitar el uso compartido de archivos e impresoras.
Nota: La instalación del cliente también modifica automáticamente el Firewall de

Windows durante la instalación en Windows Vista a fin de permitir el acceso a
procesos específicos de la red e Internet. No es necesario realizar ninguna otra
modificación.
Para habilitar el uso compartido de archivos e impresoras

1 En la barra de tareas de Windows Vista, haga clic en Inicio > Configuración
> Panel de control > Firewall de Windows.
2 En el cuadro de diálogo Firewall de Windows, haga clic en Permitir un
programa a través del Firewall de Windows.
3 En el cuadro de diálogo Configuración de Firewall de Windows, en la ficha
Excepciones, marque Compartir archivos e impresoras y después haga clic
en Aceptar.
Preparar equipos con Windows XP/Vista para la

implementación remota
En un tiempo, Microsoft ha aumentado el grado de seguridad predeterminada de
sus sistemas operativos. Por ejemplo, Windows Vista es más seguro después de
la instalación predeterminada que Windows XP, y Windows XP es más seguro
después de la instalación predeterminada que Windows 2000.
Preparar equipos que ejecutan Windows XP en grupos de trabajo

De forma predeterminada, los equipos cliente con Windows XP que se instalan
en grupos de trabajo no aceptan la implementación de clientes remotos. Para
permitir la implementación remota en estos equipos, es necesario deshabilitar el
uso compartido simple de archivos.
Nota: Este procedimiento no es obligatorio para los equipos que son parte de un
dominio de Windows.
Para preparar los equipos con Windows XP

1 Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en
Abrir.
2 En el panel Mi PC, haga clic en Herramientas > Opciones de carpeta.
3 En la ficha Ver, bajo Configuración avanzada, al finalizar la lista, deje sin
marcar Utilizar uso compartido simple de archivos (recomendado) y después
haga clic en Aceptar.
Preparar equipos con Windows Vista

Windows Vista proporciona una interfaz de usuario altamente personalizable.
Los procedimientos de esta sección se basan en la interfaz de usuario clásica de
Windows que es posible configurar para Windows Vista.
La función Control de cuentas de usuario (UAC, User Access Control) de Windows
Vista bloquea las cuentas administrativas locales, impidiéndoles el acceso remoto
a recursos compartidos administrativos, como C$ y Admin$. Para utilizar el
Asistente de implementación mediante transferencia en estos casos, se deberá
utilizar una cuenta administrativa del dominio si el equipo cliente objetivo forma
parte de un dominio de Active Directory. Para la instalación remota de clientes,
también se necesitan privilegios elevados de instalación.
Para habilitar la implementación remota de software de cliente en equipos con
Windows Vista, debe hacer lo siguiente en cada equipo cliente:
■ Deshabilitar el asistente para el uso compartido de archivos.
■ Habilitar la detección de redes mediante el Centro de redes y recursos
compartidos.
■ Habilitar la cuenta de administrador incorporada y asignarle una contraseña.
■ Verificar que su cuenta tenga privilegios elevados.
Para deshabilitar el asistente para el uso compartido de archivos

1 Visualice las unidades de su equipo.
2 En la ventana Equipo, haga clic en Herramientas > Opciones de carpeta.
3 En la ficha Ver, bajo Configuración avanzada, deje sin marcar Usar el Asistente
para compartir (recomendado) y después haga clic en Aceptar.
Para habilitar la detección de red
1 Visualice los equipos de su red.
2 En la ventana Red, haga clic en Centro de redes y recursos compartidos.
3 Bajo Compartir y detectar, haga clic en Detección de red.
4 Haga clic en Activar la detección de redes y después haga clic en Aplicar.
Para habilitar la cuenta de administrador
1 Haga clic en Inicio > Configuración > Panel de control > Herramientas
administrativas > Administración de equipos.
2 En la ventana Administración de equipos, haga clic para ampliar Usuarios y
grupos locales.
3 Haga clic en Usuarios.
4 En el panel derecho, haga clic con el botón secundario en Administrador y,
después, haga clic en Establecer contraseña.
5 En la indicación de Advertencia, haga clic en Continuar.
6 En el cuadro de diálogo Establecer contraseña para el administrador, escriba
la misma contraseña en los cuadros de contraseña y después haga clic en
Aceptar.
7 En el panel derecho, haga clic con el botón secundario en Administrador y,
después, haga clic en Propiedades.
8 Deje sin marcar Cuenta deshabilitada y después haga clic en Aceptar.
Para verificar que cuenta con privilegios elevados
1 Haga clic en Inicio > Ejecutar.
2 Escriba \\<nombre de equipo de destino>\C$.
Si puede acceder al recurso administrativo remoto C$ y verlo, cuenta con
privilegios elevados. Si no puede acceder a estos recursos compartidos ni
visualizarlos, debe autenticarse con una cuenta que tenga los privilegios
necesarios.
Preparar equipos para la instalación
Preparar equipos para la instalación

Antes de instalar el software de cliente en sus equipos, es necesario determinar
el estado de estos equipos. La instalación del cliente es más rápida y eficaz si usted
evalúa las siguientes condiciones antes de que comience el proceso de instalación:
■ Eliminar amenazas de virus y riesgos de seguridad
■ Evaluar software de cliente de otros fabricantes
■ Instalar software de cliente en etapas
Eliminar amenazas de virus y riesgos de seguridad

Evite instalar o actualizar clientes en equipos infectados con amenazas de virus
u otros riesgos de seguridad. Algunas amenazas pueden interferir directamente
en la instalación o la operación del software de cliente. En los equipos sin
programas de análisis antivirus, puede realizar el análisis desde Symantec Security
Response. Si se encuentra un virus, se mostrarán instrucciones de eliminación
manual en la enciclopedia de virus, de ser posible. La búsqueda de virus en el sitio
Web de Symantec Security Response se encuentra en la siguiente URL:
http://www.symantec.com/es/mx/security_response/
Evaluar software de cliente de otros fabricantes

Mientras se prepara para instalar el software de cliente en su red, es necesario
determinar si el software de seguridad de otro fabricante está instalado en sus
equipos. El software de seguridad de otros fabricantes incluye otro software
antivirus o contra aplicaciones de publicidad no deseada y software espía. Estos
programas pueden afectar el rendimiento y la eficacia del software de cliente.
Symantec no recomienda ejecutar dos programas antivirus en el mismo equipo.
Asimismo, puede ser problemático ejecutar dos programas contra aplicaciones
de publicidad no deseada o software espía y dos programas de firewall. Esta
recomendación es importante si ambos programas proporcionan protección en
tiempo real. Ambos programas pueden generar un conflicto de recursos y consumir
los recursos del equipo al intentar analizar y reparar los mismos archivos.
Instalar software de cliente en etapas

Es posible instalar o migrar los clientes de la red en etapas lógicas. En especial
para los entornos grandes, primero debe instalar el software de cliente en un
entorno de prueba. El entorno de prueba puede ser una red independiente de
equipos cuyo modelo se basa en su entorno de producción. O la red de prueba
puede abarcar un pequeño grupo de equipos de su red de producción real.
Reinicios del equipo obligatorios
Reinicios del equipo obligatorios

Las instalaciones o migraciones siguientes implican reiniciar el equipo:
■ Todos los equipos cliente que no ejecutan MSI 3.1. Las instalaciones de clientes
actualizan MSI a 3.1 si no se ejecuta en los equipos cliente, y esta actualización
requiere reiniciar.
■ Instalación de clientes de Symantec Endpoint Protection que instala la
protección contra amenazas de red y el firewall.
■ Migraciones del servidor de Symantec Sygate Enterprise Protection.
Capítulo 4
Instalar Symantec Endpoint
Protection Manager
■ Instalar Symantec Endpoint Protection Manager con una base de datos

integrada
■ Instalar Symantec Endpoint Protection Manager con una base de datos de

Microsoft SQL
■ Instalar consolas adicionales de Symantec Endpoint Protection Manager
■ Instalar y configurar Symantec Endpoint Protection Manager para la

conmutación por error o el balanceo de carga
■ Instalar y configurar Symantec Endpoint Protection Manager para la

replicación
■ Ajustar el tamaño de pila de Symantec Endpoint Protection Manager
■ Actualizar desde la base de datos integrada a Microsoft SQL Server
■ Desinstalar Symantec Endpoint Protection Manager

Antes de instalar Symantec Endpoint Protection Manager y una base de datos,
debe decidir qué tipo de base de datos crear. Es posible crear una base de datos
SQL integrada o una base de datos de Microsoft SQL. Los archivos de instalación
de la base de datos SQL integrada se incluyen en el CD de instalación. Si crea una
76 Instalar Symantec Endpoint Protection Manager
Instalar Symantec Endpoint Protection Manager con una base de datos integrada
base de datos de Microsoft SQL, primero se debe instalar una instancia del servidor
de Microsoft SQL que cumpla los requisitos de Symantec.
Advertencia: La instalación de Symantec Endpoint Protection Manager no instala

Symantec Endpoint Protection ni ninguna otra tecnología de protección. Para
proteger el equipo que ejecuta instancias de Symantec Endpoint Protection
Manager, es necesario instalar el software de cliente de Symantec Endpoint
Protection. También, por motivos de rendimiento, el instalador de Symantec
Endpoint Protection bloquea la instalación de Auto-Protect para correo electrónico
de Internet en sistemas operativos de servidor de Microsoft.
Instalar Symantec Endpoint Protection Manager con

una base de datos integrada
La instalación con la base de datos integrada es la manera más fácil de instalar
Symantec Endpoint Protection Manager. La base de datos integrada admite hasta
1000 clientes.
Después de instalar Symantec Endpoint Protection Manager y sentirse cómodo
con las tareas de administración, debe proteger sus archivos de cifrado en caso
de que necesite recuperarlos después de un desastre. Es necesario también
documentar la clave precompartida que escriba durante la instalación de Symantec
Ver "Cómo prepararse para la recuperación después de un desastre"
en la página 213.
Acerca de la configuración de instalación de la base de datos integrada

Durante la instalación, se toman decisiones sobre la configuración de valores de
la base de datos. Estas decisiones deben tomarse antes de iniciar la instalación.
La Tabla 4-1 enumera y describe estos valores y opciones.
Instalar Symantec Endpoint Protection Manager 77
Tabla 4-1 Opciones predeterminadas y descripciones de la base de datos

integrada
Opción Predeterminado Descripción
Seleccione las Usar el sitio Web ■ Usar el sitio Web predeterminado

opciones de predeterminado Instala la aplicación Web de IIS de
configuración del Symantec Endpoint Protection en
sitio Web de IIS el sitio Web de IIS predeterminado
y funciona con cualquier otra
aplicación Web que se instale en el
sitio Web.
■ Crear un sitio Web personalizado
Deshabilita el sitio Web de IIS
predeterminado y crea un servidor
Web de Symantec para Symantec
Nombre del <nombre del host local> Nombre del equipo que ejecuta
servidor Symantec Endpoint Protection
Manager.
Puerto del servidor 8443 Número de puerto TCP en el cual

Symantec Endpoint Protection Manager
escucha.
Carpeta de datos \\Program Files\Symantec Directorio en el cual Symantec

del servidor Endpoint Protection Endpoint Protection Manager pone los
Manager\data archivos de datos, incluidos copias de
respaldo, registros replicados y otros
archivos. El instalador crea este
directorio si no existe.
Nombre del sitio Sitio <nombre del host local> Nombre del sitio del contenedor de más
alto nivel en el cual se configuran todas
las funciones y se ejecutan con
Manager. No es posible modificar el
nombre del sitio.
Contraseña de Ninguno Nombre de la contraseña que cifra la

cifrado comunicación entre Symantec Endpoint
Protection Manager, los clientes y los
dispositivos de hardware opcionales de
Enforcer. La contraseña puede incluir
entre 1 y 32 caracteres alfanuméricos
y es obligatoria.
Documente esta contraseña y póngala

en una caja fuerte. No es posible
modificar o recuperar la contraseña
después de crear la base de datos. Es
necesario también escribir esta
contraseña para la recuperación
después de un desastre si no tiene una
copia de respaldo de la base de datos
para restaurar.
Ver "Cómo prepararse para la

recuperación después de un desastre"
en la página 213.
Nombre del Admin Nombre de usuario predeterminado que

usuario se utiliza para iniciar sesión en la
administrador Consola de Symantec Endpoint
Protection Manager por primera vez.
(No modificable)
Contraseña de Ninguno Contraseña para el nombre de usuario

administrador del administrador que se utiliza para
iniciar sesión en la Consola de
por primera vez.
Instalar Symantec Endpoint Protection Manager con la base de datos

integrada
La instalación se divide en tres partes. La primera parte instala el servidor de
administración y la consola. La segunda parte instala y configura la base de datos.
La tercera parte implica la implementación del software de cliente en varios
equipos, y es opcional.
En la primera parte, es posible aceptar todas las opciones predeterminadas. En la
segunda parte, se agrega por lo menos un valor personalizado, que es una
contraseña. En la tercera parte, usted selecciona los clientes en los cuales

implementar el software de cliente.
Para instalar Symantec Endpoint Protection Manager con la base de datos integrada
2 En el panel de bienvenida, realice una de las siguientes acciones:
■ Si está instalando Symantec Endpoint Protection, haga clic en Symantec
■ Si está instalando Symantec Network Access Control, haga clic en
3 En el panel siguiente, haga clic en Instalar Symantec Endpoint Protection

Manager.
4 Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta
de destino.
5 En el panel Carpeta de destino, acepte o modifique el directorio de instalación
predeterminado.
Manager se ejecute con otro sitio Web en este equipo, marque Usar el sitio
Web predeterminado y después haga clic en Siguiente.
7 Haga clic para desplazarse por los paneles hasta que comience la instalación.
Nota: El panel del Asistente para la configuración del servidor puede tardar
hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reinicie el
equipo e inicie sesión, y el panel del Asistente para la configuración del
servidor aparece automáticamente para continuar.

marque Instalar mi primer sitio y después haga clic en Siguiente.

11 En el panel Nombre del sitio, en el cuadro Nombre del sitio, acepte o modifique
el nombre predeterminado y después haga clic en Siguiente.
12 En el panel Contraseña de cifrado, en los cuadros Contraseña de cifrado,
escriba una contraseña y haga clic en Siguiente.
Documente esta contraseña y póngala en una caja fuerte. No es posible
modificar o recuperar la contraseña después de crear la base de datos. Es
necesario también escribir esta contraseña para la recuperación después de
un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
13 En el panel Elección del servidor de bases de datos, marque Base de datos
integrada y después haga clic en Siguiente.
14 En el panel Configurar nombre de usuario, escriba la misma contraseña en
los cuadros siguientes y haga clic en Siguiente.
■ Contraseña
■ Confirmar contraseña
Utilice el nombre de usuario y la contraseña aquí establecidos para iniciar
sesión en la consola por primera vez.
15 En el cuadro de diálogo Configuración finalizada, realice una de las acciones
siguientes:
■ Para implementar el software de cliente con el Asistente para migración
e implementación, haga clic en Sí.
■ Para iniciar sesión en la Consola de Symantec Endpoint Protection Manager
primero y luego implementar el software de cliente, haga clic en No.
Consulte el capítulo sobre instalación de clientes para obtener información
sobre cómo implementar el software de cliente.
con las tareas de administración, debe proteger sus archivos de cifrado en
caso de que necesite recuperarlos después de un desastre. Es necesario también
documentar la clave precompartida que escriba durante la instalación de
Symantec Endpoint Protection Manager.
en la página 213.
Instalar Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL
Instalar Symantec Endpoint Protection Manager con

una base de datos de Microsoft SQL
Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo
que ejecuta Microsoft SQL Server 2000/2005 y después crear una base de datos
en el servidor SQL local. Es posible también instalar Symantec Endpoint Protection
Manager en un equipo que no ejecute Microsoft SQL Server 2000/2005 y después
crear una base de datos en el servidor SQL remoto. En ambos casos, es necesario
instalar y configurar correctamente los componentes de Microsoft SQL Server en
todos los equipos.
Nota: Microsoft SQL Server 2000 se admite solamente en sistemas operativos

Windows en idioma inglés.
Preparar Microsoft SQL Server 2000/2005 para la creación de una

base de datos
Antes de crear la base de datos, Symantec recomienda que se instale una nueva
instancia de SQL Server que cumpla los requisitos de instalación y configuración
de Symantec. Se puede instalar una base de datos en una copia anterior, pero la
copia debe configurarse correctamente para que la instalación de la base de datos
se realice correctamente. Por ejemplo, si la configuración de autenticación no es
de Modo mixto, la instalación no se completará o no funcionará correctamente.
Si selecciona una intercalación de SQL que distinga entre mayúsculas y minúsculas,
no se completará la instalación.
Advertencia: Symantec Endpoint Protection Manager se autentica en Microsoft

SQL Server con un nombre de usuario y una contraseña de propietario de base de
datos con texto en blanco. Si realiza la instalación en un servidor de Microsoft
SQL Server remoto y se comunica con él, cualquier equipo en la ruta de
comunicaciones puede potencialmente capturar este nombre de usuario y esta
contraseña con una utilidad de captura de paquetes. Para maximizar la seguridad
de las comunicaciones remotas de Microsoft SQL Server, coloque ambos servidores
en una subred segura.
Una subred segura aísla las comunicaciones por red entre los servidores en esa
subred solamente. Típicamente, una subred segura se establece detrás de un
dispositivo de red que realiza la traducción de direcciones de red (NAT). Muchos
de los routers económicos modernos que realizan asignaciones de direcciones
DHCP también realizan esta traducción. Una subred segura es también físicamente
segura, de modo que solamente el personal autorizado tiene acceso físico a los
dispositivos de red de esa subred.
Requisitos de instalación y configuración de Microsoft SQL

Server 2000
La instalación y los requisitos de configuración afectan a todas las instalaciones
de Microsoft SQL Server 2000, locales y remotas. Para crear una base de datos en
un servidor SQL remoto, es necesario también instalar los componentes de cliente
de SQL Server en el servidor que ejecuta o ejecutará Symantec Endpoint Protection
Manager.
Requisitos de instalación de Microsoft SQL Server 2000

Al instalar la copia de Microsoft SQL Server 2000, seleccione las siguientes opciones
no predeterminadas:
■ No acepte el nombre de instancia predeterminado. Utilice SEPM o algún otro
nombre.
De forma predeterminada, una base de datos denominada Sem5 se crea en esta
instancia cuando se instala Symantec Endpoint Protection Manager. Se admite
la instancia predeterminada, que no tiene nombre, pero puede llevar la
confusión si usted instala varias instancias en un equipo.
■ Configure la autenticación en Modo mixto (autenticación de Windows y de
SQL Server).
■ Determine la contraseña de sa al configurar la autenticación en Modo mixto.
Se escribe esta contraseña cuando usted instala Symantec Endpoint Protection
Manager.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una

intercalación de SQL que distinga entre mayúsculas y minúsculas. La base de datos
no admite esa distinción.
Requisitos de configuración de Microsoft SQL Server 2000

Tras instalar la instancia de Microsoft SQL Server 2000, realice las siguientes
tareas:
■ Aplique SQL Server con Service Pack 4 y seleccione la autenticación mediante
credenciales del servidor SQL.
■ En Enterprise Manager, registre la copia, haga clic con el botón secundario en
la instanca y modifique las propiedades de registro a fin de utilizar la
autenticación del servidor SQL.
■ A continuación, cuando se le indique, desconéctese del servidor.

■ Haga clic con el botón secundario en la instancia y conéctese al servidor.
■ Use la Herramienta de red de SQL Server para verificar que el protocolo TCP/IP
esté activado. De no ser así, actívelo.
■ Verifique que el Agente SQL Server se esté ejecutando e inícielo si no está
ejecutándose.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2000

Instale y configure los componentes de cliente de Microsoft SQL Server 2000 en
el equipo que ejecuta o ejecutará Symantec Endpoint Protection Manager.
Para instalar componentes de cliente de Microsoft SQL Server 2000
1 Inicie el CD de instalación de Microsoft SQL Server 2000 y comience el proceso.
2 En la ventana Definición de instalación, haga clic en Sólo herramientas
cliente.
3 Complete la instalación.
Para configurar componentes de cliente de Microsoft SQL Server 2000
1 Haga clic en Inicio > Programas > Microsoft SQL Server > Herramienta de
red de cliente.
2 En el cuadro de diálogo Herramienta de red de cliente de SQL Server, en la
ficha General, verifique que el protocolo TCP/IP esté activado. De no ser así,
actívelo.
3 Haga clic con el botón secundario en TCP/IP y después haga clic en
Propiedades.
4 En el cuadro de diálogo TCP/IP, en el cuadro Puerto predeterminado, escriba
el número de puerto que coincide con el puerto utilizado por la instancia de
Microsoft SQL Server 2000.
El puerto predeterminado típicamente es 1433. Se especifica este número de
puerto cuando se crea la base de datos.
5 Haga clic en Aceptar y después salga de la Herramienta de red de cliente de
SQL Server.
Requisitos de instalación y configuración de Microsoft SQL

Server 2005
La instalación y los requisitos de configuración afectan a todas las instalaciones
de Microsoft SQL Server 2005, locales y remotas. Si crea una base de datos en un
servidor SQL remoto, es necesario también instalar los componentes de cliente
de SQL Server en el servidor que ejecuta o ejecutará Symantec Endpoint Protection

Manager.
Requisitos de instalación de Microsoft SQL Server 2005

Al instalar la copia de Microsoft SQL Server 20005, seleccione las siguientes
opciones no predeterminadas:
■ No acepte el nombre de instancia predeterminado. Utilice SEPM o algún otro
nombre.
De forma predeterminada, una base de datos denominada Sem5 se crea en esta
instancia cuando se instala Symantec Endpoint Protection Manager. Se admite
la instancia predeterminada, que no tiene nombre, pero puede llevar la
confusión si usted instala varias instancias en un equipo.
■ Configure la autenticación en Modo mixto (autenticación de Windows y de
SQL Server).
■ Determine la contraseña de sa al configurar la autenticación en Modo mixto.
Se escribe esta contraseña cuando usted instala Symantec Endpoint Protection
Manager.
■ Al configurar Cuentas de servicio, opte por iniciar el explorador de SQL Server
al finalizar la configuración.
Nota: Al instalar la instancia de Microsoft SQL Server, no seleccione una

intercalación de SQL que distinga entre mayúsculas y minúsculas. La base de datos
de informes no admite esa distinción.
Requisitos de configuración de Microsoft SQL Server 2005

Después de instalar la instancia de Microsoft SQL Server 2005, aplique SQL Server
2005 con Service Pack 2 y seleccione la autenticación mediante credenciales del
servidor SQL. A continuación, utilice el Administrador de configuración de SQL
Server para hacer lo siguiente:
■ Mostrar los protocolos de la Configuración de red de SQL Server 2005.
■ Mostrar las propiedades de protocolo y activar TCP/IP.
■ Mostrar las direcciones IP de TCP/IP y activar las direcciones IP1 e IP2.
■ Configurar los números de puerto TCP/IP para IP1, IP2 y PALL.
La base de datos de Symantec Endpoint Protection Manager no admite puertos
dinámicos. Como resultado, deje los puertos TCP dinámicos en blanco y
especifique un número de puerto TCP. El predeterminado típicamente es 1433.
Se especifica este número de puerto cuando se crea la base de datos.
■ Detenga y reinicie el servidor SQL.
Si no seleccionó iniciar el explorador de SQL durante la instalación, la instalación

remota no se completará. Si no realizó esta selección durante la instalación, use
la utilidad Configuración del área de superficie de SQL Server para hacer lo
siguiente:
■ Mostrar la información de la Configuración de superficie para servicios y
conexiones.
■ Habilitar el servicio del explorador de SQL Server.
De no estar habilitado, los equipos cliente no pueden comunicarse con el
servidor.
■ Verificar que las conexiones locales y remotas estén habilitadas mediante
TCP/IP únicamente.
No son necesarias canalizaciones con nombre.
Instalar y configurar componentes de cliente de Microsoft SQL Server 2005

Instale los componentes de cliente de Microsoft SQL Server 2005 en el equipo que
ejecuta o ejecutará Symantec Endpoint Protection Manager.
Nota: Es necesario instalar los componentes de cliente en un equipo que ejecute

Windows Server 2003. La instalación de los componentes de cliente requiere
MDAC 2.8 Service Pack 1 o superior, Windows Installer 3.1 e Internet Explorer
6.0 Service Pack 1 o superior.
Para instalar componentes de cliente de Microsoft SQL Server 2005

1 Inicie el CD de instalación de Microsoft SQL Server 2005 y comience el proceso.
2 En la ventana Inicio, haga clic en Componentes de servidor, herramientas,
libros en pantalla y muestras.
3 Continúe la instalación hasta que se le solicite que seleccione los componentes
que se instalarán.
4 En el cuadro de diálogo Componentes para instalar, haga clic en Avanzados.
5 En el panel izquierdo, haga clic en Componentes de cliente y expándalo.
6 Haga clic en Componentes de cliente y seleccione Se instalará en la unidad
de disco duro local.
7 Haga clic en las funciones de Componentes de cliente Componentes de
conectividad y Herramientas de administración, y seleccione Se instalarán
en la unidad de disco duro local.
8 Complete la instalación.
Para configurar componentes de cliente de Microsoft SQL Server 2005

1 Haga clic en Inicio > Programas > Microsoft SQL Server 2005 > Herramientas
de configuración > Administrador de configuración de SQL Server.
2 Bajo Configuración de SQL Native Client, haga clic en Protocolos de cliente,
haga clic con el botón secundario en TCP/IP y después haga clic en
Propiedades.
3 En el cuadro Puerto predeterminado, escriba el número de puerto que coincide
con el puerto utilizado por la instancia de Microsoft SQL Server 2005.
El puerto predeterminado típicamente es 1433. Se especifica este número de
puerto cuando se crea la base de datos.
4 Haga clic en Aplicar > Aceptar.
Acerca de las opciones de instalación de la base de datos de Microsoft

SQL Server
Durante la instalación de Symantec Endpoint Protection Manager, usted toma
decisiones sobre qué valores de base de datos se aplicarán. Estas decisiones deben
tomarse antes de iniciar la instalación.
La Tabla 4-2 enumera y describe estos valores y opciones.
Tabla 4-2 Opciones predeterminadas y descripciones de Microsoft SQL Server
Seleccione las Usar el sitio Web ■ Usar el sitio Web predeterminado

opciones de predeterminado Instala la aplicación Web de IIS de
configuración del Symantec Endpoint Protection en
sitio Web de IIS el sitio Web de IIS predeterminado
y funciona con cualquier otra
aplicación Web que se instale en el
sitio Web.
■ Crear un sitio Web personalizado
Deshabilita el sitio Web de IIS
predeterminado y crea un servidor
Web de Symantec para Symantec
Nombre del <nombre del host local> Nombre del equipo que ejecuta
servidor Symantec Endpoint Protection
Manager.
Puerto del servidor 8443 Número de puerto en el cual el servidor

de Symantec Endpoint Protection
Manager escucha.
Carpeta de datos C:\Program Files\Symantec Directorio en el cual Symantec

del servidor Endpoint Protection Endpoint Protection Manager pone los
Manager\data archivos de datos, incluidos copias de
respaldo, archivos de replicación y
otros archivos de Symantec Endpoint
Protection Manager. El instalador crea
este directorio si no existe.
Nombre del sitio Sitio <nombre del host local> Nombre del sitio del contenedor de más
alto nivel en el cual se configuran todas
las funciones y se ejecutan con
Manager. No es posible modificar el
nombre del sitio.
Contraseña de Ninguno Nombre de la contraseña que cifra la

cifrado comunicación entre Symantec Endpoint
Protection Manager, los clientes y los
dispositivos de hardware opcionales de
Enforcer. La contraseña puede incluir
entre 1 y 32 caracteres alfanuméricos
y es obligatoria.
Documente esta contraseña y póngala

en una caja fuerte. No es posible
modificar o recuperar la contraseña
después de crear la base de datos. Es
necesario también escribir esta
contraseña para la recuperación
después de un desastre si no tiene una
copia de respaldo de la base de datos
para restaurar.
Ver "Cómo prepararse para la

recuperación después de un desastre"
en la página 213.
Verificación del Habilitada Protege la comunicación entre

certificado del Symantec Endpoint Protection Manager
servidor de y los clientes con un certificado digital.
administración Los clientes utilizan la clave pública
antes de aceptar incluida en Sylink.xml para descifrar y
políticas o para validar que Symantec Endpoint
contenido Protection Manager firmó el certificado
con su clave privada. Los clientes
entonces instalan las políticas y las
actualizaciones de contenido.
Cuando están deshabilitados, los

clientes no validan que las políticas y
las actualizaciones de contenido fueron
enviadas por Symantec Endpoint
Protection Manager.
Servidor de bases <nombre del host local> Nombre del servidor de Microsoft SQL
de datos y de la instancia opcional. Si el servidor
de bases de datos fue instalado con la
instancia predeterminada, que no tiene
nombre, escriba <nombre de host> o la
<dirección IP> del host. Si el servidor
de bases de datos fue instalado con una
instancia con nombre, escriba<nombre
de host>\<nombre_instancia> o
<Dirección IP>\<nombre_instancia>.
Escribir <nombre de host> funciona
solamente con una DNS correctamente
configurada.
Si realiza la instalación en un servidor

de bases de datos remoto, es necesario
primero instalar los componentes de
cliente de SQL Server en el equipo que
ejecuta Symantec Endpoint Protection
Manager.
Puerto de SQL 1433 El puerto con el que el servidor SQL está

Server configurado para enviar y recibir
tráfico.
No se admite el puerto 0, que se utiliza

para especificar un puerto negociado
al azar.
Nombre de la base sem5 Nombre de la base de datos creada.

de datos
Usuario sem5 Nombre de la cuenta de usuario de la

base de datos creada. La cuenta de
usuario tiene un rol estándar con acceso
de lectura y escritura. El nombre puede
ser una combinación de valores
alfanuméricos y de los caracteres
especiales ~#%_+=|:./. No se admiten
los caracteres especiales
'!@$^&*()-{}[]\\<;>,?. Los
nombres siguientes tampoco se
permiten: sysadmin, server admin,
setupadmin, securityadmin,
processadmin, dbcreator, diskadmin,
bulkadmin.
Contraseña Ninguno Nombre de la contraseña que se

asociará con la cuenta de usuario de
base de datos. El nombre puede ser una
combinación de valores alfanuméricos
y de los caracteres especiales
~#%_+=|:./. No se admiten los
caracteres especiales
'!@$^&*()-{}[]\\<;>,?.
Carpeta de cliente C:\Program Files\Microsoft Ubicación del directorio de la utilidad

de SQL SQL Server\80\Tools\Binn del cliente de SQL local que contiene
bcp.exe.
Si crea una base de datos en SQL Server

2005, el directorio numérico
predeterminado es 90. La configuración
predeterminada completa es
C:\Program Files\Microsoft SQL
Server\90\Tools\Binn.
Usuario Ninguno Nombre de la cuenta de administrador

administrador de del servidor de bases de datos, que
bases de datos típicamente es "sa".
Contraseña del Ninguno Contraseña que se asocia a la cuenta de

administrador de usuario del administrador de bases de
bases de datos datos.
Carpeta de datos Detectado automáticamente Ubicación del directorio de datos del

de la base de datos al hacer clic en servidor SQL. Si realiza la instalación
Predeterminado en un servidor remoto, el identificador
del volumen debe coincidir con el
SQL Server 2000: C:\Program
identificador en el servidor remoto. Si
Files\Microsoft SQL
está instalando en una instancia con
Server\MSSQL\Data
nombre en SQL Server 2000, el nombre
SQL Server 2005: C:\Program de la instancia se añade al final de
Files\Microsoft SQL MSSQL con un signo de dólar, por
Server\MSSQL.1\MSSQL\Data ejemplo \MSSQL$<nombre de
instancia>\Data. Si está instalando en
una instancia con nombre en SQL
Server 2005, la instancia con nombre
se añade al final de MSSQL con un
identificador numérico, como
\MSSQL.1\MSSQL\Data.
Nota: Al hacer clic en Predeterminado
se visualiza el directorio de instalación
correcto, si usted escribió el servidor
de bases de datos y el nombre de la
instancia correctamente. Si hace clic en
Predeterminado y no aparece el
directorio de instalación correcto, la
creación de la base de datos falla.
Nombre del Admin Nombre de usuario predeterminado que

usuario se utiliza para iniciar sesión en la
administrador Consola de Symantec Endpoint
(No modificable)
Contraseña de Ninguno Contraseña que se utilizará con el

administrador nombre de usuario del administrador
que se utiliza para iniciar sesión en la
Consola de Symantec Endpoint
Instalar Symantec Endpoint Protection Manager con una base de datos

de Microsoft SQL
Tras instalar y configurar los componentes de cliente del servidor SQL, puede
instalar Symantec Endpoint Protection Manager.
Nota: Si crea una nueva base de datos, SQL Server administra automáticamente
su base de datos con el modelo simple de recuperación y habilita Reducir
automáticamente.

2 En el panel de bienvenida, realice una de las siguientes acciones:
■ Si está instalando Symantec Endpoint Protection, haga clic en Symantec
■ Si está instalando Symantec Network Access Control, haga clic en
3 En el panel siguiente, haga clic en Instalar Symantec Endpoint Protection

Manager.
4 Haga clic para desplazarse por los paneles hasta que aparezca el panel Carpeta
de destino.
5 En el panel Carpeta de destino, acepte o modifique el directorio de instalación
predeterminado.
Manager se ejecute con otro sitio Web en este equipo, marque Usar el sitio
Web predeterminado y después haga clic en Siguiente.
7 Haga clic para desplazarse por los paneles hasta que comience la instalación.
Nota: El panel del Asistente para la configuración del servidor puede tardar
hasta 15 segundos en aparecer. Si se le solicita reiniciar el equipo, reinícielo.
Cuando inicie sesión, el panel del Asistente para la configuración del servidor
aparece automáticamente.
Para crear una base de datos SQL

marque Instalar mi primer sitio y después haga clic en Siguiente.
3 En el panel Información del sitio, en el cuadro Nombre del sitio, acepte o

modifique el nombre predeterminado y después haga clic en Siguiente.
4 En el panel Contraseña de cifrado, en los cuadros Contraseña de cifrado,
escriba una contraseña y haga clic en Siguiente.
Documente esta contraseña y póngala en una caja fuerte. No es posible
modificar o recuperar la contraseña después de crear la base de datos. Es
necesario también escribir esta contraseña para la recuperación después de
un desastre si no tiene una copia de respaldo de la base de datos para restaurar.
5 En el panel Comunicaciones seguras, realice una de las acciones siguientes:
■ Para proteger las comunicaciones con certificados digitales, haga clic en
Sí y después haga clic en Siguiente.
■ Para proteger las comunicaciones con certificados digitales, haga clic en
No y después haga clic en Siguiente.
6 En el panel Elección del servidor de bases de datos, marque Microsoft SQL

Server y después haga clic en Siguiente.
7 En el panel Definir nueva base de datos, realice una de las siguientes tareas:
■ Si no existe la base de datos, marque Crear una base de datos nueva
(recomendado).
■ Si existe la base de datos, marque Usar una base de datos existente.
Una base de datos existente debe definir los grupos de archivos RIMARY,
FG_CONTENT, FG_LOGINFO, FG_RPTINFO y FG_INDEX. La cuenta de usuario
para el acceso a la base de datos debe tener los privilegios db_ddladmin,
db_datareader y db_datawriter. Si estos requisitos no se cumplen, la
instalación falla. Las mejores prácticas son definir una nueva base de datos.
9 En el panel Información de Microsoft SQL Server, escriba sus valores para
los cuadros siguientes y después haga clic en Siguiente:
■ Servidor de bases de datos

Si creó una nueva instancia, el formato es
<NombreDeServidor_o_DirecciónIP>\<nombre_instancia>.
■ Número de puerto SQL
■ Nombre de la base de datos
■ Usuario
■ Contraseña
■ Carpeta de cliente de SQL
■ Usuario administrador de bases de datos
■ Contraseña del administrador de bases de datos
■ Carpeta de datos de la base de datos
10 En el cuadro de diálogo Advertencia, lea y comprenda la información del aviso

sobre las comunicaciones de texto y después haga clic en Aceptar.
11 En el panel Establecer contraseña de la consola, escriba la misma contraseña
en los cuadros siguientes y haga clic en Siguiente.
■ Contraseña
■ Confirmar contraseña
12 En el panel Configuración finalizada, realice una de las siguientes acciones:

■ Para implementar el software de cliente con el Asistente para migración
e implementación, haga clic en Sí.
■ Para iniciar sesión en la Consola de Symantec Endpoint Protection Manager
primero y luego implementar el software de cliente, haga clic en No.
Consulte el capítulo sobre instalación de clientes para obtener información
sobre cómo implementar el software de cliente.
con las tareas de administración, debe proteger sus archivos de cifrado en
caso de que necesite recuperarlos después de un desastre. Es necesario también
documentar la clave precompartida que escriba durante la instalación de
en la página 213.
Instalar consolas adicionales de Symantec Endpoint Protection Manager
Instalar consolas adicionales de Symantec Endpoint

Protection Manager
Es posible instalar consolas de administración adicionales en equipos remotos e
iniciar sesión en Symantec Endpoint Protection Manager y administrarlo. Las
consolas requieren software Java runtime, así que si su equipo no cuenta con la
versión correcta de Java runtime, se instala automáticamente. Es posible que tenga
que ajustar su configuración de Internet Explorer para ActiveX y Java para permitir
la instalación.
Nota: Si exporta los paquetes de instalación de clientes de una consola de

administración remota, los paquetes se crean en el equipo desde el cual se ejecuta
la consola de administración remota. También, cuando se instalan servidores para
la conmutación por error o el balanceo de carga, se instalan las consolas de
administración en esos equipos.
Para instalar consolas de administración adicionales

1 En el equipo en el cual se instalará la consola de administración, inicie un
navegador Web.
2 En el cuadro URL, escriba uno de los identificadores siguientes para el equipo
que ejecuta Symantec Endpoint Protection Manager:
■ http://<nombre_equipo>:9090
■ http://<dirección_IP_equipo>:9090
9090 es el puerto predeterminado, que es posible modificar en el archivo
\tomcat\conf\server.xml.
3 En la ventana Consola Symantec Policy Management, haga clic en Aquí para
descargar e instalar JRE 1.5.
4 En el cuadro de diálogo Contrato de licencia, haga clic en Acepto los términos
del contrato de licencia y, a continuación, en Siguiente.
5 En el cuadro de diálogo Finalizada, haga clic en Finalizar.
6 En la ventana de la Consola de Symantec Endpoint Protection Manager, haga
clic en Haga clic aquí para iniciar sesión en Symantec Endpoint Protection
Manager.
7 En el cuadro de diálogo Advertencia de seguridad, haga clic en Ejecutar.
8 En el cuadro de creación de acceso directo, haga clic en Sí.
Instalar y configurar Symantec Endpoint Protection Manager para la conmutación por error o el balanceo de carga
9 En la indicación de inicio de sesión, escriba su nombre de usuario y contraseña

y después haga clic en Iniciar sesión.
10 Complete el proceso de autenticación.

Manager para la conmutación por error o el balanceo
de carga
Las configuraciones de conmutación por error y balanceo de carga se admiten
solamente en las instalaciones de Microsoft SQL Server. Las configuraciones de
conmutación por error se utilizan para mantener las comunicaciones si una
instancia de Symantec Endpoint Protection Manager falla. Las configuraciones
de balanceo de carga se utilizan para balancear comunicaciones si una o más
instancias de Symantec Endpoint Protection Manager comienzan a maximizar el
uso de CPU.
Nota: Cuando se instala un servidor para la conmutación por error o el balanceo

de carga, también se instala una consola de administración.
Instalar y configurar servidores para la conmutación por error y el balanceo de

carga es un proceso de dos partes. Primero, se instala Symantec Endpoint
Protection Manager en un equipo y se agrega a un sitio existente. En segundo
lugar, se inicia sesión en la Consola de Symantec Endpoint Protection Manager y
se configura la nueva instancia de Symantec Endpoint Protection Manager.
Instalar Symantec Endpoint Protection Manager para la conmutación

por error o el balanceo de carga
Se admiten las instalaciones de conmutación por error y balanceo de carga
solamente cuando Symantec Endpoint Protection Manager original utiliza
Microsoft SQL Server. No instale servidores para conmutación por error o balanceo
de carga cuando la instancia original de Symantec Endpoint Protection Manager
utiliza la base de datos integrada.
Para instalar un servidor para conmutación por error o balanceo de carga

1 Instale Symantec Endpoint Protection Manager.
Ver "Para instalar Symantec Endpoint Protection Manager" en la página 91.
marque Instalar un servidor de administración en un sitio existente y
después haga clic en Siguiente.
4 En el cuadro de diálogo Información de Microsoft SQL Server, escriba los

valores del servidor remoto para los cuadros siguientes:
■ Servidor de bases de datos<\nombre_instancia>
■ Número de puerto SQL
■ Nombre de la base de datos
■ Usuario
■ Contraseña
■ Ruta del cliente de SQL (en el equipo local)
Si este cuadro no se rellena automáticamente con la ruta correcta, la
utilidad de cliente de Microsoft SQL está instalada incorrectamente o no
está instalada.
5 En la indicación de Advertencia, lea el mensaje de texto y después haga clic

en Aceptar.
6 En el panel Finalizado del Servidor de administración, haga clic en Finalizar.
Configurar conmutación por error y balanceo de carga

De forma predeterminada, un servidor de administración que se instala para la
conmutación por error y el balanceo de carga se configura para el balanceo de
carga cuando ambos servidores comparten la misma prioridad. Si desea modificar
la configuración predeterminada después de la instalación, es necesario
configurarla con la Consola de Symantec Endpoint Protection Manager.
Para configurar conmutación por error y balanceo de carga

1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Políticas.
2 En el panel Ver políticas, a la derecha de Componentes de políticas, haga clic
en la flecha ascendente de modo que se convierta en una flecha descendente.
Haga clic en Listas de servidores de administración para resaltarlo.
3 En el panel inferior izquierdo ¿Qué desea hacer?, haga clic en Agregar una
lista de servidores de administración.
4 En el cuadro de diálogo Listas de servidores de administración compartidos,

bajo Servidores de administrador de políticas, haga clic en Agregar > Nueva
prioridad tres veces.
5 Bajo Servidores de administración, haga clic en Prioridad 1 para resaltarlo.

6 Haga clic en Agregar > Nuevo servidor.
7 En el cuadro de diálogo Dirección de host, en el cuadro Dirección del servidor,
escriba el nombre de dominio completo o la dirección IP de una instancia de
Si escribe una dirección IP, asegúrese de que sea estática y que todos los
clientes pueden resolverla.
■ Para configurar el balanceo de carga con el otro servidor, haga clic en
Prioridad 1 para resaltarlo.
■ Para configurar la conmutación por error con el otro servidor, haga clic
en Prioridad 2 para resaltarlo.
10 Haga clic en Agregar > Nuevo servidor.

11 En el cuadro de diálogo Dirección de host, en el cuadro Dirección del servidor,

escriba el nombre de dominio completo o la dirección IP de una instancia de
Si escribe una dirección IP, asegúrese de que sea estática y que puede ser
resuelta por todos los clientes.
13 (Opcional) Para modificar la prioridad de un servidor, que modifica la

configuración del balanceo de carga o de la conmutación por error, haga clic
en un servidor para resaltarlo y realice una de las siguientes acciones:
■ Haga clic en Subir.
■ Haga clic en Bajar.
14 En el cuadro de diálogo Listas de servidores de administración, haga clic en

Aceptar.
Para aplicar la lista de servidores de administración
1 En el panel derecho, bajo Listas de servidores de administración, bajo Nombre,
haga clic en la lista de servidores de administración que usted creó para
resaltarla.
2 En el panel inferior izquierdo Tareas, haga clic en Asignar la lista.
3 En el cuadro de diálogo Aplicar lista de servidores de administración, marque
los grupos a los que desea aplicar la lista.
Instalar y configurar Symantec Endpoint Protection Manager para la replicación
4 Haga clic en Asignar.

5 En el cuadro de diálogo Asignar lista de servidores de administración, haga
clic en Sí.

Manager para la replicación
Las configuraciones de replicación se admiten con bases de datos integradas y de
Microsoft SQL Server. Las configuraciones de replicación se utilizan para la
redundancia. Todos los datos de una base de datos se replican (duplican) en otra
base de datos. Si una base de datos falla, aún es posible administrar y controlar
todos los clientes porque la otra base de datos contiene la información de los
clientes.
Instalar y configurar los servidores para la replicación es un proceso de dos partes.
En un sitio de instalación existente, primero instale una nueva instancia de
Symantec Endpoint Protection Manager y una base de datos para la replicación
con un administrador existente. En segundo lugar, inicie sesión en Symantec
Endpoint Protection Manager, y seleccione y programe los elementos para la
replicación.
Cuando se seleccionan los elementos para replicar, es posible elegir registros y
paquetes. Los paquetes también incluyen las actualizaciones de definiciones de
virus, componentes de cliente y software de cliente. El tamaño de los paquetes y
las actualizaciones puede llegar a varios gigabytes de información si usted descarga
actualizaciones en idiomas varios. Tenga en cuenta la cantidad de datos que usted
replica cuando se seleccionan estas opciones, junto con el consumo de ancho de
banda. Un paquete de cliente generalmente tiene 180 MB de tamaño cuando está
comprimido.
Instalar Symantec Endpoint Protection Manager para la replicación

Es posible instalar servidores para replicación con bases de datos integradas y de
Microsoft SQL Server. Si desea instalar una base de datos de Microsoft SQL Server
para la replicación, es necesario primero instalar Microsoft SQL Server.
Ver "Instalar Symantec Endpoint Protection Manager con una base de datos de
Microsoft SQL" en la página 81.
Nota: No instale un nuevo servidor con un secreto compartido. Los nuevos

servidores que se instalan con secretos compartidos no se comunican con los
demás.
Instalar y configurar Symantec Endpoint Protection Manager para la replicación
Para instalar servidores para la replicación

1 Instale Symantec Endpoint Protection Manager.
Ver "Para instalar Symantec Endpoint Protection Manager" en la página 91.
marque Instalar un sitio adicional y después haga clic en Siguiente.
4 En el panel Información del sitio, acepte o modifique el nombre del cuadro

Nombre del sitio y después haga clic en Siguiente.
5 En el panel Información de replicación, escriba los valores en los cuadros
siguientes:
■ Nombre del servidor de replicación
El nombre o la dirección IP de la instancia remota de Symantec Endpoint
Protection Manager.
■ Puerto del servidor de replicación
El valor predeterminado es 8443.
■ Nombre del administrador
El nombre que se utiliza para iniciar sesión en la consola.
■ Contraseña
La contraseña que se utiliza para iniciar sesión en la consola.

7 En la advertencia del certificado, haga clic en Sí.
8 En el panel Elección del servidor de bases de datos, realice una de las siguientes
tareas y haga clic en Siguiente.
■ Marque Base de datos integrada y termine la instalación.
■ Marque Microsoft SQL Server y termine la instalación.
Ver "Para crear una base de datos SQL" en la página 92.
Configurar Symantec Endpoint Protection Manager para la replicación

Se utiliza la Consola de Symantec Endpoint Protection Manager para configurar
los servidores para la replicación. Las credenciales de inicio de sesión de
Ajustar el tamaño de pila de Symantec Endpoint Protection Manager
administrador son las credenciales que se utilizan en el primer sitio que usted
especificó para la replicación.
Para configurar los servidores para la replicación
1 En el equipo en el que se instaló el servidor, haga clic en Inicio > Programas
> Symantec Endpoint Protection Manager.
2 En el cuadro de diálogo Inicio de sesión, en el cuadro Nombre de usuario,
escriba el ID de administrador que se utiliza para iniciar sesión en la instancia
de Symantec Endpoint Protection Manager que utiliza la base de datos inicial.
3 En el cuadro Contraseña, escriba la contraseña que se asocia al ID de
administrador y después haga clic en Iniciar sesión.
4 En la consola, en el panel izquierdo, haga clic en Administrador > Servidores.
5 En el árbol izquierdo, expanda Sitio local y, a continuación, Asociado de
replicación. Luego haga clic con el botón secundario en Sitio <host_remoto>
y después haga clic en Propiedades.
6 En el cuadro de diálogo Propiedades del asociado de replicación, configure
las opciones que desee para los registros, los paquetes y la frecuencia de
replicación, y después haga clic en Aceptar.
Consulte la ayuda contextual y la Guía de administración para Symantec
Endpoint Protection y Symantec Network Access Control a fin de obtener
información sobre estas opciones.
7 Haga clic con el botón secundario en Sitio <host_remoto> y después haga
clic en Replicar ahora.
Ajustar el tamaño de pila de Symantec Endpoint

Protection Manager
El tamaño de pila predeterminado para Symantec Endpoint Protection Manager
es 256 MB. Si la Consola de Symantec Endpoint Protection Manager funciona
lenta o no responde, un tamaño de pila más grande puede mejorar la situación.
Es posible aumentar el tamaño predeterminado con dos valores de clave del
registro. Los dos valores de clave del registro son -Xms256m y -Xmx256m.
-Xms256m configura el tamaño de pila mínimo. -Xmx256m configura el tamaño
de pila máximo. -Xms256m es el valor que se especifica para la opción 0 de la clave
JVM. -Xmx256m es el valor que se especifica para la opción 1 de la clave JVM 1.
Symantec Endpoint Protection Manager necesita los mismos valores para ambas
claves.
Actualizar desde la base de datos integrada a Microsoft SQL Server
Para ajustar el tamaño de pila de Symantec Endpoint Protection Manager

1 Haga clic en Inicio > Ejecutar.
2 En el cuadro de diálogo Ejecutar, escriba regedit y presione Intro.
3 Localice la siguiente clave de registro:
HKLM\SYSTEM\CurrentControlSet\Services\semsrv\Parameters\
4 Localice las siguientes claves:
■ Opción 0 de JVM
■ Opción 1 de JVM
5 Aumente los valores de la clave y asegúrese de que coincidan.

Por ejemplo, para crear una pila estática de 1 GB, configure la opción 0 de
JVM en -Xms1024m y la opción 1 de JVM en -Xmx1024m.
6 Salga de Regedit y haga clic en Inicio > Configuración > Panel de control >
Herramientas administrativas.
7 En el cuadro de diálogo Servicios, haga clic con el botón secundario en
Symantec Endpoint Protection Manager y después haga clic en Reiniciar.
Actualizar desde la base de datos integrada a

Microsoft SQL Server
Si utiliza la base de datos integrada y encuentra que es insuficiente, es posible
actualizar el servidor de bases de datos a Windows SQL Server 2000 ó 2005. Los
siguientes puntos resumen el proceso y los pasos necesarios:
■ Haga una copia de respaldo del archivo de certificado del almacén de claves
de Java y el archivo server.xml, y mueva o copie los archivos del directorio
\Symantec\Symantec Endpoint Protection Manager\.
■ Haga una copia de respaldo de la base de datos integrada y mueva o copie la
copia de respaldo del \Symantec\Symantec Endpoint Protection Manager\.
■ Instale una instancia de Microsoft SQL Server 2000 ó 2005.
■ Desinstale Symantec Endpoint Protection Manager y la base de datos integrada
usando la opción de desinstalación Cambiar.
Advertencia: Es necesario desinstalar Symantec Endpoint Protection Manager

con la opción de desinstalación Cambiar, si no, la actualización fallará. Esta
opción permite desinstalar la base de datos integrada. La opción Eliminar no
permite desinstalar la base de datos integrada.
■ Vuelva a instalar Symantec Endpoint Protection Manager con una base de

datos de Microsoft SQL.
Es necesario reinstalar Symantec Endpoint Protection Manager en el mismo
equipo, o en un equipo con la dirección IP y el nombre de host originales.
■ Restaure el certificado del almacén de claves de Java.
■ Restaure la base de datos integrada a la base de datos de Microsoft SQL Server.
■ Vuelva a configurar Symantec Endpoint Protection Manager para que reconozca
Microsoft SQL Server.
El proceso de actualización es muy similar al proceso de recuperación después de
un desastre porque es necesario desinstalar la instancia actual de Symantec
Endpoint Protection Manager. Por lo tanto, es necesario prepararse para la
recuperación después de desastres a fin de realizar correctamente la actualización
y crear un archivo de recuperación después de desastres.
en la página 213.
Mejores prácticas antes de actualizar: Realice estos procedimientos de
actualización en los equipos de prueba antes de realizar estos procedimientos de
actualización en los equipos de producción.
Advertencia: No intente esta actualización sin crear ni tener un archivo bien

formado de recuperación después de desastres. No intente esta actualización antes
de sacar la copia de respaldo del almacén de claves, el archivo server.xml y la base
de datos del directorio \Symantec\Symantec Endpoint Protection Protection
Manager\. Estos archivos se eliminan durante el proceso de desinstalación.
Hacer copia de respaldo del almacén de claves y los archivos server.xml

Si no se ha realizado la preparación para la recuperación después de un desastre,
es necesario copiar o mover estos archivos. El proceso de desinstalación elimina
estos archivos de su ubicación original.
en la página 213.
Para hacer una copia de respaldo del almacén de claves y los archivos server.xml
◆ Mueva o copie todos los archivos de copia de respaldo en el siguiente directorio
dentro de un directorio que no esté debajo de \Symantec\Symantec Endpoint
Protection Manager\
\Symantec\Symantec Endpoint Protection Manager\Server Private Key
Backup\
Los archivos se denominan keystore_<fecha>.jks y server_<fecha>.xml.
Hacer una copia de respaldo de la base de datos integrada

Se restaurará esta base de datos a Microsoft SQL Server.
Para hacer una copia de respaldo de la base de datos integrada
1 En el equipo que ejecuta la base de datos integrada, haga clic en Inicio >
Programas > Symantec Endpoint Protection Manager > Copia de respaldo
y restauración de la base de datos.
2 En el cuadro de diálogo Copia de respaldo y restauración de la base de datos,
haga clic en Copia de respaldo.
Este proceso tardará unos minutos. Los archivos de copia de respaldo son
archivos .zip que se encuentran en \\Program Files\Symantec\Symantec
Endpoint Protection Manager\data\backup\.
3 Haga clic en Salir.
4 Mueva o copie el archivo de copia de respaldo en un directorio que no esté
debajo de \Symantec\Symantec Endpoint Protection Manager.
Si no realiza este paso, su actualización fallará porque se desinstalará el
archivo de copia de respaldo.
Instalar una instancia de Microsoft SQL Server 2000 ó 2005

Es necesario instalar Microsoft SQL Server 2000 ó 2005 con autenticación de
servidor SQL y saber qué puerto utiliza el servidor para las comunicaciones de
red. Se debe escribir este número de puerto al reinstalar Symantec Endpoint
Protection Manager con una base de datos de Microsoft SQL Server.
Para instalar una instancia de Microsoft SQL Server 2000 ó 2005

◆ Instale y configure una instancia de Microsoft SQL Server en el equipo que
ejecuta Symantec Endpoint Protection Manager y la base de datos integrada,
o en un equipo diferente.
Ver "Requisitos de instalación y configuración de Microsoft SQL Server 2000"
en la página 82.
Ver "Requisitos de instalación y configuración de Microsoft SQL Server 2005"
en la página 83.
Ver "Para crear una base de datos SQL" en la página 92.
Desinstalar Symantec Endpoint Protection Manager con una base de

datos integrada
El punto más importante para recordar en este paso es utilizar la función Cambiar
y no la función Eliminar. La función Eliminar no permite desinstalar la base de
datos integrada. Si no desinstala la base de datos integrada, la actualización fallará.
Para desinstalar Symantec Endpoint Protection Manager con una base de datos
integrada
1 Haga clic en Inicio > Configuración > Panel de control > Agregar o quitar
programas.
2 En el cuadro de diálogo Agregar o quitar programas, haga clic en Symantec
Endpoint Protection Manager > Cambiar.
4 En el panel Mantenimiento del programa, marque Eliminar y haga clic en
Siguiente.
5 En el panel Eliminar, active Eliminar la base de datos durante la
desinstalación y después haga clic en Siguiente.
6 En el panel Eliminar el programa, haga clic en Eliminar.
Si aparece un mensaje de error acerca del acceso al archivo, reinicie el equipo
y repita este paso sin iniciar sesión en la Consola de Symantec Endpoint
Protection Manager.
Volver a instalar Symantec Endpoint Protection Manager con una base

de datos de Microsoft SQL
Se necesita la contraseña de cifrado original para reinstalar Symantec Endpoint
Protection Manager con una base de datos de Microsoft SQL. Esta contraseña debe
estar en el archivo bien formado de recuperación después de desastres. Si no lo

está, es necesario encontrar a alguien que sepa la contraseña.
Para volver a instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL
1 Abra el archivo bien formado de recuperación después de desastres.
en la página 213.
2 Inserte el CD de instalación y comience la instalación de Symantec Endpoint
Protection Manager con una base de datos de Microsoft SQL Server.
Ver "Instalar Symantec Endpoint Protection Manager con una base de datos
de Microsoft SQL" en la página 90.
3 Cuando aparece el panel de bienvenida del Asistente para la configuración
del servidor de administración, marque Instalar mi primer sitio y después
4 Continúe la instalación y escriba los mismos valores que utilizó para la base
de datos integrada. Por ejemplo, escriba el mismo nombre de servidor y puerto
que se utilizaron para la instalación de la base de datos integrada. Escriba la
misma contraseña de cifrado que fue utilizada para la instalación de la base
de datos integrada y así sucesivamente. Estos valores son obligatorios para
regenerar correctamente el archivo sylink.xml.
5 Cuando la instalación termina y aparece el panel Finalizó el Asistente para
la configuración del servidor de administración, marque No y después haga
clic en Finalizar.
6 Inicie sesión en la Consola de Symantec Endpoint Protection Manager.
Restaurar el archivo de almacén de claves de Java original

El archivo de almacén de claves contiene el certificado público que se utiliza para
proteger las comunicaciones. Es necesaria la contraseña de la clave privada original
para restaurar este archivo. Esta contraseña está en el archivo bien formado de
recuperación después de desastres, si éste fue creado durante la instalación
original. La contraseña está también en el archivo server_<marca de hora>.xml.
en la página 213.
Para restaurar el archivo de almacén de claves de Java original
1 Inicie sesión en la Consola y después haga clic en Administrador.
2 En el panel Administrador, bajo Tareas, haga clic en Servidores.
3 Bajo Ver servidores, expanda Sitio local y después haga clic en el nombre del
equipo que identifica el sitio local.
4 Bajo Tareas, haga clic en Administrar certificado del servidor.
6 En el panel Administrar certificado del servidor, marque Actualizar el
certificado del servidor y después haga clic en Siguiente.
7 Bajo Seleccione el tipo de certificado para importar, marque Almacén de
claves JKS y después haga clic en Siguiente.
Si ha implementado otro tipo de certificado, seleccione ese tipo.
8 En el panel Almacén de claves JKS, haga clic en Examinar, busque y seleccione
el archivo de almacén de claves keystore_<marca de hora>.jks incluido en la
copia de respaldo y después haga clic en Aceptar.
9 Abra su archivo de texto de recuperación después de un desastre y seleccione
y copie la contraseña del almacén de claves.
10 Active el cuadro de diálogo Almacén de claves JKS y pegue la contraseña del
almacén de claves en los cuadros Almacén de claves y Clave.
El único mecanismo de pegado compatible es Ctrl + V.
Si recibe un mensaje de error que diga que hay un archivo no válido de almacén
de claves, probablemente haya escrito contraseñas no válidas. Reintente
copiar y pegar la contraseña. Este mensaje de error es engañoso.
12 En el panel Completado, haga clic en Finalizar.
13 Cierre la sesión en la Consola.
Volver a configurar Symantec Endpoint Protection Manager

El paso final es volver a configurar Symantec Endpoint Protection Manager.
Para volver a configurar Symantec Endpoint Protection Manager
administrativas > Servicios.
2 En la ventana Servicios, en el panel derecho, haga clic con el botón secundario
en Symantec Endpoint Protection Manager y después haga clic en Detener.
> Copia de respaldo y restauración de la base de datos
haga clic en Restaurar.
Desinstalar Symantec Endpoint Protection Manager
5 En el mensaje, haga clic en Sí.

6 En el cuadro de diálogo Seleccionar archivo de copia de respaldo, busque y
seleccione la base de datos que desea restaurar y después haga clic en Aceptar.
7 Después de que se restaure la base de datos, haga clic en Salir.
> Asistente para la configuración del servidor de administración.
9 En el panel de bienvenida, haga clic en Volver a configurar el servidor de
administración y, a continuación, en Siguiente.
10 Complete la reconfiguración.
Asegúrese de que sus valores de información coincidan con los valores escritos
cuando se instaló Symantec Endpoint Protection Manager. Por ejemplo, si
usted creó una instancia con nombre, asegúrese de añadir el nombre de la
instancia al final del nombre del host como en
<nombre_host>\<nombre_instancia>.
11 Inicie sesión en Symantec Endpoint Protection Manager y después haga clic
en Clientes.
12 Haga clic con el botón secundario en sus grupos y después haga clic en
Ejecutar comando en el grupo > Actualizar contenido.
Si los clientes no responden después de una media hora, reinicie los clientes.

Cuando se desinstalan instancias de Symantec Endpoint Protection Manager,
todos los componentes de Symantec se desinstalan, excepto los paquetes de
instalación de clientes exportados. No obstante, puede optar por no desinstalar
la base de datos integrada, la base de datos de Microsoft SQL Server y los archivos
de copia de respaldo. Para todas las instalaciones, los archivos de copia de respaldo
de la base de datos se encuentran en el equipo que ejecuta Symantec Endpoint
Protection Manager.
Utilice la función Agregar o quitar programas estándar de Windows para
desinstalar Symantec Endpoint Protection Manager. También seleccione Cambiar
para tener la opción de desinstalar la base de datos. Si selecciona Quitar, la base
de datos no se desinstala.
Nota: Es necesario eliminar manualmente todos los directorios que contengan los
paquetes de instalación de clientes exportados, incluidos los directorios creados
con el Asistente de instalación y migración. Es necesario también eliminar
manualmente todos los archivos y directorios de copia de respaldo, incluidos los
archivos y directorios de respaldo que contengan claves privadas, certificados y
archivos de base de datos.
Capítulo 5
Instalar el software de
cliente de Symantec
■ Acerca del software de instalación de clientes de Symantec
■ Acerca de la instalación de software de cliente no administrado
■ Crear paquetes de instalación de clientes
■ Acerca de la implementación de software de cliente desde una unidad asignada
■ Implementar software de cliente con el Asistente de implementación mediante

transferencia
■ Implementar software de cliente con Buscar equipos no administrados
■ Importar listas de equipos
■ Acerca de la instalación y la implementación de software con Altiris
■ Opciones de instalación de otros fabricantes
■ Acerca de la desinstalación de software de cliente
Acerca del software de instalación de clientes de

Symantec
Están disponibles dos productos de software de instalación de clientes de Symantec.
Un producto es Symantec Endpoint Protection. El otro es Symantec Network
Access Control.
112 Instalar el software de cliente de Symantec
Acerca del software de instalación de clientes de Symantec
Nota: Las instalaciones de Symantec Endpoint Protection necesitan por lo menos

700 MB de espacio en el disco duro durante el proceso de instalación. Si esta
cantidad no está disponible, la instalación falla.
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection contiene muchos componentes que usted puede
optar por instalar o no instalar. Cuando se instala Symantec Endpoint Protection,
tiene las siguientes opciones en cuanto a qué componentes instalar:
■ Archivos principales
Esta opción es obligatoria para todas las instalaciones.
■ Antivirus y protección contra software espía
Esta opción instala el software antivirus y contra software espía base y permite
seleccionar estos componentes adicionales:
■ Herramientas de protección antivirus de correo electrónico
Nota: Por motivos de rendimiento, el instalador de Symantec Endpoint

Protection bloquea la instalación de Auto-Protect para correo electrónico
de Internet en los sistemas operativos Microsoft Server compatibles. Por
ejemplo, no es posible instalar Auto-Protect para correo electrónico de
Internet en un equipo que ejecute Windows Server 2003.
■ Protección proactiva contra amenazas

Esta opción no instala el software básico, sino que permite seleccionar estos
componentes:
■ Análisis de amenazas proactivo
■ Control de aplicaciones y dispositivos
■ Protección contra amenazas de red

Esta opción no instala el software básico, sino que permite seleccionar estos
componentes:
■ Firewall y Prevención de intrusiones
Instalar el software de cliente de Symantec 113
Acerca del software de instalación de clientes de Symantec
Nota: Symantec Endpoint Protection también instala el software Symantec Network

Access Control, pero Symantec Network Access Control no se habilita. Cuando se
actualiza la Consola de Symantec Endpoint Protection Manager para Symantec
Network Access Control, la función del cliente de Symantec Network Access
Control aparece automáticamente en la interfaz de usuario del cliente. Por lo
tanto, si usted instala Symantec Endpoint Protection y compra Symantec Network
Access Control más tarde, no es necesario instalar el software de cliente de
Symantec Network Access Control. Si sus equipos cliente ejecutan Symantec
Network Access Control y si usted compró el software de Symantec Endpoint
Protection más tarde, deberá sobreinstalar el software de Symantec Endpoint
Protection. No es necesario desinstalar Symantec Network Access Control.
Acerca del software de Symantec Network Access Control

El software de Symantec Network Access Control no contiene los componentes
que puedan seleccionarse para instalar o no instalar. Si sus equipos cliente ejecutan
Symantec Endpoint Protection y usted compró el software de Symantec Network
Access Control más tarde, no es necesario instalar el software de Symantec Network
Access Control. Después de actualizar Symantec Endpoint Protection Manager
para Symantec Network Access Control, la función de Symantec Network Access
Control de los clientes aparece automáticamente.
Acerca de Windows Installer versión 3.1

Todas las instalaciones de software de cliente requieren que todos los equipos
cliente ejecuten la versión 3.1 de Windows Installer (MSI). Si no se está ejecutando
3.1 en los equipos cliente, el software de instalación de clientes de Symantec la
instala automáticamente.
Nota: Si ejecuta msiexec en una línea de comandos en un equipo que ejecute MSI
3.1, la versión que se muestra es 3.01.4000.x.
Acerca de los grupos y los clientes

Los grupos pueden contener clientes de 32 bits y de 64 bits. Sin embargo, es
necesario implementar los paquetes de 32 bits y de 64 bits por separado en los
clientes. Los clientes de 32 bits no utilizan los paquetes de instalación de 64 bits,
y los clientes de 64 bits omiten los paquetes de instalación de 32 bits.
Si su entorno tiene una combinación de clientes de Symantec Endpoint Protection
y Symantec Network Access Control, resulta conveniente agrupar estos clientes
por separado. Por ejemplo, se recomienda no colocar clientes de Symantec Endpoint
Acerca de la instalación de software de cliente no administrado
Protection en un grupo que también contenga clientes de Symantec Network

Access Control. Además, si usted instala Symantec Endpoint Protection Manager
para Symantec Network Access Control, los clientes de Symantec Endpoint
Protection admiten automáticamente Symantec Network Access Control.
Cuando se crean paquetes de instalación de clientes con la Consola de Symantec
Endpoint Protection Manager, es posible especificar un grupo que los contenga.
Si reinstala un paquete de software de cliente en los clientes y el paquete especifica
un grupo diferente, los clientes aún aparecen en su grupo original. Los clientes
no aparecen en el nuevo grupo. Solamente es posible mover clientes a los nuevos
grupos con la Consola de Symantec Endpoint Protection Manager.
Acerca de la instalación de software de cliente no

administrado
Si no desea administrar el software de cliente, es posible instalar software no
administrado. Sin embargo, la instalación de software de cliente no administrado
de Symantec Network Access Control no se recomienda. Para instalar software
de cliente no administrado, instale el software usando el menú de inicio del CD.
En el CD de Symantec Endpoint Protection, los archivos de instalación no
administrada aparecen en el directorio de SEP. En el CD de Symantec Network
Access Control, los archivos de instalación no administrada aparecen en el
directorio SNAC.
Opcionalmente, es posible exportar los paquetes de instalación de clientes no
administrados desde la Consola de Symantec Endpoint Protection Manager.
Después de exportar los paquetes no administrados, no asigne los paquetes a
grupos para la actualización automática. Si asigna los paquetes a un grupo, los
clientes del grupo aparecerán en la consola después de la instalación de software.
Sin embargo, no es posible administrar estos clientes.
Es posible también implementar software no administrado usando
ClientRemote.exe, que se encuentra en el directorio
TOOLS\PUSHDEPLOYMENTWIZARD del CD de instalación. Durante la
implementación, usted selecciona los archivos de los directorios SEP o SNAC en
el CD de instalación.
Crear paquetes de instalación de clientes

Es posible crear dos tipos de paquetes de instalación de clientes. Un tipo es de 32
bits y el otro tipo es de 64 bits. Es posible también crear dos paquetes de 32 bits
y de 64 bits. Un tipo es el paquete de instalación predeterminado que se crea
cuando usted instala Symantec Endpoint Protection Manager. Si instala este
Acerca de la implementación de software de cliente desde una unidad asignada
paquete, los clientes aparecen en un grupo temporal y reciben las políticas

predeterminadas. El otro tipo es un paquete de instalación que se personaliza
para un grupo, que generalmente no es el grupo temporal. Este paquete de
instalación puede contener políticas y opciones de grupo personalizadas.
Es posible crear paquetes de instalación de clientes para los grupos en cualquier
momento. Si ha personalizado políticas para un grupo que son estables y no se
modifican regularmente, es posible crear un paquete de instalación de clientes
para ese grupo. Sin embargo, no es necesario reinstalar los paquetes de instalación
de clientes en los equipos cliente existentes de un grupo para modificar una
política. A medida que usted realiza cambios en las políticas de un grupo, estos
cambios se propagan automáticamente a los clientes instalados en ese grupo.
Nota: La Guía de administración para Symantec Endpoint Protection y Symantec

Network Access Control contiene información completa sobre los paquetes de
instalación de clientes.
Para crear paquetes de instalación de clientes

1 En la Consola Symantec Policy Management, haga clic en Administrador.
2 En el panel Tareas, haga clic en Paquetes de instalación.
3 En el panel derecho, bajo Nombre del paquete, seleccione el paquete que desea
exportar.
4 En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar el paquete.
5 En el cuadro de diálogo Exportar paquete, haga clic en Examinar.
6 En el cuadro de diálogo Guardar, busque y seleccione el directorio que
contendrá el paquete exportado y después haga clic en Guardar.
7 En el cuadro de diálogo Exportar paquete, configure las otras opciones según
sus metas de instalación.
Para obtener información acerca de las otras opciones en este cuadro de
diálogo, haga clic en Ayuda.
Acerca de la implementación de software de cliente

desde una unidad asignada
Después de exportar un paquete de instalación de clientes a un directorio, es
posible compartir ese directorio y hacer que los usuarios asignen el directorio
Implementar software de cliente con el Asistente de implementación mediante transferencia
desde los equipos cliente. Los usuarios pueden entonces instalar el software de
cliente desde la unidad asignada.
Nota: Durante la instalación del software de cliente de Symantec Endpoint

Protection, la unidad asignada se desconecta temporalmente. Esta actividad es
conocida y se espera que ocurra. Esta actividad no ocurre cuando se instala el
software de cliente de Symantec Network Access Control.
Implementar software de cliente con el Asistente de

implementación mediante transferencia
El Asistente de implementación mediante transferencia aparece automáticamente
cuando se utiliza el asistente de implementación, o es posible iniciarlo
manualmente. En cualquier caso, es necesario tener una idea de qué paquete de
software de clientes se desea implementar y en qué carpeta está el paquete. Es
necesario localizarlo durante la implementación.
Nota: Este procedimiento describe cómo iniciar manualmente al Asistente de

implementación mediante transferencia. Es posible también iniciar esta utilidad
al terminar de usar el Asistente de instalación y migración.
Para implementar el software de cliente con el Asistente de implementación

mediante transferencia
1 Visualice el contenido del directorio \Symantec\Symantec Endpoint Protection
Manager\tomcat\bin y haga doble clic en ClientRemote.exe.
2 En el panel del Asistente de implementación mediante transferencia, haga
clic en Siguiente.
3 En el panel Seleccionar la ubicación de origen para la instalación, bajo Tipo
de implementación, marque Instalación de cliente si no está marcada. A
continuación, haga clic en Examinar.
4 En el cuadro de diálogo Abrir, busque y seleccione el directorio que contiene
los archivos de instalación y después haga clic en Abrir.
5 En el panel Seleccionar la ubicación de origen para la instalación, haga clic
en Siguiente.
Implementar software de cliente con Buscar equipos no administrados
6 En el panel Seleccionar equipos, en el panel izquierdo bajo Equipos disponibles,

expanda los árboles y seleccione los equipos en los cuales desea instalar el
software de cliente y después haga clic en Agregar.
Como alternativa, es posible importar un grupo de trabajo o un dominio de
equipos y también una lista de archivo de texto de equipos.
Ver "Importar listas de equipos" en la página 119.
7 En el cuadro de diálogo Autenticación de clientes remotos, escriba un nombre
de usuario y una contraseña que puedan autenticarse en el dominio de
Windows o el grupo de trabajo que contiene los equipos y, después, haga clic
en Aceptar.
8 Cuando haya seleccionado todos los equipos y éstos aparezcan en el panel
derecho, haga clic en Finalizar.
Implementar software de cliente con Buscar equipos

no administrados
Es posible implementar el software de cliente mediante Buscar equipos no
administrados en la Consola Symantec Policy Management. La utilidad permite
detectar los equipos cliente que no ejecutan software de cliente y, después, instalar
el software de cliente en esos equipos.
Nota: Esta utilidad coloca los equipos no administrados en la categoría de

componentes desconocidos si los niveles de autenticación de LAN Manager son
incompatibles. Hay seis niveles de autenticación. Symantec recomienda la
respuesta "Send NTLM 2" solamente. La política para editar está bajo Configuración
de política local > Configuración de seguridad > Políticas locales > Opciones de
seguridad > [Seguridad de la red] Nivel de autenticación de administrador de LAN.
Para obtener más información, consulte http://support.microsoft.com/kb/147706.
Además, esta utilidad no reconoce correctamente los sistemas operativos Windows
2000 cuando se ejecuta desde una instalación predeterminada de Windows 2003
Server. Para resolver esta limitación, ejecute el servicio de Symantec Endpoint
Protection Manager como Administrador, en lugar de Sistema, en el panel
Servicios.
Implementar software de cliente con Buscar equipos no administrados
Advertencia: Esta utilidad detecta y muestra una variedad de dispositivos de red

en la ficha de equipos desconocidos. Por ejemplo, esta utilidad detecta interfaces
de router y las pone en la ficha de equipos desconocidos. Tenga precaución cuando
implementa el software de cliente en dispositivos que aparecen en la ficha de
equipos no administrados. Verifique que estos dispositivos sean destinos válidos
para la implementación del software de cliente.
Para implementar software de cliente usando Buscar equipos no administrados

1 En la Consola Symantec Policy Management, haga clic en Clientes.
2 En el panel Tareas, haga clic en Buscar equipos no administrados.
3 En la ventana Buscar equipos no administrados, bajo Buscar por, marque
Intervalo de direcciones IP y escriba una dirección IP de principio y final.
El análisis de un intervalo de 100 direcciones IP que no existen toma
aproximadamente 5,5 minutos. Opcionalmente, especifique un nombre de
equipo.
4 Bajo Credenciales de inicio de sesión, complete los cuadros Nombre de usuario,
Contraseña y Dominio-Grupo de trabajo con las credenciales de inicio de
sesión que permiten la administración y la instalación.
5 Haga clic en Buscar ahora.
6 En las fichas Equipos desconocidos o Equipos no administrados, realice una

de las siguientes acciones:
■ Marque cada equipo en el cual usted desee instalar el software de cliente.
■ Haga clic en Seleccionar todo.
Importar listas de equipos
7 Bajo Instalación, seleccione el paquete de instalación, la opción de instalación

y las funciones que usted desea instalar.
8 Para instalar a un grupo que no sea el grupo temporal, haga clic en Cambiar,
seleccione un grupo diferente y haga clic en Aceptar.
9 Cuando esté listo para instalar, haga clic en Iniciar la instalación.
Importar listas de equipos

En vez de seleccionar los equipos durante la instalación del Asistente de
implementación mediante transferencia, es posible importar una lista de equipos.
Crear un archivo de texto de equipos para instalar

Es posible crear un archivo de texto de las direcciones IP de los equipos, importar
este archivo de texto durante la implementación del Asistente de implementación
mediante transferencia e implementar el software de cliente en los equipos
especificados. Es posible también crear el archivo de texto exportando una lista
de equipos que usted escribió uno por uno en un archivo de texto antes de que
comience la implementación.
Nota: No se recomienda crear un archivo de texto de direcciones IP para los equipos

que reciben direcciones IP asignadas por DHCP.
Para crear un archivo de texto con direcciones IP para su importación

1 En un editor de texto, como el Bloc de notas, cree un archivo de texto nuevo.
2 Escriba las direcciones IP de cada uno de los equipos que desee importar en
líneas distintas.
Por ejemplo:
192.168.1.1
192.168.1.2
192.168.1.3
Puede marcar como comentario las direcciones IP que no desee importar,
utilizando para ello un punto y coma (;) o dos puntos (:) delante de cada
dirección. Por ejemplo, si en la lista de equipos ha incluido direcciones de
equipos ubicados en una subred cuyo servicio sabe que se ha interrumpido,
puede marcarlas como comentario para eliminar errores.
3 Guarde el archivo en un directorio.
Acerca de la instalación y la implementación de software con Altiris
Importar un archivo de texto de los equipos que desea instalar

Se importa el archivo de texto durante la instalación del Asistente de
implementación mediante transferencia.
Para importar un archivo de texto de los equipos que desea instalar
1 En el panel Selección de equipos, haga clic en Seleccionar.
2 En el cuadro de diálogo Detalles del cliente, haga clic en Importar.
3 Localice el archivo de texto que contenga las direcciones IP y haga doble clic
en él.
Durante el proceso de autenticación, es posible que deba indicar un nombre
de usuario y una contraseña para los equipos que lo requieran. El programa
de instalación también comprueba las condiciones de error. Se le preguntará
si desea ver esta información equipo por equipo o si prefiere que se escriba
la información en un archivo de registro para consultarlo posteriormente.
4 Finalice la instalación.
Acerca de la instalación y la implementación de

software con Altiris
Es posible instalar e implementar el software de cliente de Symantec usando el
software de Altiris, que ahora es parte de Symantec. Altiris proporciona un
componente integrado gratuito para Symantec Endpoint Protection que
proporciona funcionalidades de instalación predeterminadas, administración
integrada de clientes y elaboración de informes de alto nivel.
El software de Altiris permite a las organizaciones de tecnología de la información
administrar, proteger y proporcionar servicios a activos de TI heterogéneos.
También admite transferencia de software, administración de parches,
aprovisionamiento y muchas otras funcionalidades de administración. El software
de Altiris ayuda a alinear servicios para conducir objetivos de negocio, proporcionar
niveles de seguridad adecuados para auditorías, automatizar tareas y reducir los
costos y la complejidad de la administración.
Para obtener información sobre el componente integrado para Symantec Endpoint
Protection, consulte https://kb.altiris.com/article.asp?article=35819&p=1.
Para obtener información sobre Altiris, consulte http://www.altiris.com.
Para descargar el componente de integración para Symantec Endpoint Protection
u otras soluciones de Altiris, consulte http://www.altiris.com/Download.aspx.
Opciones de instalación de otros fabricantes

El software de cliente de Symantec admite opciones de instalación de otros
fabricantes que es posible utilizar para implementar el software de cliente. Esta
ayuda, sin embargo, requiere un conocimiento avanzado de Windows o de las
herramientas de administración de otros fabricantes. Estas opciones resultan
especialmente útiles para la instalación de software de cliente de Symantec en
redes de mayor tamaño.
Acerca de la instalación de clientes mediante productos de otros

fabricantes
Es posible instalar los clientes de Symantec utilizando distintos productos de
otros fabricantes, como Microsoft Active Directory, Tivoli, Microsoft Systems
Management Server (SMS) o Novell ZENworks. Los únicos productos de otros
fabricantes probados y admitidos son Novell ZENworks, Microsoft Active Directory
y Microsoft SMS.
Acerca de la personalización de las instalaciones mediante opciones

de .msi
Los paquetes de instalación de clientes de Symantec son archivos de Windows
Installer (.msi) que se pueden configurar e implementar mediante las opciones
estándar de Windows Installer. Se pueden utilizar las herramientas de
administración de entornos que admitan la implementación de .msi, como Active
Directory o Tivoli, para instalar los clientes en una red.
Ver "Acerca de la configuración de cadenas de comando de MSI" en la página 199.
Acerca de la instalación de clientes con Microsoft SMS 2003

Los administradores del sistema pueden utilizar Microsoft Systems Management
Server (SMS) para instalar el software de cliente de Symantec. Se asume que los
administradores del sistema que utilizan SMS han instalado previamente software
con SMS. Como resultado, se asume que no es necesario proporcionar información
detallada acerca de la instalación de software de cliente de Symantec con SMS.
El software de instalación de clientes de Symantec requiere que Microsoft Installer
3.1 esté ejecutándose en los equipos cliente antes de la instalación. Este software
se instala automáticamente, si no estaba instalado, en los equipos cliente, pero
solamente cuando se implementa con un solo archivo ejecutable setup.exe. Este
software no se instala automáticamente si se implementa con el archivo MSI. Los
equipos con Windows Server 2003 con Service Pack 2 y Windows Vista incluyen
Microsoft Installer 3.1 o superior. Si es necesario, primero implemente el archivo
WindowsInstaller-x86.exe incluido en los directorios de instalación SEP y SNAC

del CD de instalación. La actualización a MSI 3.1 también implica reiniciar el
equipo.
Para crear y distribuir el software de cliente de Symantec con SMS 2003,
generalmente debe realizar las tareas siguientes:
■ Cree un paquete de instalación de software con la Consola de Symantec
Endpoint Protection Manager que contenga el software y las políticas que
desee instalar en sus equipos cliente. Además, este paquete de instalación de
software debe contener un archivo denominado Sylink.xml, que identifica el
servidor que administra los clientes.
■ Cree un directorio de origen y copie los archivos de instalación de clientes de
Symantec en ese directorio. Por ejemplo, se crearía un directorio de origen que
contiene los archivos de instalación para el software de cliente de Symantec.
■ Cree un paquete, asígnele un nombre e identifique el directorio de origen como
parte del paquete.
■ Configure el cuadro de diálogo Programa para el paquete a fin de especificar
el ejecutable que inicia el proceso de instalación y especifique el MSI con
parámetros.
■ Distribuya el software en colecciones específicas con anuncios.
Nota: (Esta nota se aplica a la versión 2.0 de SMS y anteriores). Si realiza la

implementación de archivos mediante SMS, deberá deshabilitar la función para
mostrar el icono de estado en la barra de herramientas para cualquier actividad
del sistema en los clientes en el Monitor de programas anunciados. En ocasiones,
Setup.exe podría necesitar actualizar un archivo compartido que esté en uso por
el Monitor de programas anunciados. Si se está usando el archivo, no se podrá
llevar a cabo la instalación.
Advertencia: No instale un paquete creado con archivos de instalación copiados

desde el CD de instalación o de otros soportes, sin incluir Sylink.xml. Es necesario
incluir un archivo Sylink.xml que se crea después de instalar y de usar la Consola
de Symantec Endpoint Protection Manager. Como mínimo, este archivo identifica
el servidor de administración al cual los clientes informarán. Si no se incluye este
archivo y se instala un paquete que fue creado solamente con los archivos de
instalación, se instalarán clientes no administrados. Como resultado, usted podría
instalar 1000 o más clientes no administrados con las opciones predeterminadas,
si administra una empresa grande.
Si desea más información sobre el uso de SMS, consulte la documentación de

Systems Management Server de Microsoft.
Instalar clientes con un Objeto de directiva de grupo de Active Directory

Es posible instalar el software de cliente de Symantec usando un Objeto de directiva
de grupo (GPO, Group Policy Object) de Active Directory de Windows 2000/2003.
La manera más fácil de implementar la política de grupo es con la Consola de
administración de directivas de grupo de Microsoft con Service Pack 1 o posterior.
Este software está disponible gratuitamente en el sitio Web de Microsoft y se
ejecuta en Windows Server 2003. En los procedimientos para instalar el software
de cliente con un Objeto de directiva de grupo de Active Directory, se asume que
usted ha instalado este software y que utiliza Windows 2003 Active Directory.
Para instalar el software de cliente de Symantec usando un Objeto de directiva de
grupo de Active Directory, es necesario hacer lo siguiente:
■ Crear la imagen de instalación administrativa
■ Copiar Sylink.xml a los archivos de instalación
■ Establecer la imagen de instalación administrativa
■ Crear una distribución de software de objeto de directiva de grupo
■ Crear un script de inicio de Windows Installer 3.1
■ Agregar equipos a la unidad organizativa

El software de instalación requiere que los equipos cliente contengan y puedan
ejecutar Windows Installer 3.1 o posterior. De forma predeterminada, los equipos
cliente cumplen este requisito si ejecutan Windows XP con Service Pack 2 y
posterior, Windows 2003 Server con Service Pack 1 y posterior, y Windows Vista.
Si los equipos cliente no cumplen este requisito, el resto de los métodos de
instalación instalan automáticamente Windows Installer 3.1 iniciándolo desde
los archivos de instalación.
Por motivos de seguridad, los objetos de directiva de grupo de Windows no
permiten el inicio del archivo ejecutable WindowsInstaller*.exe desde los archivos
de instalación. Por lo tanto, antes de instalar el software de cliente de Symantec,
es necesario ejecutar este archivo en los equipos que no contienen y no ejecutan
Windows Installer 3.1. Es posible ejecutar este archivo con un script de inicio del
equipo. Antes de que decida utilizar objeto de directiva de grupo como método de
instalación, debe desarrollar un enfoque para actualizar los equipos cliente que
no contienen ni ejecutan Windows Installer 3.1.
La instalación de clientes de Symantec utiliza los archivos .msi estándar de

Windows Installer. Como resultado, es posible personalizar la instalación de
clientes con las propiedades y las funciones de .msi según se explica en el apéndice
A.
Por último, confirme que el servidor DNS esté instalado correctamente. Es muy
importante que la instalación sea correcta, ya que Active Directory depende del
servidor DNS para la comunicación de los equipos. Para probar el programa de
instalación, establezca una comunicación ping con el equipo de Windows Active
Directory y después establezca una comunicación ping en la dirección opuesta.
Use el nombre de dominio completo; si se utiliza solamente el nombre del equipo,
no se generará una nueva búsqueda de DNS. Utilice el siguiente formato:
ping nombreequipo.nombredominiocompleto.com
Es necesario también probar la instalación de GPO con una pequeña cantidad de

equipos antes de implementarlo en los equipos de producción. Si el DNS no se
configura correctamente, las instalaciones de GPO pueden tardar una hora o más.
Crear la imagen de instalación administrativa

Las instalaciones Objeto de directiva de grupo que utilizan Windows Installer 3.0,
o una versión anterior, requieren imágenes administrativas de los archivos de
instalación de clientes. Esta imagen no es un requisito para las instalaciones en
la versión 3.1 y posteriores, y es opcional. Si no se crea la imagen administrativa,
igual es necesario copiar el contenido de la carpeta de SEP del CD al equipo.
Para crear la imagen de instalación administrativa
1 Copie el contenido de la carpeta SEP del CD a su equipo.
2 Desde una línea de comandos, diríjase a la carpeta SEP y escriba msiexec /a
"Symantec AntiVirus.msi"

4 En el panel Ubicación de red, especifique la ubicación donde desea crear la
imagen de instalación administrativa y, a continuación, haga clic en Instalar.
5 Haga clic en Finalizar.
La imagen de instalación administrativa se crea en la ubicación que se
especificó.
Copiar Sylink.xml a los archivos de instalación

Cuando se instala una instancia de Symantec Endpoint Protection Manager, la
instalación crea un archivo denominado Sylink.xml. Los clientes de Symantec
leen el contenido de este archivo para saber qué instancia de Symantec Endpoint
Protection Manager administra el cliente. Si no copia este archivo a los archivos

de instalación antes de instalar el software de cliente, se crearán clientes no
administrados. Si no ha creado por lo menos un grupo nuevo con la consola de
administración, el archivo Sylink.xml hace que los clientes aparezcan en el grupo
temporal.
Nota: Esta información no se aplica a los paquetes que se exportan con la Consola
de Symantec Endpoint Protection Manager. Estos paquetes contienen sylink.xml.
Para copiar Sylink.xml a los archivos de instalación

1 Si aún no lo ha hecho, instale Symantec Endpoint Protection Manager.
2 Localice un archivo Sylink.xml en una de las carpetas de la bandeja de salida.
De forma predeterminada, estas carpetas se encuentran en \\Program
Files\Symantec\Symantec Endpoint Protection
Manager\data\outbox\agent\<uid>\. Es posible que deba abrir y leer los
archivos Sylink.xml en los diversos archivos <uid> con un programa de edición
de texto para encontrar el archivo deseado.
3 Si es necesario, copie Sylink.xml en soportes extraíbles.
4 Copie Sylink.xml usando uno de los siguientes métodos:
■ Si creó una imagen administrativa del archivo de instalación, sobrescriba
el archivo Sylink.xml en la carpeta \\<directorio_instalación>\Program
Files\Symantec Endpoint Protection Manager\.
■ Si no creó una imagen administrativa del archivo de instalación, copie el
contenido de la carpeta SEP del CD a una carpeta de destino en su equipo.
A continuación, copie el archivo Sylink.xml en esa carpeta de destino.
Preparar los archivos de instalación

Preparar los archivos de instalación implica compartir la carpeta que contiene o
contendrá los archivos de instalación de clientes.
Para preparar los archivos de instalación
1 Si es necesario, copie la carpeta que contiene los archivos de instalación de
clientes a una carpeta que esté compartida o vaya a estarlo.
2 Haga clic con el botón secundario en la carpeta y después haga clic en
Compartir y seguridad.
3 En el cuadro de diálogo Propiedades, en la ficha Uso compartido, marque
Compartir esta carpeta y después haga clic en Permisos.
4 En el cuadro de diálogo Permisos, bajo Nombres de grupos o usuarios, haga

clic en Todos y después haga clic en Quitar.
5 Haga clic en Agregar.
6 Bajo Escribir los nombres de objeto para seleccionar, escriba Usuarios
autentificados y haga clic en Comprobar nombres.
7 Escriba Equipos del dominio, haga clic en Comprobar nombres y después
8 En el cuadro de diálogo Permisos, haga clic en Aplicar y después haga clic en
Aceptar.
Crear una distribución de software de objeto de directiva de

grupo
En este procedimiento, se asume que usted ha instalado la Consola de
administración de directivas de grupo de Microsoft con Service Pack 1 o mayor.
En este procedimiento, también se asume que hay equipos en el grupo de equipos
o en otro grupo en los cuales se desea instalar el software de cliente. Arrastre
estos equipos a un nuevo grupo que cree.
Nota: Si se habilita el Control de cuentas de usuario (UAC), es necesario habilitar

Instala siempre con privilegios elevados en Configuración del equipo y
Configuración de usuario a fin de instalar el software de cliente de Symantec con
un GPO. Configurar estas opciones permite que todos los usuarios de Windows,
incluidos los usuarios estándar, instalen el software de cliente de Symantec.
Para crear un paquete de GPO

1 En la barra de tareas de Windows, haga clic en Inicio > Programas >
Herramientas administrativas > Administración de directivas de grupo.
2 En la ventana Usuarios y equipos de Active Directory, en el árbol de la consola,
haga clic con el botón secundario en el dominio y después haga clic en
Usuarios y equipos de Active Directory.
3 En la ventana Usuarios y equipos de Active Directory, haga clic con el botón
secundario en Dominio y después haga clic en Nueva > Unidad organizativa.
4 En el cuadro de diálogo Nuevo objeto, en el cuadro Nombre, escriba un nombre
para su unidad organizativa y haga clic en Aceptar.
5 En la ventana Usuarios y equipos de Active Directory, haga clic en Archivo
> Salir.
6 En la ventana Administración de directivas de grupo, en el árbol de la consola,

haga clic con el botón secundario en la unidad organizativa que usted creó y
después haga clic en Crear y vincular un GPO aquí.
Puede ser necesario actualizar el dominio para ver su nueva unidad
organizativa.
7 En el cuadro de diálogo Nuevo GPO, en el cuadro Nombre, escriba un nombre
para su GPO y haga clic en Aceptar.
8 En el panel derecho, haga clic con el botón secundario en el GPO que usted
creó y después haga clic en Editar.
9 En la ventana Editor de objetos de directiva de grupo, en el panel izquierdo,
bajo Configuración del equipo, amplíe Configuración de software.
10 Haga clic con el botón secundario en Instalación de software y, a continuación,
haga clic en Nuevo > Paquete.
11 En el cuadro de diálogo Abrir, escriba la ruta de convención de nomenclatura
universal (UNC) que hace referencia al paquete de MSI y lo contiene.
Utilice el formato según el ejemplo siguiente:
\\<nombre de servidor>\<SharedDir>\Symantec AntiVirus.msi
12 Haga clic en Abrir.

13 En el cuadro de diálogo Implementar software, haga clic en Asignado y
después haga clic en Aceptar.
El paquete aparece en el panel derecho de la ventana Editor de objetos de
directiva de grupo si usted selecciona Instalación de software.
Para configurar plantillas para el paquete

1 En la ventana Editor de objetos de directiva de grupo, en el árbol de la consola,
muestre y habilite las opciones siguientes:
Configuración del Plantillas Componentes de Windows Installer Instalar siempre con privilegios
equipo > administrativas > Windows > > elevados
Configuración del Plantillas Sistema > Inicio de sesión > Esperar siempre la detección de
equipo > administrativas > red al inicio del equipo y de
sesión >
Configuración del Plantillas Sistema > Directiva de grupo Procesamiento de directivas de

equipo > administrativas > > instalación de software
Configuración de Plantillas Componentes de Windows Installer Instalar siempre con privilegios

usuario > administrativas > Windows > > elevados
2 Cierre la ventana del Editor de objetos de directiva de grupo.

3 En la ventana Administración de directivas de grupo, en el panel izquierdo,
haga clic con el botón secundario en el objeto de directiva de grupo que usted
editó y después haga clic en Forzado.
4 En el panel derecho, bajo Filtrado de seguridad, haga clic en Agregar.
5 En el cuadro de diálogo, bajo Escriba el nombre de objeto a seleccionar, escriba
Equipos del dominio y haga clic en Aceptar.
Crear un script de inicio de Windows Installer 3.1

Es necesario instalar Windows Installer 3.1 en los equipos que contienen y ejecutan
versiones anteriores de Windows Installer. Es posible visualizar las versiones de
Windows Installer ejecutando msiexec /? en una línea de comandos. Por motivos
de seguridad, el paquete de instalación de GPO que usted creó y que ejecuta los
archivos de instalación .msi no puede instalar Windows Installer 3.1, que es un
requisito previo. Usted puede elegir la forma en que se instale Windows Installer
3.1 en los equipos.
Nota: Los usuarios restringidos no pueden ejecutar Windows Installer 3.1, y los
usuarios restringidos con privilegios elevados no pueden ejecutar Windows
Installer 3.1. Los usuarios restringidos se configuran con la política de seguridad
local.
Una forma de instalar Windows Installer 3.1 es con un script de inicio del equipo
de GPO. Los scripts de inicio se ejecutan antes que los archivos de instalación .msi
de GPO cuando los equipos se reinician. Si se utiliza este enfoque, tenga en cuenta
que el script de inicio ejecuta y reinstala Windows Installer cada vez que se reinicia
el equipo. Si lo instala en modo silencioso, sin embargo, los usuarios experimentan
un retraso leve antes de ver la pantalla de inicio de sesión. El software de cliente
de Symantec se instala solamente una vez con un GPO.
Para instalar Windows Installer 3.1
amplíe su unidad organizativa, haga clic con el botón secundario en su paquete
y después haga clic en Editar.
2 En la ventana Editor de objetos de directiva de grupo, en el árbol de la consola,
expanda Configuración del equipo > Configuración de Windows y después
haga clic en Scripts (Inicio/Cierre).
3 En el panel derecho, haga doble clic en Inicio.
4 En el cuadro de diálogo Propiedades de inicio, haga clic en Mostrar archivos.
5 En una nueva ventana, visualice el contenido de su carpeta de archivo de
instalación de GPO y después copie WindowsInstaller-893803-x86.exe desde
esa ventana y carpeta a la ventana y carpeta Inicio.
6 Vuelva a abrir el cuadro de diálogo Propiedades de inicio y haga clic en
Agregar.
7 En el cuadro de diálogo Agregar un script, haga clic en Examinar.
8 En el cuadro de diálogo Examinar, seleccione el archivo ejecutable de Windows
Installer y después haga clic en Abrir.
9 En el cuadro de diálogo Agregar un script, en el cuadro Parámetros de script,
escriba /quiet /norestart y haga clic en Aceptar.
10 En el cuadro de diálogo Propiedades de inicio, haga clic en Aceptar.
11 Salga de la ventana del administrador de objetos de directiva de grupo.
Agregar equipos a la unidad organizativa y software de

instalación
Está ya listo para agregar equipos a la unidad organizativa. Cuando los equipos
se reinician, el proceso de instalación de software de cliente comienza. Cuando
los usuarios inician sesión en los equipos, el proceso de instalación de software
de cliente termina. La actualización de la política de grupo, sin embargo, no es
instantánea. Por lo tanto, la propagación de esta política puede tardar un tiempo.
Este procedimiento, sin embargo, contiene los comandos que es posible ejecutar
en los equipos cliente para actualizar la política cuando lo necesite.
Para agregar los equipos a la unidad organizativa e instalar software

Herramientas administrativas > Usuarios y equipos de Active Directory.
2 En la ventana Usuarios y equipos de Active Directory, en el árbol de la consola,
localice uno o más equipos para agregarlos a la unidad organizativa que usted
creó para la instalación de GPO.
Los equipos primero aparecen en la unidad organizativa de los equipos.
3 Arrastre los equipos y suéltelos en la unidad organizativa que usted creó para
la instalación.
4 Cierre la ventana Usuarios y equipos de Active Directory.
5 Para aplicar rápidamente los cambios a los equipos cliente (para la prueba),
visualice una línea de comandos en los equipos cliente.
6 Escriba uno de los siguientes comandos y presione Intro.
■ En los equipos con Windows 2000, escriba secedit /refreshpolicy
machine_policy.
■ En los equipos con Windows XP o superior, escriba gpupdate.

Cuando se inicie el equipo cliente, se instalará el paquete de software cliente
antes del inicio de sesión.
Desinstalar el software de cliente con un Objeto de directiva de grupo

de Active Directory
Es posible también desinstalar el software de cliente que se instaló con Active
Directory.
Para desinstalar el software de cliente con un Objeto de directiva de grupo de Active
Directory
Herramientas administrativas > Administración de directivas de grupo.
expanda el dominio, Configuración del equipo y Configuración de software,
haga clic con el botón secundario en Instalación de software y después haga
clic en Propiedades.
3 En la ficha Avanzadas, marque Desinstalar esta aplicación cuando esté fuera
del ámbito de administración y después haga clic en Aceptar.
Acerca de la desinstalación de software de cliente
4 En el panel derecho, haga clic con el botón secundario en el paquete de

software y después haga clic en Quitar.
5 En el cuadro de diálogo Quitar software, marque Desinstalar inmediatamente
el software de usuarios y equipos y después haga clic en Aceptar.
6 Cierre la ventana Editor de objetos de directiva de grupo y después cierre la
ventana Administración de directivas de grupo.
El software se desinstala cuando se reinician los equipos cliente.

Es posible desinstalar el software de cliente con la utilidad Agregar y quitar de
Windows. Si desinstala el software del cliente de Symantec Endpoint Protection
que ejecuta una política que bloquea dispositivos de hardware, los dispositivos
siguen siendo bloqueados después de desinstalar el software. Para desbloquear
los dispositivos, utilice Herramientas administrativas > Administración de equipos
> Administrador de dispositivos.
Capítulo 6
Instalar los servidores de
Cuarentena y de LiveUpdate
■ Instalar y configurar la Cuarentena central
■ Acerca del uso de un servidor de Symantec LiveUpdate
■ Instalar y configurar un servidor de LiveUpdate
■ Desinstalar componentes de administración de Symantec Endpoint Security

Symantec Endpoint Protection y Symantec Network Access Control incluyen los
componentes de administración opcionales que es posible utilizar como ayuda
para administrar clientes y servidores. Symantec Endpoint Protection incluye los
servidores de administración de Cuarentena central y de LiveUpdate. Symantec
Network Access Control incluye un servidor de administración de LiveUpdate
solamente. Una administración de LiveUpdate es especialmente útil en las redes
grandes que contienen varios productos de Symantec que ejecutan LiveUpdate.
Nota: En redes de menor tamaño, estos componentes no son necesarios.
Instalar y configurar la Cuarentena central

El Servidor de cuarentena recibe envíos de virus y riesgos de seguridad de los
clientes de Symantec Endpoint Protection y transmite estos envíos a Symantec.
134 Instalar los servidores de Cuarentena y de LiveUpdate
La consola de cuarentena le permite administrar el Servidor de cuarentena y estos

envíos. Si determina que la red requiere una ubicación centralizada para todos
los archivos en cuarentena, puede instalar Cuarentena central.
La Cuarentena central se compone del Servidor de cuarentena y la consola de
cuarentena. La consola y el Servidor de cuarentena se pueden instalar en el mismo
equipo o en equipos distintos con los sistemas operativos de Windows admitidos.
Nota: Si instala el Servidor de cuarentena o la consola de cuarentena desde las

carpetas de instalación individuales del CD, ejecute Setup.exe en lugar de ejecutar
el archivo .msi. Al utilizar Setup.exe, se garantiza que se instalen todos los archivos
que Windows Installer necesita en el equipo de destino antes de ejecutar el paquete
de instalación .msi.
Para obtener información más detallada, consulte la Guía de administración de

Cuarentena central de Symantec en el CD de instalación.
Para instalar la Cuarentena central, se deben realizar las tareas siguientes en el
orden en que se mencionan:
■ Instalar la consola de cuarentena
■ Instalar el Servidor de cuarentena
■ Adjuntar un servidor de administración a la Cuarentena central
■ Configurar los grupos para que utilicen Cuarentena central
Nota: Instale la consola de cuarentena primero y luego instale el Servidor de

cuarentena. Si no sigue este orden, AMS no se configura correctamente. Si no
sigue este orden y desea configurar correctamente AMS, asocie AMS con el Servidor
de cuarentena con propiedades de alerta. A continuación, reinicie el Servidor de
cuarentena.
Instalar la consola de cuarentena

La consola de cuarentena le permite administrar envíos al Servidor de cuarentena.
Instalar los servidores de Cuarentena y de LiveUpdate 135
Para instalar la consola de cuarentena

1 En el equipo en el cual se instala la Consola de Symantec Endpoint Protection
Manager, inserte el CD de instalación en la unidad de CD-ROM.
Si el equipo no está configurado para ejecutar automáticamente el CD, tendrá
que ejecutar manualmente Setup.exe.
2 En el panel principal, haga clic en Instalar otras herramientas para el
administrador > Instalar consola de Cuarentena central.
3 Siga las instrucciones que aparezcan en la pantalla para completar la
instalación.
Instalar el Servidor de cuarentena

El Servidor de cuarentena recibe envíos de virus. El Servidor de cuarentena requiere
reiniciar después de la instalación.
Para instalar el Servidor de cuarentena
1 Introduzca el CD de instalación en la unidad de CD-ROM del equipo en el que
desee instalar el Servidor de cuarentena.
Si el equipo no está configurado para ejecutar automáticamente el CD, tendrá
que ejecutar manualmente Setup.exe.
administrador > Instalar servidor de Cuarentena central.
4 En el panel Contrato de licencia, haga clic en Acepto los términos del contrato
de licencia y, a continuación, en Siguiente.
5 En el panel Carpeta de destino, realice una de las acciones siguientes:
■ Para aceptar la carpeta de destino predeterminada, haga clic en Siguiente.
■ Haga clic en Cambiar, localice una carpeta de destino y selecciónela, haga
clic en Aceptar y, a continuación, en Siguiente.
6 En el panel Tipo de instalación, seleccione lo siguiente:

■ Internet (recomendado) y haga clic en Siguiente.
Ya no se admite el correo electrónico.
7 En el panel Máximo espacio en disco, introduzca la cantidad de espacio en
disco que desea destinar en el servidor para los envíos de Cuarentena central
por parte de los clientes y, a continuación, haga clic en Siguiente.
8 En el panel Información de contacto, escriba el nombre de su empresa, el ID

o el número de cuenta de Symantec y la información de contacto y, a
continuación, haga clic en Siguiente.
9 En el panel Comunicación por Web, modifique la dirección de gateway si es

necesario y haga clic en Siguiente.
De forma predeterminada, el campo Nombre de gateway se completa con la
dirección de ésta.
10 En el panel Configuración de alertas, marque Activar alertas para utilizar

AMS2 y después haga clic en Siguiente.
11 En el panel Preparado para instalar el programa, haga clic en Instalar y siga
las instrucciones de la pantalla para completar la instalación.
12 Escriba la dirección o el nombre de host del equipo en el que haya instalado
el Servidor de cuarentena y el número de puerto.
Necesitará esta información cuando configure programas de cliente para
enviar elementos a Cuarentena central.
Adjuntar un servidor de administración a la Cuarentena central

Adjuntar un servidor antivirus al Servidor de cuarentena le permite enviar archivos
infectados al Servidor de cuarentena. Para obtener detalles sobre la forma de
adjuntar un servidor que no se encuentre en el mismo equipo que el Servidor de
cuarentena, consulte la Guía del administrador de Cuarentena central de Symantec
en el CD de instalación.
Para adjuntar un servidor antivirus a la Cuarentena central

1 Inicie Symantec Quarantine Console.
2 En el panel izquierdo, haga clic con el botón secundario en Symantec Central
Quarantine y, a continuación, haga clic en Adjuntar al servidor.
3 En el panel Selección de equipo, haga clic en Este equipo y, a continuación,
haga clic en Finalizar.
4 En el menú Consola, haga clic en Guardar.
Configurar los grupos para que utilicen Cuarentena central

Para configurar las comunicaciones de red de Cuarentena central, es necesario
especificar el puerto en el cual el Servidor de cuarentena escucha. Es necesario
también crear y aplicar a un grupo una política antivirus que especifique el equipo
y el puerto del Servidor de cuarentena. Se configura el puerto de escucha del
Servidor de cuarentena con Symantec Quarantine Console y usted crea la política
antivirus con la Consola de Symantec Endpoint Protection Manager.
Nota: La interfaz del usuario de la consola de cuarentena permite seleccionar la

IP o el protocolo SPX, y especificar el número de puerto que se configura. Este
protocolo y número de puerto de IP es TCP. No seleccione SPX. Además, el número
de puerto TCP que usted escribe no es el que aparece para el puerto de escucha
del Servidor de cuarentena cuando se visualiza con herramientas como netstat
-a. Por ejemplo, si usted escribe el número de puerto 33, netstat -a muestra el
puerto TCP 8448. Los números hexadecimales y decimales se convierten y se
transportan incorrectamente. Para obtener más información, consulte
http://entsupport.symantec.com/docs/n2000081412370148.
Para configurar el Servidor de cuarentena

1 En el panel izquierdo de la consola de Cuarentena central de Symantec, en el
árbol de raíz de la consola, haga clic con el botón secundario en Symantec
Central Quarantine y, a continuación, haga clic en Propiedades.
2 En la ficha General, bajo Protocolos, marque Escucha en IP.
SPX ya no se admite.
Acerca del uso de un servidor de Symantec LiveUpdate
3 En el cuadro Puerto de Escucha en IP, escriba el número de puerto en el cual

se escucharán los envíos de clientes.
Este número de puerto es TCP/IP. No escriba un número de puerto conocido
asignado por IANA sin saber si se utiliza en su red. Por ejemplo, no escriba
el número de puerto 21 porque está reservado para las comunicaciones FTP.
Para configurar una política antivirus
Políticas.
2 En el panel Ver políticas, haga clic en Antivirus.
3 En la sección inferior izquierda del panel ¿Qué desea hacer?, haga clic en
Agregar una política antivirus.
Es posible también editar una política ya existente.
4 En la ventana Política antivirus, en el panel izquierdo, haga clic en Envíos.
5 Bajo Elementos en cuarentena, marque Permitir que los equipos cliente
envíen automáticamente elementos de la cuarentena a un servidor de
cuarentena.
6 En el cuadro de número Servidor, escriba el nombre de dominio completo o
la dirección IP del Servidor de cuarentena.
7 En el cuadro de número Puerto, acepte o modifique el número de puerto
predeterminado.
8 En el cuadro Reintentar, acepte o modifique el intervalo de reintento cuando
haya errores en las comunicaciones del Servidor de cuarentena.
9 En la lista desplegable Protocolo, verifique que solamente IP esté seleccionado.
11 Aplique la política a uno o más grupos.

LiveUpdate es la utilidad que actualiza los equipos cliente con definiciones de
antivirus, firmas de detección de intrusiones, parches de producto, etc. En entornos
no administrados, LiveUpdate generalmente se configura en los equipos cliente
para conectarse directamente a los servidores de Symantec LiveUpdate. En
entornos administrados de redes pequeñas a medianas, LiveUpdate generalmente
se configura en los equipos cliente para conectarse a Symantec Endpoint Protection
Manager.
En redes grandes administradas, los problemas de conservación de ancho de banda

a través de gateways de Internet pueden ser muy importantes. Cuando estos
problemas son importantes, es posible instalar y configurar uno o varios servidores
de LiveUpdate para descargar actualizaciones. A continuación, es posible distribuir
las actualizaciones a los servidores de administración o directamente a los clientes.
La Figura 6-1 ilustra las tres arquitecturas de red que admiten los servidores de
LiveUpdate.
Figura 6-1 Arquitecturas de distribución de LiveUpdate
Symantec
LiveUpdate
Servidor de LiveUpdate Servidor de LiveUpdate Servidor de LiveUpdate
Servidor de administración Servidor proxy de LiveUpdate

Grupo de clientes
Grupo de clientes Grupo de clientes

Instalar y configurar un servidor de LiveUpdate
La arquitectura de la izquierda es la más simple de implementar. Para

implementarla, usted modifica una opción para el sitio de administración. La
arquitectura del centro es un poco más difícil de implementar. Para implementarla,
usted modifica una opción para el sitio de administración y modifica la política
de LiveUpdate que se aplica al grupo. La arquitectura de la derecha es la más difícil
de implementar e incluye un servidor proxy de LiveUpdate.
Nota: Esta guía de instalación no describe cómo configurar los sitios o las políticas
de Symantec Endpoint Protection para implementar estas arquitecturas de
LiveUpdate. Esta guía de instalación describe cómo instalar solamente la utilidad
de administración de LiveUpdate y el Servidor. Para implementar completamente
estas arquitecturas de LiveUpdate, consulte la Guía de administración de Symantec
Endpoint Protection. Localice y lea el capítulo acerca de la actualización de
contenido y componentes.
Instalar y configurar un servidor de LiveUpdate

El servidor de LiveUpdate se instala cuando usted instala la utilidad de
administración de LiveUpdate. Después de instalar el servidor de LiveUpdate,
configúrelo para que descargue actualizaciones con la utilidad de administración
de LiveUpdate. De acuerdo con la arquitectura, usted configura su sitio o sus
clientes de administración para que obtengan actualizaciones de su servidor de
LiveUpdate. Para obtener información, vea la Guía de administración de Symantec
Endpoint Protection .
Para obtener información más detallada sobre cómo utilizar la utilidad de
administración de LiveUpdate, consulte la Guía de administración de LiveUpdate
en el CD de instalación.
Para instalar el servidor de LiveUpdate
1 Introduzca el CD de instalación en la unidad de CD-ROM.
administrador > Instalar Administrador de LiveUpdate.
3 Siga las instrucciones que aparezcan en la pantalla para completar la
instalación.
Desinstalar componentes de administración de Symantec Endpoint Security
Para configurar el servidor de LiveUpdate para descargar actualizaciones

1 En la barra de tareas de Windows, haga clic en Inicio > Todos los programas
> Utilidad de administración de LiveUpdate > Utilidad de administración
de LiveUpdate.
2 En la ventana Utilidad de administración de LiveUpdate, en el panel izquierdo,
haga clic en Obtener las actualizaciones.
3 En la ventana Utilidad de administración de LiveUpdate, bajo Idiomas de las
actualizaciones, seleccione el idioma para los paquetes descargados.
4 En Línea de productos de Symantec, marque las líneas de productos de
Symantec para las que desee recibir paquetes.
Si hace clic en Detalles, puede optar por actualizar componentes de productos
individuales, pero corre el riesgo de perder otras actualizaciones disponibles.
Por ejemplo, es posible que los nuevos archivos de definiciones de virus de
Symantec Endpoint Protection requieran una actualización del motor que
también se encuentre disponible.
Puesto que todos los productos de Symantec instalados que utilicen
LiveUpdate harán referencia al servidor de la intranet, resulta más seguro
descargar líneas de productos completas que productos individuales.
5 Bajo Directorio de descarga, escriba o seleccione el directorio de descarga en
su servidor de LiveUpdate.
Ésta es la ubicación donde se almacenarán los paquetes de actualización y
los archivos de definiciones de virus una vez que se hayan descargado de
Symantec. (Los archivos se descargan primero a un directorio temporal creado
con la utilidad de administración de LiveUpdate. Cuando el archivo se ha
descargado por completo, pasa al directorio de descarga especificado). El
directorio de descarga puede ser cualquiera de los que haya en el servidor.
Desinstalar componentes de administración de

Symantec Endpoint Security
Puede desinstalar todos los componentes de administración de Symantec Endpoint
Security mediante la opción Agregar o quitar programas del Panel de control del
equipo local.
Capítulo 7
Migrar de Symantec
AntiVirus y Symantec Client
Security
■ Descripción y secuencia de migración
■ Rutas de migración compatibles e incompatibles
■ Preparar instalaciones de versiones anteriores para la migración
■ Acerca de migrar y no conservar los servidores y los grupos de clientes y la

configuración
■ Acerca de la migración de grupos y opciones
■ Acerca de las opciones que no se migran
■ Acerca de los paquetes y la implementación
■ Instalar Symantec Endpoint Protection Manager
■ Migrar opciones de configuración de grupos de clientes y servidores
■ Verificar la migración y actualizar políticas migradas
■ Migrar clientes no administrados
■ Qué se ha modificado para los administradores de versiones anteriores

144 Migrar de Symantec AntiVirus y Symantec Client Security
Descripción y secuencia de migración
Descripción y secuencia de migración

Lea toda la información de este capítulo antes de migrar clientes y servidores de
versiones anteriores de Symantec AntiVirus y Symantec Client Security. También,
pruebe todos los procedimientos de este capítulo en un entorno de prueba antes
de migrar clientes y servidores de versiones anteriores de Symantec AntiVirus y
Symantec Client Security.
Siga esta secuencia para crear su entorno de prueba y probar la migración:
■ Cree un entorno de prueba de por lo menos tres equipos. Si es posible, cree un
entorno de prueba que se asemeje a su infraestructura de administración. Si
tiene varios servidores de administración, instale varios servidores de
administración. Por ejemplo, si tiene varios grupos de servidores, cree varios
grupos de servidores.
■ Instale una versión anterior compatible de Symantec System Center, un
servidor de administración primario y un cliente administrado en diversos
equipos de prueba.
■ Desinstale el servidor de informes, si lo instaló.
■ Utilice Symantec System Center para configurar las opciones del servidor de
administración y el cliente que prepara la migración.
■ Instale Symantec Endpoint Protection Manager en un equipo de su entorno
de prueba e inicie sesión.
A continuación, decida si desea migrar sus grupos y opciones de Symantec System
Center a Symantec Endpoint Protection Manager. Si no desea migrar sus grupos
y opciones, es posible crear nuevos grupos, políticas y paquetes de instalación con
Symantec Endpoint Protection Manager. Después, migre los clientes y los
servidores de versiones anteriores, desinstale Symantec System Center y migre
el cliente o el servidor de una versión anterior que protege ese equipo.
Si desea migrar sus grupos y opciones, es necesario entender cómo se migran los
grupos y las opciones, y cómo se implementan en clientes y servidores de versiones
anteriores. Específicamente, es necesario entender lo siguiente:
■ Lea las opciones para migrar opciones de grupo de Symantec System Center
a las políticas de la Consola de Symantec Endpoint Protection Manager.
■ Lea cómo se crean los paquetes de instalación de clientes, dónde se encuentran
y cómo afectan a los equipos cliente después de la migración.
■ Si no implementa los paquetes de instalación de clientes con herramientas de
otros fabricantes, tales como SMS, lea y comprenda sus opciones para usar el
Asistente de implementación mediante transferencia para implementar
paquetes de instalación de clientes.
Migrar de Symantec AntiVirus y Symantec Client Security 145
Rutas de migración compatibles e incompatibles
■ En particular, piense si desea exportar una lista de equipos cliente a un archivo

de texto desde Symantec System Center para cada servidor de administración
y, después, importe este archivo al Asistente de implementación mediante
transferencia para la implementación.
■ Utilice el Asistente de instalación y migración para realizar la migración en
este entorno de prueba y crear sus paquetes de instalación de clientes.
■ Decida qué paquetes de instalación se implementarán para la migración.
Después de crear los paquetes de instalación y decidir cuáles se implementarán
en los clientes y servidores de administración de versiones anteriores, se
recomienda implementar los paquetes y verificar la implementación de éstos en
la secuencia siguiente:
■ Implemente un paquete de instalación de clientes en uno o más clientes y
verifique que los clientes aparecen en los grupos correctos en la Consola de
■ Verifique que la configuración de LiveUpdate y de la política antivirus y contra
software espía para el cliente se haya migrado correctamente.
■ Implemente un paquete de instalación de clientes en uno o más servidores de
administración de versiones anteriores y verifique que éstos aparecen en los
grupos correctos en la Consola de Symantec Endpoint Protection Manager.
■ Verifique que la configuración de LiveUpdate y de la política antivirus y contra
software espía para el servidor se haya migrado correctamente.
■ Desinstale Symantec System Center.
■ Instale un paquete de instalación de clientes en el equipo que ejecutó Symantec
System Center.
Finalmente, si modificó las opciones de Symantec System Center según las
recomendaciones para la migración, localice estas opciones en LiveUpdate y las
políticas antivirus y contra software espía. A continuación, recupere la
configuración original. Por ejemplo, una recomendación era deshabilitar los
análisis programados, que deben volver a habilitarse en las políticas antivirus y
contra software espía para cada grupo. Cuando se sienta cómodo y confiado con
la migración en su entorno de prueba, estará listo para comenzar la migración de
su red de producción.

Entienda qué migraciones son compatibles, cuáles se bloquean y cuáles son
incompatibles. Si tiene software de una versión anterior que bloquea la migración,
es necesario desinstalar este software. Si tiene software de una versión anterior
que no es compatible con la migración, decida si desea desinstalarlo. Por ejemplo,

si ejecuta Symantec AntiVirus en equipos con NetWare, probablemente desee
guardar el software de versión anterior que se ejecuta en esos equipos.
Migraciones compatibles
Las rutinas de instalación de clientes comprueban la existencia del siguiente
software y migran el software si se detecta:
■ Cliente y servidor de Symantec AntiVirus 9.x y posterior
■ Cliente y servidor de Symantec Client Security 2.x y posterior
Migraciones que se bloquean

Las rutinas de instalación de clientes comprueban la existencia del siguiente
software y bloquean la migración si se detecta el software:
■ Cliente y servidor de Symantec AntiVirus 8.x y anterior
■ Cliente y servidor de Symantec Client Security 1.x
■ Symantec Client Firewall 5.0
■ Symantec System Center, todas las versiones
■ Symantec Reporting Server 10.x
■ Confidence Online Heavy by Whole Security, todas las versiones
■ Norton AntiVirus y Norton Internet Security, todas las versiones
Es necesario desinstalar este software primero y luego instalar los clientes de
Symantec Endpoint Protection.
Migraciones incompatibles
El software siguiente no se migra y puede coexistir en el mismo equipo que el
software de cliente de Symantec Endpoint Protection:
■ Symantec Client Firewall Administrator, todas las versiones
■ LiveUpdate Server
Para instalar la última versión de LiveUpdate Server, primero desinstale la
versión anterior.
■ Los equipos con NetWare que ejecutan cualquier versión de Symantec AntiVirus
Los sistemas operativos NetWare no se admiten con esta versión. Continúe
protegiendo estos equipos con las versiones anteriores.
Preparar instalaciones de versiones anteriores para la migración
■ Clientes y servidores de Symantec AntiVirus y Symantec Client Security que

se ejecutan en hardware Itanium
El hardware Itanium no se admite con esta versión. Continúe protegiendo estos
equipos con las versiones anteriores.
Acerca de la migración de Cuarentena central

Para migrar la consola y el servidor de Cuarentena central, es necesario desinstalar
y después reinstalar ambos componentes.
Preparar instalaciones de versiones anteriores para

la migración
Con Symantec System Center, es necesario modificar la configuración de los
clientes y los servidores para simplificar el proceso de migración. Por ejemplo, si
un cliente ejecuta un análisis antivirus durante la migración, ésta se bloqueará
hasta que el análisis finalice y la migración puede fallar. También es necesario
deshabilitar la función de contraseña de desinstalación para el software de cliente,
si está habilitada. Si no lo hace, se les solicitará a los usuarios que escriban la
contraseña en el modo interactivo.
Nota: Si migra grupos y opciones desde Symantec System Center, la instancia de

LiveUpdate y las políticas antivirus y contra software espía migrados que se crean
para estos grupos contienen estas modificaciones. Es posible revertir estas
opciones. Por ejemplo, es posible volver a habilitar análisis programados. Tampoco
es necesario deshabilitar la contraseña de desinstalación, si está habilitada. La
migración omite la contraseña.
Preparar todas las instalaciones de versiones anteriores

Estos procedimientos se aplican a todas las instalaciones de software de versiones
anteriores compatibles con la migración.
Nota: Si utiliza grupos de clientes y esos grupos no heredan una configuración,

prepare estos grupos de la misma manera en que se preparan los grupos de
servidores y los servidores de administración.
Deshabilitar análisis programados

Si un análisis está programado para ejecutarse y se está ejecutando al tiempo que
ocurre la migración del cliente, la migración puede fallar. Se recomienda
deshabilitar los análisis programados durante la migración y volver a habilitarlos
después de la migración.
Para deshabilitar análisis programados
1 En Symantec System Center, realice una de las siguientes acciones:
■ Haga clic con el botón secundario en un servidor de administración.
■ Haga clic con el botón secundario en un grupo de clientes.
2 Haga clic en Todas las tareas > Symantec AntiVirus > Análisis programados.
3 En el cuadro de diálogo Análisis programados, en la ficha Análisis de servidor,
deje sin marcar todos los análisis programados.
4 En la ficha Análisis de clientes, deje sin marcar todos los análisis programados
y haga clic en Aceptar.
5 Repita este procedimiento para todos los servidores de administración
primarios, los servidores de administración secundarios y todos los grupos
de clientes.
Configurar Cuarentena central y archivos en cuarentena

El Servidor de cuarentena ya no admite actualizaciones de los equipos cliente con
las últimas definiciones. Por lo tanto, es preferible que no actualice los equipos
cliente con las últimas definiciones durante una migración. Además, la migración
de archivos en cuarentena no es necesaria.
Para configurar Cuarentena central y elementos de cuarentena
1 En Symantec System Center, haga clic con el botón secundario en un grupo
de servidores.
2 Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de
cuarentena.
3 En el cuadro de diálogo Opciones de cuarentena, haga clic en Opciones de
depuración.
4 En el cuadro de diálogo Opciones de depuración, configure todos los valores
de tiempo en 1 día y configure todos los valores de límites del tamaño del
directorio en 1 MB y marque todas las casillas de verificación.
6 En el cuadro de diálogo Opciones de cuarentena, deje sin marcar la opción

Habilitar cuarentena y Asistente de análisis y envío.
7 Bajo Cuando lleguen nuevas definiciones de virus, marque No hacer nada y
8 Repita este procedimiento para todos los grupos de servidores, si tiene más
de uno.
Eliminar historiales
Todos los historiales se almacenan en una base de datos. La eliminación del archivo
de historiales acelera el proceso de migración.
Para eliminar los historiales
de servidores.
2 Haga clic en Todas las tareas > Symantec AntiVirus > Configurar historial.
3 En el cuadro de diálogo Opciones de historias, establezca el valor de Suprimir
después en 1 día.
de uno.
Deshabilitar LiveUpdate
Si LiveUpdate está ejecutándose en los equipos cliente durante la migración,
pueden presentarse conflictos. Por lo tanto, es mejor reducir la posibilidad de que
LiveUpdate se ejecute en los equipos cliente durante la migración.
Para deshabilitar LiveUpdate
de servidores.
2 Haga clic en Todas las tareas > Symantec AntiVirus > Administrador de
definiciones de virus.
3 En el cuadro de diálogo Administrador de definiciones de virus, marque
Actualizar solamente el servidor principal de este grupo de servidores y
después haga clic en Configurar.
4 En el cuadro de diálogo Configurar actualizaciones del servidor principal,
desactive Programación para actualizaciones automáticas y haga clic en
Aceptar.
5 En el cuadro de diálogo Administrador de definiciones de virus, deje sin marcar

las siguientes opciones:
■ Actualizar definiciones de virus del servidor principal
■ Programar actualizaciones automáticas en los clientes con LiveUpdate
■ Habilitar LiveUpdate continuo
6 Marque No permitir al cliente iniciar LiveUpdate manualmente y después

de uno.
Deshabilitar el servicio de uso móvil

Si el servicio de uso móvil está habilitado en los equipos cliente, la migración
puede bloquearse y nunca terminar. Si el servicio de uso móvil no está habilitado,
no siga este procedimiento.
Nota: Si sus clientes de uso móvil ejecutan la versión 10.x de Symantec AntiVirus,
desbloquee los grupos de servidores antes de deshabilitar el servicio de uso móvil.
Esta práctica ayuda a garantizar que los clientes de uso móvil estén autenticados
correctamente con certificados en su servidor principal.
Para deshabilitar el servicio de uso móvil

de servidores.
2 Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso móvil
para clientes.
3 En el cuadro de diálogo Opciones de uso móvil para clientes, en el cuadro
Validar el servidor principal cada X minutos, escriba 1.
4 En el cuadro Buscar el servidor principal más cercano cada X minutos, escriba
1 y presione Aceptar.
5 Espere algunos minutos.
de servidores.
7 Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso móvil
para clientes.
8 En el cuadro de diálogo Opciones de uso móvil para clientes, deje sin marcar
Habilitar uso móvil en clientes con el servicio Symantec AntiVirus Roaming.
Preparar instalaciones de versiones anteriores de Symantec 10.x/3.x

Symantec AntiVirus 10.x y Symantec Client Security 3.x proporcionan funciones
adicionales que se deben configurar correctamente para la migración correcta.
Desbloquear grupos de servidores

Si no se desbloquean los grupos de servidores antes de la migración, pueden
presentarse resultados imprevisibles. Además, si el servicio de uso móvil está
habilitado para los clientes, el desbloqueo del grupo de servidores garantiza que
los clientes se autentiquen correctamente en un servidor principal. Los clientes
que se autentican correctamente en un servidor principal se colocan en la base
de datos. Los clientes que se colocan en la base de datos aparecen automáticamente
en el grupo de versiones anteriores correcto de la consola después de la instalación.
Para desbloquear un grupo de servidores
de servidores bloqueado y después haga clic en Desbloqueo de grupo de
servidores.
2 En el cuadro de diálogo Desbloqueo de grupo de servidores, escriba las
credenciales de autenticación, si es necesario, y haga clic en Aceptar.
Deshabilitar Protección contra intervenciones

Protección contra intervenciones puede ocasionar resultados imprevisibles durante
la migración.
Para deshabilitar Protección contra intervenciones
1 En Symantec System Center, haga clic con el botón secundario en una de las
siguientes opciones:
■ Grupo de servidores
■ Servidor de administración primario o secundario
2 Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de Protección
contra intervenciones para servidores.
3 En el cuadro de diálogo Opciones de Protección contra intervenciones para
servidores, deje sin marcar Habilitar Protección contra intervenciones.
Acerca de migrar y no conservar los servidores y los grupos de clientes y la configuración

■ Si seleccionó un grupo de servidores en el paso 1, repita este procedimiento
para todos los grupos de servidores, si tiene más de uno.
■ Si seleccionó un servidor de administración en el paso 1, repita este
procedimiento para todos los servidores de administración de todos los
grupos de servidores.
Desinstalar y eliminar servidores de informes

Si instaló uno o más servidores de informes, es necesario desinstalar estos
servidores y, opcionalmente, eliminar los archivos de base de datos. Es necesario
también eliminar los servidores de informes de Symantec System Center. Es
posible obtener información completa sobre la desinstalación de servidores de
informes en la ayuda en pantalla de Symantec System Center. Las opciones de
versiones anteriores se almacenaban en el registro. Toda la configuración ahora
se almacena en una base de datos, junto con los datos de informes.
Para desinstalar servidores de informes
1 Inicie sesión en un equipo que ejecute el servidor de informes.
2 Haga clic en Inicio > Configuración > Panel de control > Agregar o quitar
programas.
3 En el cuadro de diálogo Agregar o quitar programas, haga clic en Servidor
de informes de Symantec y después haga clic en Quitar.
4 Siga las indicaciones que se muestran en la pantalla hasta que se elimine el
servidor de informes.
5 Repita este paso para todos los servidores de informes.
Para eliminar servidores de informes de Symantec System Center
1 En Symantec System Center, haga clic con el botón secundario y amplíe
Informes.
2 Haga clic con el botón secundario en cada servidor de informes y haga clic
en Eliminar.
Acerca de migrar y no conservar los servidores y los

grupos de clientes y la configuración
No es obligatorio migrar los grupos y la configuración para los clientes de una
versión anterior y los servidores de Symantec System Center a Symantec Endpoint
Acerca de la migración de grupos y opciones
Protection Manager. Si se siente cómodo con operaciones de la Consola de

Symantec Endpoint Protection Manager, puede crear y exportar un paquete de
instalación e implementarlo en los clientes de una versión anterior y en los
servidores para la migración. Para obtener información, consulte los capítulos
sobre la instalación por primera vez y sobre la instalación del software de cliente
en esta guía de instalación.
Nota: Se recomienda crear uno o más grupos y políticas asociadas para los clientes
de una versión anterior y migrarlos primero. Es posible entonces crear uno o más
grupos y políticas asociadas para los servidores de una versión anterior y después
migrarlos a los clientes. Finalmente, desinstale Symantec System Center y migre
el servidor de administración o el cliente de versión anterior que protegieron el
equipo que ejecutó Symantec System Center.

Para migrar el servidor, los grupos de clientes y las configuraciones de Symantec
System Center a Symantec Endpoint Protection Manager, es necesario comprender
cómo funciona este proceso. Por ejemplo, su configuración existente en Symantec
System Center puede heredarse de los grupos de servidores. Y es necesario elegir
si desea conservar esta relación.
Los servidores de administración primarios y secundarios de versiones anteriores
tienen opciones que se aplican solamente a esos servidores, pero no a los clientes
que administran. El motivo es que estos servidores pueden necesitar una protección
diferente de la de los clientes que administran. Por ejemplo, estos servidores
pueden proporcionar otros servicios que pueden necesitar excluir ciertos tipos
de archivos de los análisis. Con Symantec System Center, es posible especificar
que todos los servidores hereden sus opciones de la configuración especificada
para el grupo de servidores. O es posible especificar opciones personalizadas para
cada servidor.
Después de migrar la configuración para los servidores de administración, las
opciones aparecen en las políticas de LiveUpdate y en las políticas antivirus y
contra software espía. Estas políticas se aplican a los grupos que contendrán los
servidores de administración después de migrarlos a un cliente de Symantec
Endpoint Protection. Durante la migración usted decide si la configuración se
hereda del grupo de servidores o se especifica para cada servidor.
La configuración de un cliente de una versión anterior también se puede heredar
del grupo de servidores o de un servidor de administración. Después de migrar la
configuración para los clientes, las opciones aparecen en las políticas de LiveUpdate
y en las políticas antivirus y contra software espía. Durante la migración, usted
decide si la configuración se hereda del grupo de servidores o del servidor de

administración.
La Figura 7-1 ilustra la situación antes y después cuando los servidores de
administración y los clientes heredan su configuración de los grupos de servidores.
Figura 7-1 Antes y después de la configuración heredada de grupos de

servidores
Selección de opciones de migración de políticas de clientes
Symantec System Center antes

de la migración
Todos los equipos cliente que no están en ningún grupo de clientes

aparecen aquí
Los equipos cliente de un grupo de clientes aparecen aquí
Cada servidor principal migrado a un cliente aparece en

Servidor
Todos los equipos cliente de este grupo comparten todas las

políticas
La herencia de políticas de grupo de clientes coincide con la

configuración de herencia de Symantec System Center
El grupo Servidor hereda políticas de SORINA3
Consola de Symantec Endpoint Protection Manager después de la migración

e implementación de clientes
En esta situación, todos los servidores de administración en Grupo_Servidores_1

y Grupo_Servidores_2 heredan su configuración del grupo de servidores en
Symantec System Center. Después de la migración al cliente de Symantec Endpoint
Protection, cada equipo que ejecutaba un servidor de administración de versiones
anteriores aparece en un grupo denominado Servidor. Ese grupo hereda toda la
configuración del grupo con el mismo nombre que el grupo de servidores original.
Por ejemplo, el servidor de administración IDPRUEBA99 hereda las políticas
configuradas para Grupo_Servidores_1.
En esta situación, todos los clientes heredan la configuración del grupo de
servidores y de cualquier grupo de clientes que pudiera contenerlos. Todos los
clientes que no estaban contenidos en un grupo de clientes en Symantec System
Center, ahora aparecen en el grupo con el mismo nombre que el grupo de servidores
original.
La Figura 7-2 ilustra una situación antes y después cuando los servidores de
administración y los clientes heredan la configuración que se especifica en el
servidor de administración principal.
Figura 7-2 Antes y después de la configuración heredada de servidores

principales
Selección de opciones de migración de políticas de clientes
Symantec System Center antes

de la migración
Todos los equipos cliente aparecen en Clientes, debajo de su servidor

principal
Cada servidor principal migrado a un cliente aparece en Servidor
Este grupo no hereda políticas
El grupo Clientes hereda políticas de SORINA3
El grupo Servidor hereda políticas de SORINA3
Consola de Symantec Endpoint Protection Manager después de la migración

e implementación de clientes
En esta situación, todos los servidores de administración en Grupo_Servidores_1

y Grupo_Servidores_2 heredan su configuración de cada servidor principal en
Symantec System Center. Después de la migración al cliente de Symantec Endpoint
Protection, cada equipo que ejecutaba un servidor de administración de versiones
anteriores aparece en un grupo denominado Servidor. Esta vez, sin embargo, los
Acerca de las opciones que no se migran
grupos no heredan la configuración. Se personalizan nuevas políticas para cada

equipo que ejecutaba un servidor de administración de una versión anterior.
En esta situación, todos los clientes heredan la configuración que se configura
para los clientes en cada servidor principal. Si los clientes están en grupos de
clientes en Symantec System Center, ahora aparecen en el grupo Clientes, debajo
del grupo del servidor principal en el cual estaban instalados.
Acerca de las opciones que no se migran

La configuración de Protección contra intervenciones no se migra, y Protección
contra intervenciones ahora es parte de la sección Configuración general para los
grupos. Protección contra intervenciones no es una política que se aplique a las
ubicaciones. De forma predeterminada, Protección contra intervenciones se
habilita y protege los procesos de Symantec y los objetos internos. Solamente es
posible habilitar e deshabilitar Protección contra intervenciones. No tendrá control
detallado sobre los procesos u objetos internos.
Las opciones desbloqueadas pueden migrarse o no. Si la configuración es la
configuración predeterminada instalada originalmente y nunca fue modificada
ni bloqueada, la configuración no se migra. La configuración no se migra porque
las entradas del registro nunca fueron generadas. En algunos casos, la nueva
configuración de políticas predeterminada de Symantec Endpoint Protection
puede corresponder a la configuración predeterminada de la versión anterior. En
otros casos, la nueva configuración de políticas predeterminada de Symantec
Endpoint Protection puede no corresponder a la configuración predeterminada
de la versión anterior. Se recomienda revisar todas las opciones que aparezcan
después de la migración en su política antivirus y contra software espía y en su
política de configuración de LiveUpdate.
Acerca de los paquetes y la implementación

Para migrar el servidor, los grupos de clientes y las configuraciones de Symantec
System Center a Symantec Endpoint Protection Manager, es necesario comprender
cómo funciona este proceso. Por ejemplo, su configuración existente en Symantec
System Center puede heredarse de los grupos de servidores. Y es necesario elegir
si desea conservar esta relación.
Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 y MSI 3.1, o una
versión posterior, para poder ser migrados.
Acerca de los paquetes de instalación de clientes que se generan

durante la migración
Para realizar la migración, se ejecuta el Asistente de instalación y migración.
Cuando se ejecuta el Asistente de instalación y migración, usted elige los servidores
de administración y los clientes para los cuales crear paquetes de instalación de
clientes.
Nota: Los servidores de administración migran a los clientes.
Después de instalar estos paquetes de instalación de clientes en los clientes de

versiones anteriores, los clientes migrados aparecen automáticamente en el grupo
apropiado de la Consola de Symantec Endpoint Protection Manager.
Durante la migración, se generan automáticamente paquetes de instalación para
varias combinaciones de componentes de cliente. Por ejemplo, se genera un paquete
de instalación para todas las funciones de Symantec Endpoint Protection. Se
genera un paquete de instalación sólo para la protección antivirus y contra software
espía, y así sucesivamente. Estos paquetes se crean en el directorio que usted
especifique durante la migración.
En este directorio, usted encontrará cinco directorios que contienen distintos
paquetes de instalación con los nombres siguientes:
■ Todas las funciones del cliente_xx-bit
■ Sólo funciones de antivirus_xx-bit
■ Sólo funciones de protección contra amenazas de red_xx-bit
■ Sólo funciones de protección proactiva contra amenazas y de antivirus_xx-bit
■ Sólo funciones de protección de dispositivos y protección contra amenazas de
red_xx-bit
Para los paquetes de instalación de 32 bits, estos paquetes ocupan 300 MB del
espacio libre en el disco, y todos los paquetes se generan siempre automáticamente.
Para los paquetes de instalación de 64 bits, estos paquetes ocupan más de 300 MB
del espacio libre en el disco.
Cuando utiliza el Asistente de instalación y migración, usted elige si desea migrar
todos los servidores de administración y clientes que aparezcan en Symantec
System Center. La otra opción es seleccionar servidores de administración
individuales.
Si decide migrar servidores de administración específicos, debe crear directorios
separados de creación de paquetes para cada servidor de administración o cada
combinación de servidores de administración. A continuación, es posible
implementar estos paquetes a los clientes respectivos de versiones anteriores

para la migración, y los clientes aparecen automáticamente en el grupo correcto
en la Consola de Symantec Endpoint Protection Manager.
Nota: Cuando se migran grupos y opciones, el Asistente de instalación y migración

almacena el servidor de administración y los ID de clientes de versiones anteriores
en una tabla en la base de datos de Symantec Endpoint Protection Manager. Cuando
se migran servidores de administración y clientes de versiones anteriores a
Symantec Endpoint Protection, los clientes recién migrados envían sus ID
anteriores a Symantec Endpoint Protection Manager. Cuando el administrador
recibe los ID anteriores, coloca los clientes recién migrados en el grupo migrado
correspondiente.
Exportar y dar formato a una lista de nombres de equipos cliente para

migrar
La herramienta de implementación de paquetes de clientes proporcionada por
Symantec recomendada es el Asistente de implementación mediante transferencia.
Es posible iniciar esta herramienta haciendo doble clic en \Symantec Endpoint
Protection\tomcat\bin\ClientRemote.exe. Es posible también iniciar el Asistente
de implementación mediante transferencia al utilizar el Asistente de instalación
y migración.
Nota: Es posible utilizar la técnica que se describe aquí independientemente de si

usted migra opciones desde Symantec System Center. Esta técnica es útil para
crear listas de todos los clientes y servidores de versiones anteriores e importar
las listas en el Asistente de implementación mediante transferencia para su
implementación.
El Asistente de implementación mediante transferencia detecta automáticamente

los equipos Windows que están encendidos. El asistente entonces permite
seleccionar los equipos e implementar un paquete de instalación seleccionable
en los equipos detectados. Es posible seleccionar equipos uno a la vez, o seleccionar
el grupo de trabajo o el dominio de equipos.
Otra opción es crear un archivo de texto que contenga los nombres o las direcciones
IP de sus clientes de versiones anteriores. A continuación, importe ese archivo en
el Asistente de implementación mediante transferencia para implementar el
paquete. Es posible entonces iniciar manualmente el Asistente de implementación
mediante transferencia e implementar los paquetes a los clientes en etapas.
Se recomienda exportar una lista de clientes para cada servidor de administración

a un archivo de texto. Después ábralas en una hoja de cálculo y elimine todas las
columnas excepto la columna que contiene el nombre o la dirección IP de los
equipos. Es posible entonces guardarla de nuevo en un archivo de texto que pueda
importarse en el Asistente de implementación mediante transferencia. Este
enfoque permite realizar la implementación en clientes mediante el servidor de
administración, y hacer la migración en etapas.
La desventaja de este enfoque es que el Asistente de implementación mediante
transferencia tarda cerca de 20 segundos por cada equipo de la lista que no esté
encendido. La ventaja de este enfoque es que es posible examinar el archivo de
registro para ver qué equipos no estaban encendidos. De esa forma, tiene un
expediente de los equipos que aún no se migraron. En entornos con DHCP
habilitado, se recomienda utilizar nombres de equipo en lugar de direcciones IP,
ya que las direcciones IP pueden modificarse.
Nota: El siguiente procedimiento proporciona detalles sobre cómo utilizar Microsoft

Office Excel. No es obligatorio utilizar Excel. Es posible utilizar cualquier software
de hoja de cálculo que importe archivos de texto.
Para exportar y dar formato a una lista de nombres de equipos cliente para migrar
1 En Symantec System Center, haga clic con el botón secundario en una de las
siguientes opciones y después haga clic en Exportar lista:
■ Servidor de administración primario o secundario
■ Grupo de clientes
2 En el cuadro de diálogo Exportar lista, en el cuadro Nombre de archivo, escriba

el nombre de un archivo de texto.
3 En la lista desplegable Guardar como, seleccione Texto (delimitado por
tabulaciones) (*.txt) y, a continuación, haga clic en Guardar.
4 En Microsoft Office Excel, haga clic en Archivo > Abrir.
5 En el cuadro de diálogo Abrir, en la lista desplegable Tipo de archivo, haga
clic en Todos los archivos.
6 Busque y seleccione su archivo de texto y haga clic en Abrir.
7 En el cuadro de diálogo Asistente para importar texto - paso 1 de 3, marque
Delimitados y haga clic en Siguiente.
8 En el cuadro de diálogo Asistente para importar texto - paso 2 de 3, bajo
Separadores, marque Tabulación y haga clic en Siguiente.
9 En el cuadro de diálogo Asistente para importar texto - paso 3 de 3, haga clic

en Finalizar.
10 Inicie el Bloc de notas y cree un nuevo archivo de texto.
11 En Excel, resalte y copie los nombres de equipo que aparecen en la columna
titulada Cliente.
12 En el Bloc de notas, pegue los nombres de los equipos y verifique que la última
línea sea un nombre de equipo y no esté en blanco.
13 Guarde el archivo como archivo de texto.
Puertos de comunicaciones que se abren

Cuando se migran opciones de servidores y grupos de clientes, ocurren
comunicaciones por red entre Symantec System Center y Symantec Endpoint
Protection Manager. Si estos componentes se ejecutan en distintos equipos y estos
equipos ejecutan firewalls, es necesario abrir los puertos de comunicación.
La Tabla 7-1 enumera los puertos que deben abrirse para la migración de la
configuración.
Tabla 7-1 Puertos utilizados para la migración de opciones
Symantec System Center Symantec Endpoint Protection Manager
TCP 139, 445 Puertos TCP efímeros
Puertos TCP efímeros TCP 139
UDP 137 UDP 137
Cuando se utiliza el Asistente de implementación mediante transferencia para

implementar software de cliente de Symantec Endpoint Protection, ocurren
comunicaciones por red entre los servidores y los clientes de versiones anteriores
y Symantec Endpoint Protection Manager. Si los servidores y los clientes de una
versión anterior ejecutan firewalls, es necesario abrir los puertos de comunicación.
La Tabla 7-2 enumera los puertos que deben abrirse para las implementaciones
que utilizan el Asistente de implementación mediante transferencia.
Tabla 7-2 Puertos utilizados para la implementación de software de cliente

con el Asistente de implementación mediante transferencia
Equipos cliente Symantec Endpoint Protection Manager
TCP 139 Puertos TCP efímeros

Instalar Symantec Endpoint Protection Manager
Equipos cliente Symantec Endpoint Protection Manager
Puertos TCP efímeros TCP 139
UDP 137, 138 UDP 137, 138
Acerca de la preparación de los equipos cliente para la migración

Varias funciones del sistema operativo Windows pueden interferir en la correcta
migración de servidores y clientes. Es necesario entender cuáles son estas
funciones y administrarlas apropiadamente. Por ejemplo, los equipos con Windows
XP y que son parte de un grupo de trabajo necesitan que el uso compartido simple
de archivos esté deshabilitado. Si no se deshabilita, no es posible realizar la
autenticación en esos equipos para la instalación remota. Los equipos con Windows
XP que están en un dominio de Windows no necesitan que esta función esté
deshabilitada.
También necesita entender que si usted instala un firewall de Symantec, se debe
deshabilitar el Firewall de Windows. Si no opta por instalar un firewall de
Symantec, no deshabilite el Firewall de Windows. Además, puede ser necesario
abrir puertos o deshabilitar firewalls antes de la migración.
Ver "Habilitar y modificar firewalls de Windows" en la página 67.
Ver "Preparar equipos con Windows XP/Vista para la implementación remota"
en la página 70.
Ver "Preparar equipos para la instalación" en la página 73.

Este paso asume que usted no ha instalado Symantec Endpoint Protection Manager
en su entorno de producción. Si ha instalado Symantec Endpoint Protection
Manager en su entorno de producción, proceda a leer acerca de migrar el servidor
y los grupos de clientes.
Es posible instalar Symantec Endpoint Protection Manager en el mismo equipo
que ejecuta Symantec System Center, pero no es un requisito. También, si usted
administra una gran cantidad de clientes de una versión anterior de Symantec,
no se recomienda instalar Symantec Endpoint Protection Manager en el mismo
equipo en el que ejecuta Symantec System Center. Finalmente, si tiene equipos
de una versión anterior de NetWare o de Itanium, es necesario continuar
administrando y protegiendo esos equipos con un software de una versión anterior.
Nota: La instalación de Symantec Endpoint Protection Manager no migra Symantec

System Center.

1 En el equipo en el que desea instalar Symantec Endpoint Protection Manager,
inserte e inicie el CD de instalación.
2 Haga clic en Instalar Symantec Endpoint Protection > Instalar Symantec
Endpoint Protection Manager y siga las indicaciones de instalación hasta
que aparezca el panel Asistente de instalación finalizado.
3 Instale Symantec Endpoint Protection Manager y configúrelo para utilizar
una de las siguientes bases de datos:
■ Base de datos integrada
Ver "Instalar Symantec Endpoint Protection Manager con una base de
datos integrada" en la página 76.
■ Base de datos de Microsoft SQL
Ver "Instalar Symantec Endpoint Protection Manager con una base de
datos de Microsoft SQL" en la página 81.
4 Cuando la instalación y la instalación de base de datos finaliza, en el panel

Configuración finalizada, realice una de las siguientes acciones:
■ Marque Sí y después haga clic en Finalizar para migrar el servidor y los
grupos de clientes de Symantec System Center a Symantec Endpoint
Protection Manager. A continuación, cree los paquetes de instalación de
clientes para esos grupos.
■ Marque No y, luego, haga clic en Finalizar para iniciar manualmente el
Asistente de instalación y migración más adelante, o para crear los nuevos
grupos con la Consola de Symantec Endpoint Protection Manager.
Es posible también que desee realizar el inicio de sesión de la migración
después de registrarse y verificar que Symantec Endpoint Protection
Manager y la Consola estén funcionando.
Nota: También puede migrar un grupo de servidores al mismo tiempo si tiene

varios grupos.
Migrar opciones de configuración de grupos de clientes y servidores
Migrar opciones de configuración de grupos de

clientes y servidores
Después de instalar Symantec Endpoint Protection Manager, es posible migrar
los grupos de clientes y servidores de administración. No es obligatorio migrar
todos los grupos de clientes y servidores al mismo tiempo. También es posible
migrar los servidores de administración y los clientes relacionados con ellos uno
a la vez.
Nota: Todos los equipos que no ejecutan MSI 3.1 se migran a MSI 3.1 primero,
antes de que se instale el software de cliente. Los equipos que no se reinician
después de la instalación del software de cliente están protegidos con las funciones
antivirus y contra software espía, pero no cuentan con firewall. Para implementar
las funciones de firewall, se deben reiniciar los equipos cliente.
Para migrar opciones de configuración de grupos de clientes y servidores

1 Realice una de las siguientes acciones:
■ Si inició el Asistente de instalación y migración al finalizar la instalación
de Symantec Endpoint Protection Manager, vaya al paso 2.
■ Si no inició al Asistente de instalación y migración al finalizar la instalación
de Symantec Endpoint Protection Manager, haga clic en Inicio >
Programas > Symantec Endpoint Protection Manager > Asistente de
instalación y migración.
2 En el panel de bienvenida del Asistente para migración y distribución, haga

clic en Siguiente.
3 En el panel ¿Qué desea hacer?, haga clic en Migrar desde una versión anterior
de Symantec AntiVirus.
4 En el siguiente panel sin nombre, marque las casillas de verificación que
indican cómo se aplicará la configuración a sus grupos.
Ver "Acerca de la migración de grupos y opciones" en la página 153.
6 En el siguiente panel sin nombre, realice una de las siguientes acciones:
■ Para importar toda la configuración de todos los servidores de
administración y clientes, haga clic en Detectar servidores
automáticamente, escriba la dirección IP de un equipo que ejecute
Symantec System Center y haga clic en Aceptar.
Verificar la migración y actualizar políticas migradas
■ Para importar opciones de un solo servidor de administración y de los

clientes que éste administra, haga clic en Agregar servidor, escriba la
dirección IP de un equipo que ejecute un servidor de administración, y, a
continuación, haga clic en Aceptar.

8 En el siguiente panel sin nombre, haga clic en Siguiente.
9 En el siguiente panel sin nombre, configure los paquetes de instalación de
clientes que desea exportar.
10 Haga clic en Opciones avanzadas del paquete, deje sin marcar los paquetes
que no desea crear y haga clic en Aceptar.
11 Haga clic en Examinar, busque y seleccione un directorio al cual exportar los
paquetes de instalación de clientes, y haga clic en Abrir.
12 En el panel sin nombre, haga clic en Siguiente.
13 En el siguiente panel sin nombre, realice una de las siguientes acciones:
■ Marque Sí, haga clic en Finalizar para exportar los paquetes y después
implemente los paquetes, primero en los clientes y después en los
servidores, con el Asistente de implementación mediante transferencia.
El proceso de exportación puede tomar diez minutos o más.
■ Marque No, sólo deseo crearlos; los distribuiré más tarde, haga clic en
Finalizar para exportar los paquetes y después implemente manualmente
los paquetes, primero en los clientes y después en los servidores, mediante
ClientRemote.exe desde el directorio \Symantec Endpoint
Protection\tomcat\bin\.
Ver "Implementar software de cliente con el Asistente de implementación
mediante transferencia" en la página 116.
Verificar la migración y actualizar políticas migradas

Después de migrar sus clientes y servidores, es necesario verificar que aparezcan
en los grupos apropiados en la Consola de Symantec Endpoint Protection Manager.
A continuación, actualice las políticas de LiveUpdate y las políticas antivirus y
contra software espía para revertir algunos o todos los cambios realizados en las
opciones con Symantec System Center. Por ejemplo, para iniciar el proceso de
migración, usted deshabilitó los análisis programados. Probablemente necesite
volver a habilitar los análisis programados.
Migrar clientes no administrados

Tiene tres opciones para migrar clientes no administrados. Es posible instalar
Symantec Endpoint Protection con los archivos de instalación y setup.exe que
incluye el CD de instalación. Esta opción conserva la configuración del cliente. Es
posible exportar un paquete de la Consola de Symantec Endpoint Protection
Manager en modo no administrado. Esta opción no conserva la configuración del
cliente. Es posible exportar un paquete de la Consola de Symantec Endpoint
Protection Manager en el modo no administrado para los archivos que no son
.exe. A continuación, reemplace serdef.dat en este paquete de instalación por un
archivo en blanco con el mismo nombre. Esta opción conserva la configuración
del cliente.
Nota: Los equipos cliente deben ejecutar Internet Explorer 6.0 o una versión
posterior, y MSI 3.1 o una versión posterior. De lo contrario, no se podrán migrar.
Acerca de migrar clientes no administrados con archivos CD

Si tiene clientes de una versión anterior no administrados, es posible migrarlos
a Symantec Endpoint Protection y mantenerlos no administrados. La migración
de clientes no administrados con los archivos CD también conserva la configuración
de cada cliente. Si ejecuta setup.exe, también actualiza automáticamente el MSI
en los clientes a 3.1, un requisito.
Cuando se ejecuta setup.exe para instalar Symantec Endpoint Protection en los
clientes no administrados de una versión anterior, se conserva la configuración
de la versión anterior. Por ejemplo, si un usuario crea un análisis personalizado
para ejecutarse a la media noche, se conserva esa configuración.
Es posible utilizar las siguientes opciones para migrar los clientes no
administrados:
■ Inserte el CD de instalación en cada cliente para migrar, e instale Symantec
Endpoint Protection desde la interfaz de usuario de instalación.
■ Copie los archivos desde el directorio SAV en el CD de instalación a un directorio
compartido. A continuación, haga que los usuarios en los equipos cliente
incorporen el directorio compartido y ejecuten setup.exe.
■ Implemente los archivos que contiene el directorio SAV en el CD de instalación
con CD\TOOLS\PUSHDEPLOYMENTWIZARD\ClientRemote.exe.
■ Implemente los archivos que contiene el directorio SAV en el directorio del
CD de instalación con las herramientas de otro fabricante de la distribución.
Migrar clientes no administrados con paquetes exportados

Es posible crear paquetes de instalación con la Consola de Symantec Endpoint
Protection Manager para clientes no administrados. Este tipo de paquete crea
clientes no administrados después de la migración pero, de forma predeterminada,
elimina y reajusta las opciones de clientes de versiones anteriores a la nueva
configuración predeterminada. Es posible anular esta configuración
predeterminada creando un nuevo archivo serdef.dat en blanco en los archivos
exportados. No es posible modificar el archivo serdef.dat si se exporta a un solo
archivo de instalación ejecutable.
Para migrar clientes no administrados con paquetes exportados y conservar la
configuración de la versión anterior
Administrador.
2 Bajo Tareas, haga clic en Paquetes de instalación.
3 Bajo Paquetes de instalación de clientes, haga clic con el botón secundario en
el paquete que desea crear y haga clic en Exportar paquete.
4 En el cuadro de diálogo Exportar paquete, deje sin marcar Crear un solo
archivo.EXE para este paquete (obligatorio).
5 Haga clic en Examinar y seleccione el directorio que contendrá el paquete
exportado.
6 Bajo Configuración de seguridad, marque Exportar un cliente no
administrado.
8 Busque el directorio que contiene su paquete exportado y desplácese hasta
el directorio siguiente:
\\Export\program files\Symantec\Symantec Endpoint Protection\
9 Abra el Bloc de notas, cree un nuevo archivo en blanco denominado serdef.dat
y sobrescriba el archivo serdef.dat que está en este directorio.
Opcionalmente, es posible cambiar el nombre del archivo existente a
serdef_bak.dat antes de agregar la versión en blanco.
10 Implemente el paquete en los clientes de versiones anteriores.
Es posible utilizar ClientRemote.exe.
Qué se ha modificado para los administradores de versiones anteriores
Para migrar clientes no administrados con paquetes exportados y cambiar las

opciones de versiones anteriores por la configuración predeterminada
Administrador.
2 Bajo Tareas, haga clic en Paquetes de instalación.
3 Bajo Paquetes de instalación de clientes, haga clic con el botón secundario en
el paquete que desea crear y haga clic en Exportar paquete.
4 En el cuadro de diálogo Exportar paquete, marque Crear un solo archivo.EXE
para este paquete (recomendado, pero no es obligatorio).
5 Haga clic en Examinar y seleccione el directorio que contendrá el paquete
exportado.
6 Bajo Configuración de seguridad, marque Exportar un cliente no
administrado.
8 Implemente el paquete en los clientes de versiones anteriores.
Es posible utilizar ClientRemote.exe.
Qué se ha modificado para los administradores de

versiones anteriores
La Tabla 7-3 describe qué modificaciones hubo para los administradores de
versiones anteriores.
Tabla 7-3 Nuevas funciones
Función Descripción
El software de servidor no Symantec Endpoint Protection Manager no incluye

proporciona la protección de Symantec Endpoint Protection. Para proteger las
Symantec AntiVirus instancias de Symantec Endpoint Protection Manager,
es necesario instalar software de cliente de Symantec
Endpoint Protection en el servidor.
Los servidores con versiones anteriores de Symantec

AntiVirus y de Symantec Client Security incluían la
protección de Symantec AntiVirus.
Se rediseñó la interfaz de usuario Se ha rediseñado la interfaz de usuario del cliente.

del software de cliente
Se rediseñó la consola de Symantec System Center se ha dejado de usar. La nueva

administración consola de administración se llama consola de Symantec
Los servidores de administración Los servidores de administración de versiones anteriores

secundarios ya no se utilizan se pueden instalar como servidores secundarios que
responden a un servidor de administración primario
para un grupo de servidores.
Proveedores de actualizaciones Los clientes de Symantec Endpoint Protection pueden

de grupo configurarse para proporcionar actualizaciones de
firmas y de contenido a los clientes de un grupo. Cuando
los clientes se configuran de esta manera, se denominan
Proveedores de actualizaciones de grupo. Los
Proveedores de actualizaciones de grupo no necesitan
estar en el grupo o en los grupos que actualizan.
Los grupos de servidores pueden Las operaciones de versiones anteriores de Symantec

ser pensados como sitios System Center giraban en torno a grupos de servidores.
Cada grupo tenía un servidor principal y los clientes
eran administrados por ese servidor principal.
Symantec Endpoint Protection utiliza el concepto de un

sitio, donde varios sitios pueden ser parte de una
instancia de instalación. Cuando se instalan sitios
adicionales en una instancia, no se especifica una clave
secreta durante la instalación. Cada vez que se especifica
una clave secreta cuando se instala un sitio, se crea una
nueva instancia de instalación. Los equipos en distintas
instancias de instalación no se comunican entre ellos.
Se amplía el reconocimiento de Las operaciones de versiones anteriores admitían el

la ubicación reconocimiento de la ubicación sólo para las operaciones
del firewall.
Symantec Endpoint Protection amplía la función de

reconocimiento de la ubicación al nivel de grupo. Cada
grupo puede ser dividido en varias ubicaciones y, cuando
un cliente está en esa ubicación, se pueden aplicar
políticas a esa ubicación.
Las políticas ahora controlan la Las operaciones de versiones anteriores de Symantec

mayoría de las opciones del System Center permitían aplicar una serie de opciones
cliente de configuración a los grupos de equipos mediante
cuadros de diálogo.
La configuración ahora se controla con las políticas que

se pueden aplicar hasta el nivel de la ubicación. Por
ejemplo, dos políticas que afectan la configuración de
LiveUpdate. Una política especifica cuántas veces se
ejecuta LiveUpdate y controla la interacción de usuario.
La otra política especifica el contenido que se permite
instalar en los equipos cliente con LiveUpdate.
Grc.dat ya no se utiliza Las comunicaciones de versiones anteriores de

Symantec AntiVirus eran gobernadas por la presencia
de un archivo Grc.dat en los equipos cliente, que se deja
de usar. Un archivo denominado Sylink.xml ha
sustituido a Grc.dat y aparece en el directorio de
instalación del cliente. Para sustituir Sylink.xml, ejecute
smc -stop, sustituya Sylink.xml y después ejecute smc
-start. Es posible también utilizar smc -import
Sylink.xml.
Algunas opciones aún se Algunas opciones de configuración de versiones

configuran en los grupos anteriores de Symantec System Center aún se aplican
en el nivel de grupo. Por ejemplo, la configuración de la
contraseña de desinstalación del cliente aplicada a todos
los equipos en un grupo. Además, la nueva política de
contenido de LiveUpdate se aplica al grupo.
NetWare ya no se admite Servidores de administración de versiones anteriores

de NetWare ya no se admiten. No migre los servidores
de administración de versiones anteriores de NetWare;
continúe administrándolos con el software de versión
anterior.
Los dominios están ahora Los dominios permiten crear grupos globales adicionales
disponibles para su uso si se desea utilizar grupos globales adicionales. Esta
función es avanzada y se debe utilizar solamente si es
necesario. El dominio Sistema es el dominio
predeterminado.
Symantec Endpoint Protection Los productos de versiones anteriores denominados

ahora incluye compatibilidad con Symantec Client Security incluían Symantec AntiVirus
firewall y Symantec Client Firewall. Symantec Endpoint
Protection ahora incluye un firewall nuevo y mejorado,
y una interfaz de usuario.
El bloqueo de dispositivo está Si desea deshabilitar ciertos dispositivos de hardware

disponible en equipos cliente, ahora es posible configurar políticas
para bloquear el acceso de los usuarios a una lista de
dispositivos de hardware. Estos dispositivos incluyen
elementos como puertos USB, unidades del disquete y
módems.
Estos dispositivos también incluyen elementos que

deben tratarse con precaución. Por ejemplo, es posible
deshabilitar tarjetas de interfaz de red (NIC), que
deshabilitan la comunicación por red de los equipos
cliente, incluso con la Consola de Symantec Endpoint
Protection Manager. La única manera de recuperación
en esta situación es desinstalar Symantec Endpoint
Protection y después volver a habilitar la NIC con el
Administrador de dispositivos de Windows.
Symantec Client Firewall Symantec Client Firewall Administrator era la

Administrator ya no se utiliza herramienta que se utilizaba para crear las políticas de
Symantec Client Firewall. La nueva Consola de Symantec
Endpoint Protection Manager ahora integra estas
funciones de forma predeterminada.
La conmutación por error y el Si tiene una red grande y necesita conservar el consumo
balanceo de carga se pueden de ancho de banda, es posible instalar los servidores de
implementar en los servidores de administración adicionales en una configuración con
administración carga balanceada. Si tiene una red grande y necesita
contar con redundancia, es posible configurar servidores
de administración adicionales en una configuración de
conmutación por error.
La replicación se puede Si tiene una red grande y necesita replicación, es posible

implementar entre sitios configurar sitios en una instancia de instalación para
que reproduzcan datos.
Nota: Cuando se instala un sitio para replicación, no se
especifica una clave secreta. Los sitios que se instalan
con una clave secreta no se comunican entre ellos.
Ya no se utiliza el servidor de Los productos de versiones anteriores incluían el

administración de alertas Servidor de administración de alertas que admitía la
generación de alertas. El nuevo Symantec Endpoint
Protection Manager ahora incluye estas funciones de
forma predeterminada.
La información del cliente ahora Los productos de versiones anterior almacenaban la

se almacena en una base de datos información en el registro. Symantec Endpoint
Protection Manager ahora almacena toda la información
sobre los equipos cliente en una base de datos SQL (la
base de datos integrada o una base de datos de Microsoft
SQL).
Funciones mejoradas de LiveUpdate ahora admite la descarga y la instalación

LiveUpdate de una amplia variedad de contenido, incluidos
definiciones, firmas, listas blancas para evitar falsos
positivos, motores y actualizaciones de producto.
Capítulo 8
Migrar software de versión
anterior de Symantec
Sygate
■ Acerca de la migración a Symantec Endpoint Protection 11.x
■ Acerca de la migración a Symantec Network Access Control 11.x
■ Acerca de las actualizaciones de Enforcer
■ Situaciones de migración de servidores
■ Procedimientos de migración de servidores de administración
■ Cambios de la interfaz y de las funciones del usuario de la consola después de

la migración
■ Migrar consolas de administración remotas
■ Acerca de la configuración de políticas migradas y nuevas
■ Acerca de la eliminación de la protección de contraseña del cliente de la

configuración del grupo
■ Migrar software de cliente de versiones anteriores de Symantec Sygate

174 Migrar software de versión anterior de Symantec Sygate
Acerca de la migración a Symantec Endpoint Protection 11.x
Acerca de la migración a Symantec Endpoint

Protection 11.x
Es posible migrar Symantec Sygate Enterprise Protection 5.1, y versiones
posteriores, y Symantec Network Access Control 5.1, o posterior, a Symantec
Endpoint Protection 11.x. Ningún otro software de versiones anteriores de Sygate
se admite para esta migración. Para migrar versiones anteriores de software
Sygate, primero mígrelas a Symantec Sygate Enterprise Protection 5.1.
Acerca de la migración del servidor de Symantec Sygate y el software

de administración
La meta de la migración es instalar Symantec Endpoint Protection Manager y la
Consola de Symantec Endpoint Protection Manager para Symantec Endpoint
Protection 11.x. El software de administración y el servidor de una versión anterior
que es posible migrar consta de los dos productos siguientes:
■ Servidor de administración, consola y base de datos de Symantec Sygate
Enterprise Protection 5.1
Los componentes del servidor se denominan Symantec Policy Manager y
Consola Symantec Policy Management.
■ Servidor de administración, consola y base de datos de Symantec Network
Access Control 5.1
Los componentes del servidor también se denominan Symantec Policy Manager
y Consola Symantec Policy Management.
El producto anterior Symantec Sygate Enterprise Protection 5.1 incluye todas las
funciones que el producto anterior Symantec Network Access Control 5.1
proporciona. El subconjunto de funciones que Symantec Network Access Control
proporciona son las funcionalidades de políticas de integridad del host y de
Enforcer.
Nota: Los valores de marca de hora de las políticas de integridad del host no se
migran correctamente. Después de la migración, examine todas las opciones de
Integridad del host configuradas para los valores de tiempo y modifíquelas si es
necesario.
Symantec Endpoint Protection 11.0 es similar a Symantec Sygate Enterprise

Protection 5.1 con una excepción. La excepción es que Symantec Endpoint
Protection no incluye las funcionalidades de Integridad del host o de Enforcer.
Por lo tanto, si usted migra los servidores de Symantec Sygate Enterprise
Protection 5.1 que proporcionan funcionalidades de Integridad del host o de
Migrar software de versión anterior de Symantec Sygate 175
Enforcer, es necesario también comprar e instalar Symantec Endpoint Protection

Manager para Symantec Network Access Control 11.0 en esos servidores migrados
para recuperar el acceso a esas funciones.
Nota: La migración de servidores migra todas las políticas y opciones existentes

configuradas para los servidores y el sitio.
Rutas compatibles con la migración del servidor

El software siguiente se admite para la migración a Symantec Endpoint Protection
Manager y la consola de administración para Symantec Endpoint Protection:
■ Symantec Policy Manager y Consola de administración 5.1
Para acceder a las funciones de Integridad del host y de Enforcer, también es
necesario instalar Symantec Endpoint Protection Manager para Symantec
Network Access Control 11.0.
■ Administrador y Consola 5.1 de Symantec Network Access Control
Es posible migrar este software a Symantec Endpoint Protection 11.0. Para
acceder a las funciones de Integridad del host y de Enforcer, también es
necesario instalar Symantec Endpoint Protection Manager para Symantec
Network Access Control 11.0.
Rutas no compatibles con la migración del servidor

Symantec Endpoint Protection Manager para la migración de Symantec Endpoint
Protection se bloquea cuando se detecta cualquiera de los siguientes elementos
de software:
■ Sygate Policy Manager 5.0
■ Sygate Management Server 3.x y 4.x
■ Whole Security Management Server, todas las versiones
Antes de que pueda instalar Symantec Endpoint Protection Manager para Symantec
Endpoint Protection, es necesario desinstalar este software.
Nota: Si intenta migrar a Symantec Endpoint Protection Manager 5.1 y si se detecta

el software no compatible, la migración también se bloquea.
Acerca de la migración del software de cliente de versiones anteriores

de Symantec Sygate
La meta de la migración es instalar Symantec Endpoint Protection 11.x. El software
de versión anterior del agente que es posible migrar consiste en los dos productos
siguientes:
■ Symantec Protection Agent 5.1
■ Symantec Enforcement Agent 5.1
Symantec Protection Agent incluye todas las funciones que Symantec Enforcement
Agent proporciona. El subconjunto de funciones que Symantec Enforcement Agent
proporciona incluye sólo Integridad del host.
Para migrar los equipos cliente que ejecutan Symantec Protection Agent o
Symantec Enforcement Agent, instale Symantec Endpoint Protection 11.0 en esos
equipos y se completará la migración.
Al igual que Sygate Protection Agent, el software de cliente de Symantec Endpoint
Protection 11.0 incluye todas las funciones que Symantec Protection Agent y
Symantec Enforcement Agent proporcionan y más. Por lo tanto, si tiene instancias
de Sygate Protection Agent que proporcionan Integridad del host, no es necesario
instalar Symantec Network Access Control 11.0 en esos clientes. Sin embargo, es
necesario instalar Symantec Endpoint Protection Manager para Symantec Network
Access Control 11.0 en los servidores de administración para recuperar el acceso
a esas funciones de los clientes.
Nota: La migración del agente migra todas las opciones existentes configuradas
para los clientes, mientras se exporte el paquete de instalación del cliente para
sus grupos existentes. Luego realice la actualización automática para esos grupos.
Rutas de clientes compatibles con la migración

El software siguiente se admite para la migración a Symantec Endpoint Protection:
■ Symantec Protection Agent 5.1
■ Symantec Protection Agent 5.1 con Symantec AntiVirus 9.x y versiones
superiores
■ Symantec Protection Agent 5.1 con Symantec Client Security 2.x y versiones
superiores
■ Symantec Enforcement Agent 5.1
■ Symantec Enforcement Agent 5.1 con Symantec AntiVirus 9.x y versiones
superiores
Acerca de la migración a Symantec Network Access Control 11.x
■ Symantec Enforcement Agent 5.1 con Symantec Client Security 2.x y versiones
superiores
Rutas de clientes no compatibles con la migración

La migración de clientes de Symantec Endpoint Protection 11.0 se bloquea cuando
se detecta cualquiera de las siguientes opciones de software:
■ Sygate Protection Agent 5.0
■ Sygate Enforcement Agent 5.0
■ Sygate Security Agent 3.x y 4.x
■ Todas las versiones de Whole Security Confidence Online Enterprise Edition.
■ Symantec Protection Agent 5.1 y Symantec AntiVirus 7.x y 8.x
■ Symantec Protection Agent 5.1 y Symantec Client Security 1.x
■ Symantec Enforcement Agent 5.1 y Symantec AntiVirus 7.x y 8.x
■ Symantec Enforcement Agent 5.1 y Symantec Client Security 1.x
Acerca de la migración a Symantec Network Access

Control 11.x
Es posible migrar Symantec Network Access Control 5.1 a Symantec Network
Access Control 11.x. Ningún otro software de versiones anteriores de Sygate se
admite para esta migración. Para migrar otras versiones, primero mígrelas a
Symantec Sygate Enterprise Protection 5.1.
Acerca de la migración del software de servidor de versiones anteriores

de Symantec Sygate
Symantec Network Access Control y Symantec Network Access Control 5.1 es el
único software que se admite para la migración a Symantec Endpoint Protection
Manager y la consola de administración para Symantec Network Access Control
11.x.
La migración de Symantec Endpoint Protection Manager para Symantec Network
Access Control se bloquea cuando se detecta cualquiera de los siguientes elementos
de software:
■ Sygate Policy Manager 5.0
■ Sygate Management Server 3.x y 4.x
Acerca de las actualizaciones de Enforcer
■ Whole Security Management Server, todas las versiones
Acerca de la migración del software de cliente de versiones anteriores

de Symantec Sygate
Symantec Enforcement Agent 5.1 es el único software que se admite para la
migración a Symantec Network Access Control 11.0.
Nota: La migración del agente migra todas las opciones existentes configuradas
para los clientes, mientras se exporte el paquete de instalación de clientes para
sus grupos existentes. Luego realice una actualización automática para esos
grupos.
La migración de clientes de Symantec Network Access Control 11.0 se bloquea

cuando se detecta cualquiera de los siguientes elementos de software:
■ Sygate Enforcement Agent 5.0
■ Sygate Protection Agent 5.0 y superior
■ Sygate Security Agent 3.x y 4.x
■ Todas las versiones de Whole Security Confidence Online Enterprise Edition
■ Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec AntiVirus
■ Todas las versiones de Symantec Enforcement Agent 5.1 y Symantec Client
Security
Acerca de las actualizaciones de Enforcer

Symantec Endpoint Protection Manager es compatible con los módulos Gateway,
DHCP Enforcer y LAN Enforcer de Symantec que se ejecutan en dispositivos de
hardware de versión 6100 solamente. Estos dispositivos admiten las versiones de
software 5.1, 5.1.5 y 11.x. Symantec Endpoint Protection Manager admite
solamente las versiones de software 5.1.5 y 11.x. Symantec Endpoint Protection
Manager no admite la versión de software 5.1. Tampoco se admiten las versiones
anteriores de Symantec Enforcer proporcionadas como software solamente.
Si su dispositivo Enforcer 6100 está ejecutando la versión 5.1 del software, es
necesario actualizar la imagen del software a la versión 5.1.5 o 11.x. Symantec
recomienda actualizar la imagen de la versión anterior del software a la versión
11.x a fin de utilizar la última versión. Todas las opciones de configuración de
Enforcer se almacenan en el servidor de Symantec Endpoint Protection, de forma
que la configuración de Enforcer se migra durante la migración del servidor.
Situaciones de migración de servidores

Migrar software de versiones anteriores de Symantec Sygate Enterprise Protection
tiene la misma complejidad que la arquitectura de red. Si tiene un servidor de
administración de una versión anterior que administre clientes, instale los últimos
componentes de administración en el equipo que ejecuta los componentes de
administración de Symantec Policy Manager 5.1. Eso es suficiente. Si hay
servidores adicionales de versiones anteriores que ejecutan la replicación,
deshabilite la replicación antes de la migración y vuelva a habilitarla después de
la migración.
Si hay servidores adicionales de versiones anteriores que ejecutan conmutación
por error o balanceo de carga, deshabilite el servicio de Symantec Policy Manager
en esos equipos. A continuación, migre los servidores uno por uno. Comience con
el servidor que usted instaló primero con el archivo de licencia y el secreto
precompartido. Después de que se migren los servidores, éstos administran
automáticamente los clientes de versiones anteriores. A continuación, utilice la
función de actualización automática para migrar los equipos cliente a la última
versión, que es la manera más fácil de migrar clientes.
Nota: Las situaciones del servidor admiten migraciones de Symantec Endpoint

Protection y de Symantec Network Access Control.
Migrar una instancia de instalación que utiliza un servidor de

administración
Migrar una instancia de instalación que utiliza un servidor de administración es
un proceso directo, ya que solamente se migra un sitio. Se instala Symantec
Endpoint Protection Manager en el equipo que ejecuta Symantec Sygate Enterprise
Protection. A continuación, proceda a actualizar su software de cliente. La base
de datos también se migra. No importa si la base de datos es mantenida por el
servidor de bases de datos integradas o por una instancia de Microsoft SQL Server
local o remoto.
Para migrar un sitio que utiliza un servidor de administración
◆ Migre su servidor de administración.
Ver "Migrar un servidor de administración" en la página 183.
Migrar una instancia de instalación que utiliza una base de datos de

Microsoft SQL y varios servidores de administración
Migrar una instancia de instalación que utiliza una base de datos y varios
servidores de administración tiene las tres implicaciones siguientes:
■ Los servidores de administración están configurados para el balanceo de carga
o la conmutación por error.
■ La base de datos se ejecuta en Microsoft SQL Server porque la conmutación
por error y el balanceo de carga sólo se admiten en Microsoft SQL Server.
■ La replicación no se realiza porque hay solamente una base de datos.
Todas las instancias de instalación tienen un sitio en el cual primero se instaló el
servidor de administración. Solamente uno de estos servidores de administración
fue instalado con una licencia y un secreto precompartido. Es necesario migrar
este servidor de administración primero. A continuación, migre los otros servidores
de administración instalados para la conmutación por error y el balanceo de carga.
Para migrar una instancia de instalación que utiliza una base de datos de Microsoft
SQL y varios servidores de administración
1 En todos los servidores de administración que no fueron instalados con la
licencia y el secreto precompartido, deshabilite el servicio de Symantec Policy
Manager con las Herramientas administrativas de Windows.
Ver "Detener los servidores antes de la migración de balanceo de carga y
conmutación por error" en la página 184.
2 Realice la autenticación e inicie sesión en el equipo que contiene la instancia
de Symantec Policy Manager instalada con la licencia y el secreto
precompartido.
No inicie sesión en Symantec Policy Manager.
3 Migre el servidor de administración.
4 Migre todos los servidores de administración adicionales uno por uno.
Migrar una instancia de instalación que utiliza varias bases de datos

integradas y servidores de administración
Migrar una instancia de instalación que utiliza varias bases de datos integradas
y servidores de administración tiene las dos implicaciones siguientes:
■ No se realiza conmutación por error ni balanceo de carga porque la base de

datos integrada no admite servidores de conmutación por error o balanceo de
carga.
■ Los servidores de administración están configurados solamente para
replicación, porque no es posible instalar varios servidores de bases de datos
integradas sin instalarlos como servidores de replicación.
Todos los sitios tienen un equipo en el cual primero se instaló el servidor de
administración. Solamente uno de estos servidores de administración fue instalado
con una licencia y un secreto precompartido. Es necesario migrar este servidor
de administración primero. A continuación, migre los otros servidores de
administración instalados para la replicación.
Para migrar una instancia de instalación que utiliza varias bases de datos integradas
y servidores de administración
1 En todos los servidores de administración, deshabilite la replicación.
Ver "Deshabilitar la replicación antes de la migración" en la página 184.
precompartido.
No inicie sesión en Symantec Policy Manager.
4 Migre todos los servidores de administración adicionales uno por uno.
5 Después de migrar los servidores, habilite la replicación en cada servidor.
Ver "Habilitar la replicación después de la migración" en la página 185.
Migrar una instancia de instalación que utiliza varias bases de datos

SQL y servidores de administración
Migrar un sitio que utiliza varias bases de datos SQL y servidores de administración
tiene las dos implicaciones siguientes:
■ Se configura la replicación porque utiliza varias bases de datos de Microsoft
SQL 2000.
■ Los servidores de administración pueden estar configurados para el balanceo
de carga o la conmutación por error.
Todos los sitios tienen un equipo en el cual primero se instaló el servidor de
administración. Solamente uno de estos servidores de administración fue instalado
con una licencia y un secreto precompartido. Es necesario migrar este servidor
Procedimientos de migración de servidores de administración
de administración primero. A continuación, migre los otros servidores de

administración instalados para la replicación, la conmutación por error y el
balanceo de carga.
Nota: Es posible tener una base de datos integrada que se replique con la base de
datos de Microsoft SQL. La base de datos integrada, sin embargo, no admite
servidores de conmutación por error y balanceo de carga.
Para migrar una instancia de instalación que utiliza varias bases de datos SQL y
servidores de administración
1 En todos los servidores de administración que realicen la replicación en una
base de datos, deshabilite la replicación.
Ver "Deshabilitar la replicación antes de la migración" en la página 184.
2 En todos los servidores de administración que realicen balanceo de carga y
conmutación por error para esa base de datos y que no fueron instalados con
la licencia y el secreto precompartido, deshabilite el servicio de Symantec
Policy Manager con las Herramientas administrativas de Windows.
Ver "Detener los servidores antes de la migración de balanceo de carga y
conmutación por error" en la página 184.
precompartido, pero no inicie sesión en Symantec Policy Manager.
5 Migre todos los servidores de administración adicionales que realicen
conmutación por error y balanceo de carga uno por uno.
6 Repita los pasos anteriores hasta que haya migrado todos los sitios.
7 Vuelva a habilitar la replicación en un sitio por vez hasta que todos los sitios
realicen replicación nuevamente.
Ver "Habilitar la replicación después de la migración" en la página 185.
Procedimientos de migración de servidores de

administración
Utilice estos procedimientos para migrar servidores y consolas de administración,
y bases de datos de administración que se basan en las situaciones correspondientes
a sus entornos y sitios. El orden en el cual usted sigue estos pasos depende de la
situación de la migración.
Ver "Situaciones de migración de servidores" en la página 179.
Migrar un servidor de administración

Es necesario migrar todos los servidores de administración antes de migrar
clientes. Si migra los servidores de administración en un entorno que admita
balanceo de carga, conmutación por error o replicación, es necesario preparar y
migrar los servidores de administración en un orden muy específico.
Ver "Situaciones de migración de servidores" en la página 179.
Advertencia: Identifique y siga su situación de migración para que la migración

no presente errores.
Si migra los servidores de Symantec Sygate Enterprise Protection que han

implementado políticas de integridad del host o protección de Enforcer, primero
instale Symantec Endpoint Protection Manager para Symantec Endpoint
Protection. A continuación, repita el procedimiento e instale Symantec Endpoint
Protection Manager para Symantec Network Access Control a fin de acceder a las
funciones de Integridad del host y de Enforcer.
Para migrar un servidor de administración
1 Inserte uno de los siguientes CD de instalación en el servidor que desea migrar
e inicie la instalación:
■ Symantec Endpoint Protection
■ Symantec Network Access Control

■ En el panel de Symantec AntiVirus, haga clic en Instalar Symantec
Endpoint Protection y después haga clic en Symantec Endpoint
Protection Manager.
■ En el panel de Symantec Network Access Control, haga clic en Instalar
Symantec Network Access Control y después haga clic en Symantec

4 Haga clic en las indicaciones de instalación hasta que la instalación comience.
La instalación inicial de archivos dura varios minutos.
5 En el panel Asistente de instalación finalizado, haga clic en Finalizar.
6 En el panel de bienvenida del Asistente para la actualización de servidores

de administración, haga clic en Siguiente.
7 En la indicación de información, haga clic en Continuar.
8 Cuando el Estado de actualización del servidor es correcto, haga clic en
Siguiente.
9 En el panel La actualización se realizó correctamente, haga clic en Finalizar.
10 Cuando aparece el panel de inicio de sesión de Symantec Endpoint Protection
Manager, inicie sesión en la consola usando sus credenciales de inicio de
sesión de la versión anterior.
11 (Opcional) Si necesita instalar Symantec Endpoint Protection Manager para
Symantec Network Access Control, cierre la sesión de Symantec Endpoint
Protection Manager. Después repita este procedimiento e instale Symantec
Endpoint Protection Manager para Symantec Network Access Control desde
el CD de instalación de Symantec Network Access Control.
No es necesario reiniciar el equipo, pero puede notar mejoras del rendimiento
si reinicia el equipo e inicia sesión.
Detener los servidores antes de la migración de balanceo de carga y

conmutación por error
Si tiene servidores de versiones anteriores de Symantec que realicen balanceo de
carga y conmutación por error, debe detener el servicio de Symantec Policy
Manager en todos esos servidores. Esto impide que los servidores de versiones
anteriores intenten actualizar la base de datos durante la migración, ya que no se
necesita que los servidores de versiones anteriores intenten actualizar la base de
datos actualizada.
Para detener los servidores que proporcionan balanceo de carga y conmutación
por error
administrativas.
2 En la ventana Servicios, bajo Nombre, desplácese hasta Symantec Policy
Manager y haga clic con el botón secundario sobre esta opción.
3 Haga clic en Detener.
Deshabilitar la replicación antes de la migración

Si tiene sitios de versiones anteriores de Symantec configurados para la replicación,
es necesario deshabilitar la replicación antes de la migración. Los sitios no deben
intentar replicar datos entre la base de datos de la versión anterior y la actualizada
durante la migración o después de ella. Es necesario deshabilitar la replicación

en cada sitio en que corresponda, lo cual significa que es necesario iniciar sesión
en al menos dos sitios e deshabilitar la replicación en ellos.
Para deshabilitar la replicación
1 Inicie sesión en la Consola Symantec Policy Management si no está conectado.
2 En la ficha Servidores, en el panel izquierdo, expanda Sitio local y después
expanda Asociados de replicación.
3 Para cada sitio que se mencione bajo Asociados de replicación, haga clic con
el botón secundario en el sitio y después haga clic en Eliminar.
4 En la indicación Eliminar asociado, haga clic en Sí.
5 Cierre sesión en la consola y repita este procedimiento en todos los sitios que
repliquen datos.
Habilitar la replicación después de la migración

Después de que usted migre todos los servidores que utilizaron la replicación, la
conmutación por error y el balanceo de carga, debe volver a habilitar la replicación.
Después de la migración, agregue un asociado de replicación para habilitar la
replicación. Sólo debe agregar asociados de replicación en el equipo en el que
instaló el servidor de administración. Los asociados de replicación aparecen
automáticamente en los otros servidores de administración.
Para habilitar la replicación después de la migración
el botón secundario en el sitio y después haga clic en Agregar asociado.
4 En el panel Agregar asociado de replicación, haga clic en Siguiente.
5 En el panel Información del sitio remoto, escriba la información que identifica
al asociado de replicación, escriba la información de autenticación y, luego,
6 En el panel Programar replicación, configure la programación para cuando
ocurra la replicación automáticamente y, luego, haga clic en Siguiente.
7 En el panel Replicación de paquetes de cliente y archivos de registro, active
los elementos para replicar y, luego, haga clic en Siguiente.
Replicar los paquetes implica generalmente grandes cantidades de requisitos
de tráfico y de almacenamiento.
Cambios de la interfaz y de las funciones del usuario de la consola después de la migración
8 En el panel Completar el Asistente para agregar asociados de replicación,

9 Repita este paso para todos los servidores de administración que replican
datos con este servidor de administración.
Cambios de la interfaz y de las funciones del usuario

de la consola después de la migración
Los siguientes cambios de las interfaces de usuario aparecen después de la
migración:
■ El menú Iniciar programa de Symantec Policy Manager se modifica en la
Consola de Symantec Endpoint Protection Manager.
■ El directorio de instalación y el nombre del servicio conservan el nombre de
versión anterior de Symantec Policy Manager y no cambian el nombre.
■ Las políticas de protección de SO de versión anterior aparecen como políticas
de protección de dispositivos de hardware.
■ Varios nuevos tipos de políticas están disponibles para LiveUpdate, AntiVirus
y AntiSpyware, y así sucesivamente. No es posible utilizar las nuevas políticas
hasta que migre los clientes.
■ Los paquetes de instalación de clientes de una versión anterior se quitan de la
base de datos de modo que no aparezcan en la consola migrada. Sin embargo,
estos paquetes aún permanecen en el directorio de paquetes de versión anterior.
Es necesario exportar los nuevos paquetes de instalación de clientes a un
directorio diferente.
■ El Programador de informes está disponible ahora desde la ficha Informes en
lugar del cuadro de diálogo Propiedades del sitio del servidor.
■ Se ha desaprobado la administración de la licencia y no se necesita más.
■ La Administración de paquetes está disponible ahora en el panel Servidores
en lugar de en el panel Administrador de clientes de una versión anterior.
■ Los componentes de la Biblioteca de políticas tales como Listas de servidores
de administración y Servicios de red están disponibles ahora en el panel
Políticas, en las listas de Políticas e identificados como Componentes de
políticas.
■ Las funciones de la ficha de Servidores y administradores se han consolidado
en el panel Administrador.
■ La migración del servidor depura todos los paquetes de instalación de clientes
de la base de datos. Estos paquetes ya no se admiten, y la eliminación de
Migrar consolas de administración remotas
paquetes no afecta a los clientes conectados. Esta purgación previene solamente

las nuevas implementaciones de los paquetes de clientes de una versión
anterior.
Migrar consolas de administración remotas

Para migrar consolas de administración remotas de versiones anteriores, se
instalan las últimas consolas de administración remotas en los equipos que
ejecutan las consolas de versiones anteriores. Los iconos de versiones anteriores
de Symantec Policy Manager y el menú de inicio del programa no se migran. Sin
embargo, cuando hace clic en el icono o elemento de menú, éstos muestran la
nueva indicación de inicio de sesión de Symantec Endpoint Protection Manager.
Las consolas de administración remotas de versiones anteriores descargan e
instalan Sun Java 1.4 runtime. Esta nueva versión de la consola de administración
remota descarga e instala Sun Java 1.5 al equipo remoto. Si no es necesario Sun
Java 1.4 runtime para ninguna otra aplicación, es posible quitarla con la utilidad
de Windows Agregar o quitar programas.
Para migrar consolas de administración remotas
1 En el equipo en el cual se instalará la consola de administración, inicie un
navegador Web.
2 En el cuadro URL, escriba uno de los identificadores siguientes para el equipo
que ejecuta el administrador de políticas:
■ http://nombre_equipo: 9090
■ http://dirección_IP_equipo: 9090
9090 es el puerto predeterminado, que puede modificarse en el archivo
tomcat\conf\server.xml.
3 En la ventana Consola Symantec Policy Management, haga clic en Aquí para
descargar e instalar JRE 1.5.
4 Responda y siga las indicaciones e inicie sesión en la Consola de Symantec
Acerca de la configuración de políticas migradas y

nuevas
La Consola de Symantec Endpoint Protection Manager permite administrar clientes
de versiones anteriores. Si migró a Symantec Endpoint Protection, la consola
también contiene las políticas migradas de firewall y de prevención de intrusiones
Acerca de la eliminación de la protección de contraseña del cliente de la configuración del grupo
que contienen la configuración anterior. Además, también están disponibles las

nuevas políticas. Como resultado, es necesario familiarizarse con las nuevas
políticas que afectan a sus grupos antes de migrar clientes de versiones anteriores.
Por ejemplo, si decide agregar protección antivirus y contra software espía a sus
clientes durante la migración, familiarícese con la configuración de la política
antivirus y contra software espía. La configuración de LiveUpdate y las políticas
de contenido de LiveUpdate también afectan a Symantec Endpoint Protection y
a Symantec Network Access Control. Como resultado, es necesario conocer
profundamente estas políticas y cómo afectan a sus grupos y ubicaciones antes
de la migración de clientes.
Acerca de la eliminación de la protección de

contraseña del cliente de la configuración del grupo
La configuración de los grupos se migra e incluye las opciones de protección de
contraseña del cliente del grupo. Si la configuración del grupo habilita una o más
contraseñas, por ejemplo para la desinstalación, la migración del cliente presentará
errores para ciertas versiones de MR. Se recomienda deshabilitar estas contraseñas
en los grupos migrados con la Consola de Symantec Endpoint Protection Manager
antes de migrar software de cliente de versiones anteriores. La configuración de
protección mediante contraseña aparece en Configuración general para cada
grupo. Es posible volver a habilitar estas contraseñas después de la migración.
Advertencia: Si no deshabilita la contraseña de desinstalación e implementa nuevos

paquetes de instalación de clientes, es posible que deba escribir esta contraseña
en cada equipo cliente para realizar la migración del cliente. Si implementa 100
o más clientes, puede tener que enviar por correo electrónico la contraseña a los
usuarios finales.
Migrar software de cliente de versiones anteriores

de Symantec Sygate
La manera más fácil de migrar software de Symantec Protection Agent y Symantec
Enforcement Agent es usando la función de actualización automática. Se admiten
el resto de los métodos de implementación de software de cliente, pero el enfoque
de actualización automática es la manera más fácil. La migración puede durar
hasta 30 minutos. Por lo tanto, es necesario migrar cuando la mayoría de los
usuarios no están conectados a sus equipos.
Migrar software de cliente de versiones anteriores de Symantec Sygate
Nota: Pruebe este enfoque de migración antes de distribuir la migración a una

gran cantidad de equipos. Es posible crear un nuevo grupo y colocar una pequeña
cantidad de equipos cliente en ese grupo.
Para migrar software de cliente

1 Inicie sesión en la Consola de Symantec Endpoint Protection Manager
recientemente migrada, si no está conectado.
2 Haga clic en Administrador > Paquetes de instalación.
3 En el panel inferior izquierdo, bajo Tareas, haga clic en Actualizar los grupos
con el paquete.
4 En el panel Bienvenido al Asistente para actualizar grupos, haga clic en
Siguiente.
5 En el panel Seleccionar paquete de instalación de clientes, en el menú
desplegable A continuación se enumeran los paquetes de cliente existentes,
realice una de las siguientes acciones:
■ Haga clic en Symantec Endpoint Protection <versión correspondiente>.
■ Haga clic en Symantec Network Access Control <versión
correspondiente>.
6 En el menú desplegable Seleccione a continuación la función personalizada,

haga clic en las funciones que usted desea instalar en sus clientes para la
migración y haga clic en Siguiente.
7 En el panel Especificar grupos, marque uno o más grupos que contengan los
equipos cliente que usted desea para migrar y haga clic en Siguiente.
8 En el panel Configuración de actualización de paquetes, marque Descargar
cliente desde el servidor de administración.
Nota: Es posible preparar y seleccionar opcionalmente un paquete en un

servidor Web.
9 Haga clic en Opciones de actualización.

10 En el cuadro de diálogo Agregar paquete de instalación de clientes, en General
y Notificación, especifique una programación de cuándo migrar los equipos
cliente, y especifique un mensaje que se mostrará a los usuarios durante la
migración.
11 Para obtener información sobre las opciones de estas fichas, haga clic en
Ayuda.
Migrar software de cliente de versiones anteriores de Symantec Sygate

13 En el cuadro de diálogo Instalar paquetes de cliente, haga clic en Siguiente.
14 En el panel Completando el Asistente para actualizar clientes, haga clic en
Finalizar.
Capítulo 9
Actualizar a los nuevos
productos de Symantec
■ Acerca de la actualización a nuevos productos de Symantec
■ Actualizar Symantec Endpoint Protection Manager
■ Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec

■ Acerca de actualizar clientes de Symantec Network Access Control con

Acerca de la actualización a nuevos productos de

Symantec
Symantec Endpoint Protection Manager admite la administración y la
implementación de los siguientes productos de Symantec:
Es posible actualizar Symantec Endpoint Protection con Symantec Network Access
Control y Symantec Network Access Control con Symantec Endpoint Protection.
Actualizar Symantec Endpoint Protection Manager

Para actualizar Symantec Endpoint Protection Manager para Symantec Endpoint
Protection, instale Symantec Endpoint Protection Manager para Symantec Network
192 Actualizar a los nuevos productos de Symantec
Access Control en los mismos equipos en los que ejecuta Symantec Endpoint
Protection Manager para Symantec Endpoint Protection.
Para actualizar Symantec Endpoint Protection Manager para Symantec Network
Access Control, instale Symantec Endpoint Protection Manager para Symantec
Endpoint Protection en los mismos equipos en los que ejecuta Symantec Endpoint
Protection Manager para Symantec Network Access Control.
Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection

Manager antes de actualizar la instalación existente de Symantec Endpoint
Protection Manager. Si no lo hace, dañará la instalación existente de Symantec
Realizar una copia de respaldo de la base de datos

Antes de la actualización, debe realizar una copia de respaldo de la base de datos.
Para realizar una copia de respaldo de la base de datos
> Herramientas de la base de datos de Symantec.
2 En el cuadro de diálogo Kit de herramientas de administración de Symantec,
haga clic en Realizar copia de respaldo de base de datos.
3 Cuando aparezca la indicación de Mensaje, haga clic en Aceptar.
4 En el cuadro de diálogo Kit de herramientas de administración de Symantec,
haga clic en Salir.
Deshabilitar la replicación
Si su sitio utiliza replicación, es necesario deshabilitarla antes de actualizar
Symantec Endpoint Protection Manager. Debe deshabilitar la replicación en cada
sitio en que se produzca.
Para deshabilitar la replicación
el botón secundario en el sitio y después haga clic en Eliminar.
Actualizar a los nuevos productos de Symantec 193
4 En la indicación Eliminar asociado, haga clic en Sí.

5 Cierre sesión en la consola y repita este procedimiento en todos los sitios que
repliquen datos.
Detener el servicio de Symantec Endpoint Protection Manager

Antes de realizar la actualización, debe detener manualmente el servicio de
Symantec Endpoint Protection Manager en cada servidor de administración de
su sitio. Después de que realice la actualización, el servicio se inicia
automáticamente.
Advertencia: Es necesario detener el servicio de Symantec Endpoint Protection

Manager antes de que realice este paso o se dañará la instalación existente de
Para detener el servicio de Symantec Endpoint Protection Manager

administrativas.
2 En la ventana Servicios, bajo Nombre, desplácese hasta Symantec Endpoint
Protection Manager y haga clic con el botón secundario sobre esta opción.
3 Haga clic en Detener.
4 Cierre la ventana Servicios.
Advertencia: Cierre la ventana Servicios o la actualización puede fallar.
5 Repita este paso para todos los Symantec Endpoint Protection Manager.

Es necesario actualizar todas las instancias de Symantec Endpoint Protection
Manager en los que detuvo el servicio de Symantec Endpoint Protection.
Para actualizar Symantec Endpoint Protection Manager
1 Inserte uno de los siguientes CD de instalación en el servidor que desea
actualizar e inicie la instalación:

■ En el panel Symantec Endpoint Protection, haga clic en Instalar Symantec

Endpoint Protection y, luego, haga clic en Symantec Endpoint Protection
Manager.
■ En el panel de Symantec Network Access Control, haga clic en Instalar
Symantec Network Access Control y después haga clic en Symantec
3 En el panel Asistente para la actualización, haga clic en Siguiente.

4 En el panel Información, haga clic en Continuar.
5 Cuando la actualización termine, haga clic en Siguiente.
6 En el panel La actualización se realizó correctamente, haga clic en Finalizar.
Habilitar la replicación después de la migración

Después de que migre todos los servidores que utilizaban la replicación, incluidos
los servidores que fueron configurados para la conmutación por error y el balanceo
de carga, debe volver a habilitar la replicación. Después de la migración, agregue
un asociado de replicación para habilitar la replicación. Sólo debe agregar asociados
de replicación en el equipo en el que instaló el servidor de administración. Los
asociados de replicación aparecen automáticamente en los otros servidores de
administración.
Para habilitar la replicación después de la migración
el botón secundario en el sitio y después haga clic en Agregar asociado.
4 En el panel Agregar asociado de replicación, haga clic en Siguiente.
5 En el panel Información del sitio remoto, escriba la información que identifica
sobre el asociado de replicación, escriba la información de autenticación y,
luego, haga clic en Siguiente.
6 En el panel Programar replicación, configure la programación para cuando
ocurra la replicación automáticamente y, luego, haga clic en Siguiente.
7 En el panel Replicación de paquetes de cliente y archivos de registro, active
los elementos para replicar y, luego, haga clic en Siguiente.
Replicar los paquetes implica generalmente grandes cantidades de requisitos
de tráfico y de almacenamiento.
Actualizar a los nuevos productos de Symantec 195
Acerca de actualizar clientes de Symantec Endpoint Protection con Symantec Network Access Control
8 En el panel Completar el Asistente para agregar asociados de replicación,

9 Repita este paso para todos los equipos que replican datos con este equipo.
Acerca de actualizar clientes de Symantec Endpoint

Protection con Symantec Network Access Control
Los clientes de Symantec Endpoint Protection incluyen Symantec Network Access
Control y no necesitan ser actualizados. Después de actualizar Symantec Endpoint
Protection Manager para Symantec Network Access Control, puede aplicar políticas
de integridad del host en sus clientes existentes.
Acerca de actualizar clientes de Symantec Network

Access Control con Symantec Endpoint Protection
Se actualizan los clientes de Symantec Network Access Control con la instalación
de Symantec Endpoint Protection en esos clientes. La instalación detecta
automáticamente el cliente de Symantec Network Access Control, lo quita y
después instala el software de cliente de Symantec Endpoint Protection. Es posible
implementar el software de cliente usando métodos de implementación de clientes
compatibles.
Acerca de actualizar clientes de Symantec Network Access Control con Symantec Endpoint Protection
Apéndice A
Funciones y propiedades de
instalación de Symantec
Endpoint Protection
En este Apéndice se incluyen los temas siguientes:
■ Acerca de las funciones y propiedades de instalación
■ Funciones y propiedades de la instalación de clientes
■ Parámetros de Windows Installer
■ Propiedades del Centro de seguridad de Windows
■ Acerca de la utilización del archivo de registro para comprobar errores
■ Identificación del punto de falla de una instalación
■ Ejemplos de línea de comandos
Acerca de las funciones y propiedades de instalación

Las funciones y propiedades de instalación son las cadenas que aparecen en
archivos de texto y líneas de comando. Los archivos de texto y las líneas de
comando se procesan durante todas las instalaciones de software de cliente para
Symantec Endpoint Protection. Las funciones de instalación controlan qué
componentes se instalan, y las propiedades de instalación controlan qué
subcomponentes se habilitan o se deshabilitan después de la instalación. Las
funciones y las propiedades de instalación están disponibles para el software del
cliente de Symantec Endpoint Protection solamente, y también están disponibles
para el sistema operativo Windows. Las funciones y las propiedades de instalación
198 Funciones y propiedades de instalación de Symantec Endpoint Protection
no están disponibles para el software de cliente de Symantec Network Access

Control, o para las instalaciones de Symantec Endpoint Protection Manager.
Las funciones y las propiedades de instalación se especifican en dos maneras:
como líneas en el archivo Setaid.ini y como valores en comandos de Windows
Installer (MSI). Los comandos de MSI se pueden especificar en cadenas de Windows
Installer y en vpremote.dat, para la implementación personalizada del Asistente
de implementación mediante transferencia. Los comandos de Windows Installer
y Setaid.ini se procesan siempre para todas las instalaciones de software de clientes
administrados. Si se especifican distintos valores para las mismas funciones y
valores, las funciones y los valores de Setaid.ini toman siempre precedencia,
porque este archivo se procesa último.
Por ejemplo, si una función de MSI especifica que se instalará el Firewall y
Prevención de intrusiones, y setaid.ini especifica que no se instale el Firewall y
Prevención de intrusiones, no se instalarán el Firewall ni Prevención de intrusiones.
Acerca de la configuración de Setaid.ini

Setaid.ini aparece en todos los paquetes de instalación. Setaid.ini toma siempre
precedencia sobre cualquier configuración que pueda aparecer en una cadena de
comando de MSI que se utilice para iniciar la instalación. Setaid.ini aparece en el
mismo directorio que setup.exe. Si exporta a un solo archivo .exe, no es posible
configurar Setaid.ini. Sin embargo, el archivo se configura automáticamente
cuando se exportan los archivos de instalación del cliente de Symantec Endpoint
Protection desde la consola.
Las líneas siguientes muestran algunas de las opciones que es posible configurar
en Setaid.ini. El valor 1 habilita una función y el valor 0 deshabilita una función.
[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=
[FEATURE_SELECTION]
Core=1
SAVMain=1
EmailTools=1
OutlookSnapin=1
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1
Funciones y propiedades de instalación de Symantec Endpoint Protection 199
COHMain=1
ITPMain=1
Firewall=1
Nota: Las funciones se muestran con sangría para mostrar jerarquía. Las funciones
no incluyen esta sangría dentro del archivo Setaid.ini. Los nombres de funciones
en Setaid.ini diferencian entre mayúsculas y minúsculas.
Ver "Funciones y propiedades de la instalación de clientes" en la página 200.

Los valores de funciones que se configuran en 1 instalan las funciones. Los valores
de funciones que se configuran en 0 no instalan las funciones. Es necesario
especificar e instalar las funciones principales correctamente para instalar las
funciones del cliente según las indicaciones del árbol de funciones.
Ver Figura A-1 en la página 200.
La única vez que Setaid.ini no se procesa es cuando se instala el software de cliente
con los archivos del directorio SAV del CD de instalación. Es posible instalar estos
archivos con herramientas de distribución de otros fabricantes, como SMS.
Es necesario también tener en cuenta las siguientes opciones de configuración de
setaid.ini que asignan propiedades de MSI para la instalación del cliente de
Symantec Endpoint Protection:
■ DestinationDirectory se asigna a INSTALLDIR
■ KeepPreviousSetting se asigna a MIGRATESETTINGS
■ AddProgramIntoStartMenu se asigna a ADDSTARTMENUICON
Acerca de la configuración de cadenas de comando de MSI

El software de instalación de Symantec Endpoint Protection utiliza paquetes de
Windows Installer (MSI) 3.1 para la instalación y la implementación. Si utiliza la
línea de comandos para instalar o para implementar un paquete de instalación,
puede personalizar la instalación con los parámetros estándar de Windows Installer
y las funciones y propiedades específicas de Symantec.
Para utilizar este programa de instalación de Windows, se necesitan privilegios
elevados. Si se intenta realizar la instalación sin los privilegios elevados, el proceso
fallará sin que se muestre ninguna notificación. Para obtener la información más
actualizada acerca de los parámetros y los comandos de instalación de Symantec,
consulte la base de conocimientos del sitio Web de Symantec.
Funciones y propiedades de la instalación de clientes
Nota: No se admite la función de anuncios de Microsoft Installer. Las funciones y

propiedades especificadas en Setaid.ini tienen precedencia sobre las funciones y
propiedades especificadas por MSI. Los nombres de las funciones y propiedades
en los comandos de MSI diferencian entre mayúsculas y minúsculas.

Las funciones y las propiedades de la instalación de clientes afectan las
instalaciones de clientes de Symantec Endpoint Protection.
Funciones del cliente de Symantec Endpoint Protection

Las funciones de Symantec Endpoint Protection pueden instalarse especificándolas
en archivos Setaid.ini y en comandos de MSI. La mayoría de las funciones tienen
una relación de elemento principal y secundario. Si desea instalar una función
secundaria que tenga una función principal, es necesario también instalar la
función principal.
La Figura A-1 ilustra el árbol de funciones para el software de cliente de Symantec
Figura A-1 Árbol de funciones
El árbol de funciones muestra cuatro funciones primarias a la izquierda. Siempre

se debe especificar la función Core para la instalación, pues contiene las funciones
base de comunicaciones de los clientes. Las otras tres funciones se pueden instalar
como funciones independientes. SAVMain instala la protección antivirus y contra
software espía, PTPMain instala la protección proactiva contra amenazas e
ITPMain instala la protección contra amenazas de red.
Nota: COHMain y DCMain necesitan dos servidores principales. COHMain, que es

el Análisis de amenazas proactivo, necesita PTPMain y SAVMain. DCMain, que
es el Control de aplicaciones y dispositivos, necesita PTPMain e ITPMain.
Para setaid.ini y MSI, si usted especifica una función secundaria, pero no especifica
su función principal, la función secundaria se instala. Sin embargo, la función no
podrá utilizarse porque la función principal no está instalada. Por ejemplo, si
especifica la instalación de la función de firewall, pero no especifica la instalación
de ITPMain, su función principal, el firewall no se instala.
La Tabla A-1 describe las funciones que se pueden instalar para la instalación del
cliente de Symantec Endpoint Protection, junto con cualquier propiedad disponible.
Tabla A-1 Funciones del cliente de Symantec Endpoint Protection
Función Descripción Funciones principales

obligatorias
Core Instala los archivos que se utilizan Ninguno

para las comunicaciones entre los
clientes y Symantec Endpoint
Protection Manager. Esta función
es obligatoria.
SAVMain Instala los archivos de las funciones Ninguno

antivirus y contra software espía
básicas.
SymProtectManifest Instala la función Protección contra Ninguno

intervenciones.
EmailTools Instala los archivos básicos de la SAVMain

función Auto-Protect para el correo
electrónico.
NotesSnapin Instala la función de correo SAVMain, EmailTools

electrónico de Auto-Protect para
Lotus Notes.
OutlookSnapin Instala la función de correo SAVMain, EmailTools

electrónico de Auto-Protect para
Microsoft Exchange.
Pop3Smtp Instala la función Auto-Protect para SAVMain, EmailTools

correo electrónico de Internet.
Función Descripción Funciones principales

obligatorias
PTPMain Instala los archivos básicos de la Ninguno

función de Protección proactiva
contra amenazas.
COHMain Instala la función Análisis de PTPMain, SAVMain

amenazas proactivo.
DCMain Instala la función Control de PTPMain, ITPMain

aplicaciones y dispositivos.
ITPMain Instala los archivos básicos de la Ninguno

función de Protección contra
amenazas de red.
Firewall Instala la función del firewall. IPTMain
Propiedades de la instalación de clientes de Symantec Endpoint

Protection
La Tabla A-2 describe las propiedades de instalación que pueden configurarse
para SAVMain y SymProtect.
Tabla A-2 Propiedades de la instalación de clientes de Symantec Endpoint

Protection
Propiedad Descripción
RUNLIVEUPDATE=<valor> Determina si se debe ejecutar LiveUpdate como parte de la instalación,

donde <valor> corresponde a uno de los valores siguientes:
■ 1: ejecuta LiveUpdate durante la instalación (configuración

predeterminada).
■ 0: no ejecuta LiveUpdate durante la instalación.
De forma predeterminada, todos los clientes de Symantec Endpoint

Protection en un grupo reciben las últimas versiones de todo el
contenido y de todas las actualizaciones del producto. Si se configura
un grupo de clientes para que obtenga actualizaciones de un servidor
de administración, los clientes reciben sólo las actualizaciones que
el servidor está configurado para descargar. Si la política de contenido
de LiveUpdate se configura para permitir todas las actualizaciones,
pero el servidor de administración no se configura para descargar
todas las actualizaciones, los clientes reciben sólo lo que el servidor
descarga.
Parámetros de Windows Installer
ENABLEAUTOPROTECT=<valor> Determina si Auto-Protect para el sistema de archivos está activado

una vez finalizada la instalación, donde <valor> corresponde a uno
de los valores siguientes:
■ 1: habilita Auto-Protect después de la instalación (valor
predeterminado).
■ 0: deshabilita Auto-Protect después de la instalación.
SYMPROTECTDISABLED=<valor> Determina si se debe habilitar Protección contra intervenciones como

parte de la instalación, donde <valor> corresponde a uno de los valores
siguientes:
■ 1: deshabilita Protección contra intervenciones después de la

instalación.
■ 0: habilita Protección contra intervenciones después de la
instalación (valor predeterminado).

Los paquetes de instalación de Symantec Endpoint Protection emplean los
parámetros estándar de Windows Installer junto a un conjunto de extensiones
para la instalación y la implementación desde la línea de comandos. Consulte la
documentación de Windows Installer para obtener información adicional acerca
del uso de los parámetros estándar de Windows Installer. Es posible también
ejecutar msiexec.exe desde una línea de comandos para ver la lista completa de
parámetros.
La Tabla A-3 describe el grupo de parámetros básicos que se utilizan para las
instalaciones de clientes de Symantec Endpoint Protection.
Tabla A-3 Comandos
Parámetro Descripción
Symantec AntiVirus.msi Archivo de instalación de Symantec AntiVirus.msi para el cliente de Symantec

Endpoint Protection. Si algún archivo .msi contiene espacios, escriba el nombre
del archivo entre comillas cuando se utilice con /I y /x.
Obligatorio.
Msiexec Archivo ejecutable de Windows Installer.
Obligatorio.
/I <"nombre de archivo Instala el archivo .msi especificado. Si el nombre del archivo contiene espacios,
msi"> escriba el nombre entre comillas. Si el archivo .msi no está en el mismo directorio
desde el que se ejecuta Msiexec, especifique el nombre de la ruta de acceso. Si el
nombre de la ruta de acceso contiene espacios, escríbalo entre comillas. Por ejemplo,
msiexec.exe /I “C: <ruta a> Symantec AntiVirus .msi”
Obligatorio.
/qn Permite realizar la instalación de forma silenciosa.
/x <"nombre de archivo Permite desinstalar los componentes especificados.

msi">
Opcional.
/qb Permite instalar con una interfaz de usuario básica que muestra el progreso de la
instalación.
Opcional.
/l*v <archivo de Crea un archivo de registro detallado, donde <archivo de registro> corresponde al
registro> nombre del archivo que se quiere crear.
Opcional.
INSTALLDIR=<ruta> Permite designar una ruta personalizada en el equipo de destino, donde <ruta>
corresponde al directorio de destino especificado. Si la ruta incluye espacios, deberá
escribirla entre comillas.
Nota: El directorio predeterminado es C:\Program Files\Symantec Endpoint
Protection.
Opcional.
REBOOT=<valor> Controla el reinicio del equipo tras la instalación, donde <valor> corresponde a un
argumento válido.
Los argumentos válidos son:
■ Force: exige que se reinicie el equipo. Necesario para la desinstalación.

■ Suppress: impide que se reinicie el equipo en la mayoría de las ocasiones.
■ ReallySuppress: impide todos los reinicios como parte del proceso de instalación,
incluso las instalaciones silenciosas.
Opcional.
Nota: Utilice ReallySuppress para suprimir un reinicio cuando se realiza una
desinstalación silenciosa del cliente de Symantec Endpoint Protection.
Propiedades del Centro de seguridad de Windows
ADDLOCAL= <función> Permite seleccionar las funciones que se quieren instalar, donde <función>
corresponde a un componente específico o a una lista de componentes. Si esta
propiedad no se utiliza, todas las funciones aplicables se instalan de forma
predeterminada, y los clientes de correo electrónico de Auto-Protect se instalan
sólo para los programas de correo detectados.
Para agregar todas las funciones apropiadas para las instalaciones de clientes,
utilice el comando ALL como en ADDLOCAL=ALL.
Ver "Funciones del cliente de Symantec Endpoint Protection" en la página 200.

Nota: Cuando especifique una nueva función para instalarla, deberá incluir los
nombres de las funciones que ya estén instaladas en el equipo de destino y que
quiera conservar. Si no se especifican las funciones que se quieren conservar,
Windows Installer las desinstala. Al especificar las funciones existentes, no se
sobrescriben las funciones instaladas. Para desinstalar una función existente, utilice
el comando REMOVE.
Opcional.
REMOVE=<función> Desinstala un programa instalado previamente o una función específica del

programa instalado, donde <función> puede corresponder a uno de los siguientes
elementos:
■ <función>: desinstala la función o la lista de funciones del equipo de destino.

■ ALL: desinstala el programa y todas las funciones instaladas. Si no se especifica
otra función, All es el valor predeterminado.
Opcional.
Propiedades del Centro de seguridad de Windows

Es posible personalizar las propiedades del Centro de seguridad de Windows (WSC,
Windows Security Center) durante la instalación del cliente de Symantec Endpoint
Protection. Estas propiedades se aplican sólo a clientes no administrados. Symantec
Policy Manager controla estas propiedades para los equipos cliente administrados.
La Tabla A-4 describe las propiedades que se pueden configurar para controlar la
interacción entre usuarios y el Centro de seguridad de Windows (WSC) que se
ejecuta en Windows XP con Service Pack 2.
Acerca de la utilización del archivo de registro para comprobar errores
Tabla A-4 Propiedades del Centro de seguridad de Windows
WSCCONTROL=<valor> Controla WSC, donde <valor> corresponde a uno de

los valores siguientes:
■ 0: no controlar (valor predeterminado).

■ 1: deshabilitar uno, la primera vez que se
detecta.
■ 2: deshabilitar siempre.
■ 3: restaurar si está deshabilitado.
WSCAVALERT=<valor> Configura alertas de antivirus para WSC, donde

<valor> corresponde a uno de los valores siguientes:
■ 0: habilitar.
■ 1: deshabilitar (valor predeterminado).
■ 2: no controlar.
WSCFWALERT=<valor> Configura alertas de firewall para WSC, donde

<valor> corresponde a uno de los valores siguientes:
■ 0: habilitar.
■ 1: deshabilitar (valor predeterminado).
■ 2: no controlar.
WSCAVUPTODATE=<valor> Configura el tiempo de desactualización de WSC

para definiciones antivirus, donde <valor>
corresponde a uno de los valores siguientes:
1 - 90: número de días (el valor predeterminado es
30).
DISABLEDEFENDER=<valor> Determina si se deshabilita Windows Defender

durante la instalación, donde <valor> corresponde
a uno de los valores siguientes:
■ 1: deshabilita Windows Defender (configuración

predeterminada).
■ 0: no deshabilita Windows Defender.
Acerca de la utilización del archivo de registro para

comprobar errores
Windows Installer y el Asistente de implementación mediante transferencia crean
archivos de registro que se pueden utilizar para verificar si una instalación se
Identificación del punto de falla de una instalación
realizó correctamente. En los archivos de registro se enumeran los componentes

que se instalaron correctamente y se brindan detalles relacionados con el paquete
de instalación. Estos archivos también pueden emplearse como una herramienta
eficaz para solucionar las instalaciones que fallen.
Si la instalación se realiza correctamente, se indicará con una entrada en el archivo
de registro cerca del final. Si la instalación no es correcta, una entrada indica que
la instalación falló. Típicamente, busque Value 3 para encontrar incidentes. Se
especifica el archivo de registro y la ubicación con el parámetro /l*v <nombre de
archivo de registro>. El archivo de registro (vpremote.log) que se crea cuando
se utiliza el Asistente de implementación mediante transferencia se encuentra
en el directorio \\Windows\temp.
Nota: Cada vez que se ejecuta el paquete de instalación, se sobrescribe el archivo

de registro. No se permite añadir registros al final de un archivo de registro
existente.
Identificación del punto de falla de una instalación

Puede utilizar el archivo de registro como ayuda para identificar el componente
o la acción que hace que falle una instalación. Si no es posible determinar el motivo
del error, es necesario conservar el archivo de registro. Proporcione el archivo al
soporte técnico de Symantec, si se le solicita.
Para identificar el punto de falla de una instalación
1 En un programa de edición de texto, abra el archivo de registro que generó
la instalación.
2 Busque lo siguiente:
Value 3
Lo más probable es que la acción que haya tenido lugar antes de la línea que
contenga esta entrada sea la que haya causado la falla. Las líneas que aparecen
después de esta entrada corresponden a los componentes cuya instalación
se ha revertido debido a que ha fallado el proceso.
Ejemplos de línea de comandos

La Tabla A-5 incluye ejemplos comunes de línea de comandos.
Ejemplos de línea de comandos
Tabla A-5 Ejemplos de línea de comandos
Tarea Línea de comando
Instalar silenciosamente todos los componentes de cliente msiexec /I "Symantec AntiVirus.msi"

de Symantec Endpoint Protection con las opciones INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v
predeterminadas en el directorio C:\SFN. c:\temp\msi.log
Suprimir un reinicio del equipo y crear un archivo de

registro detallado.
Instalar silenciosamente el cliente de Symantec Endpoint msiexec /I "Symantec AntiVirus.msi"

Protection con protección antivirus y contra software ADDLOCAL=Core,SAVMain,EmailTools,OutlookSnapin,
espía y con la protección contra amenazas de red. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log
Crear un archivo de registro detallado.
El equipo se debe reiniciar para implementar la protección

contra amenazas de red.
Apéndice B
Actualizar el software de
cliente de Symantec
■ Acerca de las actualizaciones y los parches
■ Actualizar el software de cliente de Symantec
Acerca de las actualizaciones y los parches

Para comprender las actualizaciones y los parches, es necesario entender dos
términos de Windows Installer, MSI y MSP. Estos términos no son siglas. MSI es
un tipo de archivo y extensión. MSI es también un término común que se utiliza
para describir un paquete de instalación completo que se instala con Windows
Installer. MSP es un tipo de archivo y extensión, y es un término común utilizado
para describir un parche para un paquete de instalación de MSI. El MSP no puede
ser aplicado a menos que el MSI en el que se basa el parche esté disponible o
instalado en un equipo cliente.
Periódicamente, Symantec crea versiones de mantenimiento para el software de
cliente de Symantec. Cada versión de mantenimiento está disponible en dos formas,
MSI y MSP. La forma MSI incluye el paquete completo de instalación de archivos.
La forma MSP incluye solamente los archivos de instalación que deben actualizarse
en la nueva versión de mantenimiento. En la forma MSP, se asume que la versión
de mantenimiento actual está instalada en el equipo cliente y que se puede aplicar
un parche a la última versión.
Cuando los clientes reciben actualizaciones del producto de Symantec o de los
servidores internos de LiveUpdate, reciben y procesan los archivos MSP. Cuando
los clientes reciben actualizaciones del producto de Symantec Endpoint Protection
Manager, reciben y procesan una tercera forma de actualización, que se llama
210 Actualizar el software de cliente de Symantec
Actualizar el software de cliente de Symantec
microdef. Symantec Endpoint Protection Manager recibe y procesa los archivos

MSP de un servidor de LiveUpdate y entonces reconstruye y almacena los archivos
MSI. A continuación, genera la diferencia entre los archivos MSI originales y los
archivos modificados, que se denomina microdef, y después actualiza los clientes
con los microdefs.

Es posible actualizar el software de cliente del producto de Symantec
automáticamente con un permiso de actualizaciones de producto con una Política
de configuración de LiveUpdate. Cuando se permiten las actualizaciones del
producto, los microdefs o los parches del producto se instalan en los clientes
cuando los usuarios hacen clic en LiveUpdate o cuando se ejecuta una sesión
programada de LiveUpdate. Cuando se niegan las actualizaciones del producto,
el software de cliente no se actualiza, incluso si otro producto de Symantec ejecuta
LiveUpate en el equipo cliente. Cuando se niegan las actualizaciones del producto,
el software de cliente se puede actualizar sólo manualmente con la Consola de
Cuando se descarga Symantec Endpoint Protection Manager y se aplican parches
a los procesos, se crea un microdef, que aparece automáticamente como un nuevo
paquete. El nuevo paquete aparece en el panel Paquetes de instalación de clientes.
Es posible entonces seleccionar el paquete y actualizar los grupos y las ubicaciones
manualmente con la función Actualizar los grupos con el paquete.
Nota: Si la política de configuración de LiveUpdate especifica que los clientes

descargan actualizaciones de Symantec Endpoint Protection Manager o de un
Proveedor de actualizaciones de grupo, las actualizaciones tienen la forma de
microdefs. Si la política de configuración de LiveUpdate especifica que los clientes
descargan actualizaciones de un servidor de LiveUpdate, las actualizaciones tienen
la forma de archivos MSP (parche).

Políticas.
2 Bajo Ver políticas, haga clic en encendido y destaque LiveUpdate.
3 En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la política.
4 En el panel derecho, en la ficha Configuración de LiveUpdate, haga clic en
encendido y destaque Política de LiveUpdate.
5 En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la política.
Actualizar el software de cliente de Symantec 211
6 Bajo Política de LiveUpdate, haga clic en Configuración avanzada.

7 En el panel Configuración avanzada, bajo Descargar actualizaciones del
producto usando LiveUpdate, realice una de las siguientes acciones:
■ Para actualizar automáticamente el software de cliente, marque Descargar
actualizaciones del producto usando LiveUpdate.
■ Para actualizar manualmente el software de cliente con la función
Actualizar grupos con la función de paquete con la Consola de Symantec
Endpoint Protection Manager, desmarque Descargar actualizaciones del
producto usando LiveUpdate.
8 Haga clic en Aceptar y, luego, aplique la política a un grupo o una ubicación

en un grupo.
212 Actualizar el software de cliente de Symantec
Apéndice C
Recuperación después de
un desastre
■ Cómo prepararse para la recuperación después de un desastre
■ Acerca del proceso de recuperación después de un desastre
■ Restaurar Symantec Endpoint Protection Manager
■ Restaurar el certificado del servidor
■ Restaurar comunicaciones de clientes
Cómo prepararse para la recuperación después de

un desastre
Para realizar la recuperación después de un desastre, es necesario prepararse
para ello. Para prepararse, debe recolectar archivos e información durante la
instalación de Symantec Endpoint Protection Manager y después de ella. Por
ejemplo, debe documentar su clave precompartida durante la instalación y localizar
y trasladar el archivo de almacén de claves a una ubicación segura.
La Tabla C-1 enumera y describe las tareas de alto nivel necesarias para prepararse
para la recuperación después de un desastre.
214 Recuperación después de un desastre
Cómo prepararse para la recuperación después de un desastre
Tabla C-1 Tareas que se deben realizar para prepararse para la recuperación
después de un desastre
Tarea Información adicional
Haga una copia de respaldo de la base de El directorio de la copia de respaldo de la

datos regularmente, preferiblemente de base de datos es \\Program Files\Symantec\
forma semanal, y almacene las copias de Symantec Endpoint Protection
respaldo en un lugar apartado. Manager\data\backup. El archivo de copia
de respaldo se denomina <fecha>_<marca
de hora>.zip.
Localice su archivo de almacén de claves y Durante la instalación, se realiza una copia

su archivo server.xml. de respaldo de estos archivos en el directorio
denominado \\Program Files\Symantec\
El nombre del archivo del almacén de claves
es keystore_<marca de hora>.jks. El almacén
Manager\Server Private Key Backup.
de claves contiene los pares de claves
privadas/públicas y el certificado Es posible también hacer una copia de
autofirmado. El nombre de archivo respaldo de estos archivos desde el panel
server.xml es server_<marca de hora>.xml. Administrador de la Consola de Symantec
Cree y abra un archivo de texto con un La contraseña se utiliza para storepass y

programa de edición de texto. Asigne al keypass. Storepass protege el archivo JKS.
archivo el nombre Backup.txt, o un nombre Keypass protege la clave privada. Estas
similar. Abra server.xml, busque la contraseñas se escriben para restaurar el
contraseña keystorepass, cópiela y péguela certificado.
en el archivo de texto.
La cadena de la contraseña tiene el siguiente
Deje el archivo de texto abierto. formato:
keystorePass="WjCUZx7kmX$qA1u1". Copie
y pegue la cadena que está entre comillas.
No incluya las comillas.
Recuperación después de un desastre 215
Cómo prepararse para la recuperación después de un desastre
Si tiene solamente un dominio, busque y Los ID de dominio son obligatorios si no tiene

copie el archivo sylink.xml desde un una copia de respaldo de la base de datos.
directorio en \\Program Files\Symantec\ Este ID está en el archivo sylink.xml de los
Symantec Endpoint Protection equipos cliente en cada dominio.
Manager\data\outbox\agent\. A
continuación, péguelo en \\Program
Files\Symantec\ Symantec Endpoint
Protection Manager\Server Private Key
Backup\.
Si tiene varios dominios, para cada dominio,

busque y copie un archivo sylink.xml en un
equipo cliente y péguelo en \\Program
Files\Symantec\ Symantec Endpoint
Protection Manager\Server Private Key
Backup.
Abra cada archivo sylink.xml, busque el ID Se agrega este ID a un nuevo dominio que
de dominio, cópielo y péguelo en el archivo usted cree para que contenga los clientes
de texto Backup.txt. existentes.
La cadena del archivo sylink.xml tiene el

siguiente formato:
DomainId="B44AC676C08A165009ED819B746F1".
Copie y pegue la cadena que está entre
comillas. No incluya las comillas.
En el archivo Backup.txt, escriba la Se vuelve a escribir esta clave cuando se

contraseña de cifrado que utilizó cuando reinstala Symantec Endpoint Protection
usted instaló el primer sitio en la instancia Manager. Es necesario volver a escribir la
de instalación. clave idéntica si no tiene una copia de
respaldo de la base de datos para restaurar.
No es obligatorio si tiene una copia de
respaldo de la base de datos para restaurar,
pero igual es recomendable.
En el archivo de texto Backup.txt, escriba la Si ocurre un problema de hardware

dirección IP y el nombre de host del equipo irreversible, es necesario reinstalar
que ejecuta Symantec Endpoint Protection Symantec Endpoint Protection Manager en
Manager. un equipo que tenga la misma dirección IP
y nombre de host.
Acerca del proceso de recuperación después de un desastre
En el archivo Backup.txt, escriba el nombre Mientras que el nombre del sitio no se

del sitio que identifica a Symantec Endpoint necesita terminantemente para la
Protection Manager. reinstalación, ayuda a crear una restauración
coherente.
Guarde y cierre el archivo Backup.txt, que
ahora contiene la información esencial
necesaria para la recuperación después de
un desastre.
Copie estos archivos en soportes extraíbles Después de proteger los archivos, es

y almacene los soportes en una ubicación necesario quitarlos del equipo que ejecuta
segura, preferiblemente en una caja fuerte. Symantec Endpoint Protection Manager.
La Figura C-1 ilustra un archivo de texto que contiene la información necesaria

para realizar una correcta recuperación después de un desastre.
Figura C-1 Archivo de texto bien formado para recuperación después de un

desastre
Si crea este archivo, es posible copiar y pegar esta información cuando sea
necesario durante la recuperación después de un desastre.
Acerca del proceso de recuperación después de un

desastre
El proceso de recuperación después de un desastre implica realizar secuencialmente
los tres pasos siguientes:
■ Restaure Symantec Endpoint Protection Manager
Restaurar Symantec Endpoint Protection Manager
■ Restaure el certificado del servidor

■ Restaure las comunicaciones de los clientes
Cómo restaurar las comunicaciones de los clientes depende de si tiene acceso a
una copia de respaldo de la base de datos.
Restaurar Symantec Endpoint Protection Manager

En caso de que se produzca un desastre, recupere los archivos que fueron
asegurados después de la instalación inicial. A continuación, abra el archivo
Backup.txt que contiene las contraseñas, los ID del dominio y así sucesivamente.
Acerca de identificar el equipo nuevo o reconstruido

Si se produjo una falla de hardware catastrófica, es posible que deba reconstruir
el equipo. Si reconstruye el equipo, debe asignarle la dirección IP y el nombre del
host originales. Esta información se debe encontrar en el archivo Backup.txt.
Volver a instalar Symantec Endpoint Protection Manager

La tarea principal que debe realizar cuando vuelva a instalar Symantec Endpoint
Protection Manager es escribir el nombre de clave precompartido que usted utilizó
para la instalación del anterior Symantec Endpoint Protection Manager.
Para volver a instalar Symantec Endpoint Protection Manager
1 Inserte el CD de instalación e inicie la instalación de Symantec Endpoint
Protection Manager.
2 En el panel de bienvenida, marque Instalar mi primer sitio y después haga
clic en Siguiente.
3 Continúe con la instalación hasta que el sistema le solicite la clave
precompartida.
4 En el panel Información del sitio, en los cuadros Contraseña de cifrado, escriba
el nombre de la contraseña que está en el archivo de texto.
Si está realizando la restauración sin una copia de respaldo de la base de
datos, la restauración fallará si no escribe la contraseña correctamente.
Restaurar el certificado del servidor
6 Cuando el sistema se lo solicite, reconstruya el mismo tipo de base de datos

y continúe con la instalación hasta que aparezca el panel del Asistente para
la instalación del servidor de administración: Configuración finalizada.
7 En el panel Configuración finalizada, bajo ¿Desea ejecutar el Asistente para
migración y distribución ahora? , marque No y después haga clic en Finalizar.
Restaurar el certificado del servidor

El certificado del servidor es un almacén de claves Java que contiene el certificado
público y los pares de claves pública y privada. Es necesario escribir la contraseña
que contiene el archivo de Backup.txt. La contraseña está también en el archivo
server_<marca de hora>.xml.
Para restaurar el certificado del servidor
1 Inicie sesión en la Consola y después haga clic en Administrador.
2 En el panel Administrador, bajo Tareas, haga clic en Servidores.
3 Bajo Ver servidores, expanda Sitio local y después haga clic en el nombre del
equipo que identifica el sitio local.
4 Bajo Tareas, haga clic en Administrar certificado del servidor.
6 En el panel Administrar certificado del servidor, marque Actualizar el
certificado del servidor y después haga clic en Siguiente.
7 Bajo Seleccione el tipo de certificado para importar, marque Almacén de
claves JKS y después haga clic en Siguiente.
Si ha implementado otro tipo de certificado, seleccione ese tipo.
8 En el panel Almacén de claves JKS, haga clic en Examinar, busque y seleccione
el archivo de almacén de claves keystore_<marca de hora>.jks incluido en la
copia de respaldo y después haga clic en Aceptar.
9 Abra su archivo de texto de recuperación después de un desastre y seleccione
y copie la contraseña del almacén de claves.
10 Active el cuadro de diálogo Almacén de claves JKS y pegue la contraseña del
almacén de claves en los cuadros Almacén de claves y Clave.
El único mecanismo de pegado compatible es Ctrl + V.
Si recibe un mensaje de error que diga que hay un archivo no válido de almacén
de claves, probablemente haya escrito contraseñas no válidas. Reintente
copiar y pegar la contraseña. Este mensaje de error es engañoso.
Restaurar comunicaciones de clientes
12 En el panel Completado, haga clic en Finalizar.

13 Cierre la sesión en la Consola.
administrativas > Servicios.
Symantec Endpoint Protection Manager y después haga clic en Detener.
No cierre la ventana Servicios hasta que haya terminado con la recuperación
después de un desastre y vuelva a establecer comunicaciones de clientes.
16 Haga clic con el botón secundario en Symantec Endpoint Protection Manager
y después haga clic en Inicio.
Al detener e iniciar Symantec Endpoint Protection Manager se restaura
completamente el certificado.

Si tiene acceso a una copia de respaldo de la base de datos, puede restaurar dicha
base de datos y después reanudar las comunicaciones de los clientes. La ventaja
sobre la restaruación con una copia de respaldo de la base de datos es que los
clientes reaparecen en sus grupos y están sujetos a las políticas originales. Si no
tiene acceso a una copia de respaldo de la base de datos, es posible aún recuperar
las comunicaciones con sus clientes, pero éstos aparecen en el grupo temporal.
Es posible entonces reconstruir la estructura del grupo y de las políticas.
Restaurar comunicaciones de clientes con una copia de respaldo de

la base de datos
No es posible restaurar una base de datos en un equipo que ejecute un servicio
activo de Symantec Endpoint Protection Manager, por lo tanto, es necesario
detenerlo e iniciarlo algunas veces.
Para restaurar las comunicaciones de clientes con una copia de respaldo de la base
de datos
1 Si cerró la ventana Servicios, haga clic en Inicio > Configuración > Panel de
control > Herramientas administrativas > Servicios.
Symantec Endpoint Protection Manager y después haga clic en Detener.
No cierre la ventana Servicios hasta que haya terminado con este paso.
3 Cree el directorio siguiente:

\\Program Files\Symantec\Symantec Endpoint Protection
Manager\data\backup
4 Copie el archivo de la copia de respaldo de la base de datos en el directorio.

De forma predeterminada, el archivo de la copia de respaldo de la base de
datos recibe el nombre de <fecha>_<marca de hora> .zip.
> Copia de respaldo y restauración de la base de datos.
haga clic en Restaurar.
7 En el cuadro de diálogo Restaurar sitio, seleccione el archivo de respaldo que
usted copió al directorio de copia de respaldo y después haga clic en Aceptar.
El tiempo de restauración de la base de datos varía y depende del tamaño de
la base de datos.
8 Cuando aparezca la indicación de Mensaje, haga clic en Aceptar.
9 Haga clic en Salir.
> Asistente para la configuración del servidor de administración.
11 En el panel de bienvenida, haga clic en Volver a configurar el servidor de
administración y, a continuación, en Siguiente.
12 En el panel Información de servidor, modifique los valores de la entrada de
información, si fuera necesario, para que coincida con las entradas de
información anteriores y, luego, haga clic en Siguiente.
13 En el panel Elección del servidor de bases de datos, active el tipo de base de
datos para que coincida con el tipo anterior y, luego, haga clic en Siguiente.
14 En el panel Información de la base de datos, modifique e inserte los valores
de la entrada de información para que coincida con las entradas de
información anteriores, y luego haga clic en Siguiente.
La configuración puede tardar varios minutos.
15 En el cuadro de diálogo Configuración finalizada, haga clic en Finalizar.
17 Haga clic con el botón secundario en sus grupos y después haga clic en
Ejecutar comando en el grupo > Actualizar contenido.
Si los clientes no responden después una media hora, reinicie los clientes.
Restaurar comunicaciones de clientes sin una copia de respaldo de la

base de datos
Para cada dominio que utilice, es necesario crear un nuevo dominio y reinsertar
el mismo ID del dominio en la base de datos. Estos ID del dominio están en el
archivo de texto de recuperación después de un desastre si alguien los escribió en
este archivo. El dominio Sistema es el dominio predeterminado.
Se recomienda crear un nombre de dominio que sea idéntico al nombre de dominio
anterior. Para volver a crear el dominio (predeterminado) Sistema, añada un valor
como como _2 (System_2). Después de restaurar dominios, es posible entonces
eliminar el dominio anterior del sistema, y cambiar el nombre del nuevo dominio
a Sistema.
Para restaurar las comunicaciones de clientes sin una copia de respaldo de la base
de datos
2 En la consola, haga clic en Administrador.
3 En el panel Administrador del sistema, haga clic en Dominios.
4 En la esquina superior derecha, haga clic en Acerca.
5 Mantenga presionado Mayús + Ctrl + Alt, y después haga doble clic en el
cuadro de diálogo Acerca de, tres veces rápidamente.
7 En Tareas, haga clic en Agregar dominio.
8 Abra el archivo de texto de recuperación después de un desastre, seleccione

y copie el ID del dominio, active el cuadro de diálogo Agregar dominio, y
después pegue el ID del dominio en el cuadro ID del dominio.
Si no aparece el cuadro ID del dominio, repita los pasos 4, 5, 6 y 7 hasta que
aparezca el cuadro. Ctrl + V es el único mecanismo compatible para pegar.
10 (Opcional) repita los pasos 7, 8 y 9 para cada dominio que desea recuperar.
11 En Tareas, haga clic en Administrar dominio.
12 Reinicie todos los equipos cliente.
Los equipos aparecen en el grupo Temporal.
13 (Opcional) si usted utiliza sólo un dominio, elimine el dominio predeterminado
Sistema sin usar y cambie el nombre del dominio creado recientemente a
Sistema.
Índice
Símbolos ajustes de pila para Symantec Endpoint Protection

27, 83 Manager 102
.MSI almacén de claves 214
instalación mediante parámetros de línea de arquitectura de red
comandos 199 conmutación por error y balanceo de carga 54
ejemplo de implementación grande 52
planificación para la implementación 51
A replicación 55
acerca de Asistente de implementación mediante transferencia
archivos MSI y MSP 210 implementación de software de clientes 116
Auto-Protect 26 Importación de listas de equipos 119
balanceo de carga 27 puertos utilizados 161
configuración de setaid.ini 198 uso para la migración de productos de
conmutación por error 27 Symantec 159
grupos 30 Auto-Protect
grupos y clientes 114 acerca de 26
inspección de estado 24 análisis del correo electrónico 26
instalación de software de cliente de prueba 45
Symantec 111
microdefs 210
migración de software de cliente de versiones B
anteriores de Symantec Sygate 176 balanceo de carga 27
paquetes de instalación de clientes generados base de datos
durante la migración 158 instalación de Microsoft SQL 81
prevención de intrusiones 25 instalar base de datos integrada 78
Protección contra amenazas de virus y software base de datos integrada
espía 25 admite hasta 1000 clientes 51
Protección proactiva contra amenazas 25 configuración de instalación 76
replicación 27 instalación 78
Symantec Endpoint Protection 24, 112
Symantec Endpoint Protection Manager 27 C
Symantec Network Access Control 26, 113 clientes de Symantec Endpoint Protection
Windows Installer 3.1 113 funciones de MSI 200
Active Directory y derechos de usuario 56 propiedades de MSI 202
actualización a Microsoft SQL Server 103 clientes no administrados
actualizaciones instalación 114
actualizar de Symantec Endpoint Protection a migración de Symantec con paquetes
Symantec Network Access Control 191 exportados 167
actualizar de Symantec Network Access Control migrar de Symantec 166
a Symantec Endpoint Protection 191 configuración de política antivirus 43
actualizaciones de Enforcer 178 configuración del icono de estado de la seguridad 47
conmutación por error 27
224 Índice
conmutación por error y balanceo de carga H

arquitectura de red 54 herramienta de distribución de clientes Buscar
configuración 96 equipos no administrados 117
instalación 95 herramientas de implementación de otros
Consola de Symantec Endpoint Protection Manager fabricantes 121
búsqueda de grupos 39
inicio de sesión por primera vez 38
Control de cuentas de usuario y preparación de
I
equipos con Windows Vista 71 ID del dominio
Cuarentena central reconocimiento 215
adjuntar un servidor de administración 137 reemplazo 221
configuración de servidores y clientes para implementación
utilizar 138 con Buscar equipos no administrados 117
instalación 133 paquetes de clientes con el Asistente de
implementación mediante transferencia 116
paquetes de clientes desde una unidad
D asignada 116
derechos administrativos para instalar inspección de estado 24
56 instalación
desinstalación acerca de la configuración de la base de datos
cómo desinstalar la base de datos 109 integrada 76
componentes de administración 142 acerca de las opciones de configuración de la
software de cliente 131 base de datos de Microsoft SQL Server 86
software de cliente con un Objeto de directiva acerca de los firewalls de escritorio 65
de grupo de Active Directory 130 clientes mediante Active Directory 123
Symantec Endpoint Protection Manager 109 con una base de datos de Microsoft SQL 81, 90
direcciones IP y creación de un archivo de texto para conmutación por error y balanceo de carga 95
la instalación 119 Consola de Symantec Endpoint Protection
dispositivos de hardware y bloqueo 25 solamente 94
creación de un archivo de texto con direcciones
E IP para su importación 119
entornos administrados e interacción de clientes y Cuarentena central 133
servidores 30 derechos administrativos 56
entornos no administrados 29 ejemplos de línea de comandos de MSI 207
eliminación de virus y riesgos de seguridad
previa 73
F etapas 73
Firewall de Windows Vista 70 instalación de Symantec Endpoint Protection
firewall de Windows XP 69 Manager por primera vez 35
firewalls de Windows mediante comandos de MSI 199
utilización 68 mediante un objeto de directiva de grupo de
y firewalls de Symantec 68 Active Directory 123
opciones de software de cliente no
G administrado 114
grupos 30 preparación 73
grupos y clientes 114 preparación de equipos con Windows Vista 71
preparación de equipos con Windows XP 71
primera vez 33
propiedades del Centro de seguridad de Windows
de MSI 205
Índice 225
prueba 34 Microsoft SQL Server 2000

red de prueba 34 instalación y configuración de componentes de
replicación 100 cliente 83
requisitos 57 requisitos de configuración de clientes y
requisitos de sistema y de red 56 servidores 82
servidor con una base de datos integrada 76 requisitos de configuración del cliente 83
sobre los puertos de comunicación 65 requisitos de instalación y configuración 82
usando productos de otros fabricantes 121 Microsoft SQL Server 2005
utilidad de administración de LiveUpdate 141 instalación y configuración de componentes de
instalación de clientes cliente 85
configuración e implementación por primera requisitos de configuración de clientes y
vez 37 servidores 84
preparación de equipos con Windows Vista 71 requisitos de instalación y configuración 83
preparación de equipos con Windows XP 71 migración
instalación por primera vez 33 acerca de la migración de grupos y opciones de
instalación remota y puerto TCP 139 65 Symantec 153
acerca de los grupos y las opciones 144
L acerca de Symantec AntiVirus y Symantec Client
Security 144
LiveUpdate
antes y después de la configuración
acerca del uso de un servidor 139
heredada 154
arquitecturas de red compatibles 140
clientes no administrados con paquetes
configuración de los dos tipos de políticas 41
exportados 167
configuración de una política de contenido de
consolas de administración remotas de Symantec
LiveUpdate 42
Sygate 187
configuración para actualizaciones de
Cuarentena central 147
clientes 41
de clientes no administrados 166
configuración para actualizaciones de sitio 39
exportación de una lista de nombres de equipos
cliente de versiones anteriores para
M migrar 159
microdefs mediante archivos CD 166
acerca de 210 migración de grupos de clientes y servidores de
procesamiento 210 Symantec 164
Microsoft Active Directory módulos de Enforcer 178
acerca de su uso para la implementación de preparación de equipos cliente de Symantec 162
clientes 121 preparación de instalaciones de productos de
configuración de plantillas 128 Symantec de versiones anteriores 147
creación de la imagen de instalación preparación de instalaciones de versiones
administrativa 124 anteriores de Symantec 10.x/3.x 151
instalación del software de cliente con un Objeto procedimientos para servidores de
de directiva de grupo 123 administración de Symantec Sygate 183
Microsoft SMS puertos que deben abrirse en los equipos
acerca de su uso para la implementación de cliente 161
clientes 121 rutas admitidas y no admitidas 146
distribución de archivos de definición de rutas compatibles con Symantec Sygate 175
paquetes 121 rutas no compatibles con Symantec Sygate 175
Microsoft SQL Server secuencia de implementación de paquetes 145
actualización a 103 situaciones de Symantec Sygate 179
opciones de instalación de la base de datos 86
226 Índice
sobre no conservar el servidor de Symantec y R

los grupos de clientes y la configuración 153 Recuperación después de un desastre
software de cliente de versiones anteriores de Restaurar el certificado del servidor 218
Symantec Sygate 176, 188 recuperación después de un desastre
software Symantec Sygate de versiones acerca del proceso 216
anteriores 174 preparación 213
Symantec Network Access Control 5.1 177 restauración de comunicaciones de clientes 219
migración de Symantec Enforcement Agent 5.1 178 restaurar Symantec Endpoint Protection
migración de Symantec Network Access Control Manager 217
5.1 177 reinicios del equipo 74
migraciones que se bloquean 146 replicación 27
MSI configuración 102
actualizar software de cliente con 209 instalación 100
ejemplos de línea de comandos 207 requisitos de instalación y configuración
funciones y propiedades 198 Microsoft SQL Server 2000 82
precedencia de procesamiento con setaid.ini 198 Microsoft SQL Server 2005 83
MSP requisitos de sistema y de red 56
actualizar software de cliente con 209 requisitos de Windows Installer 3.1 113
cuando está utilizado para actualizar el software requisitos del sistema
de cliente 210 acerca de 57
para el servidor de Cuarentena central 61
N para la consola de cuarentena 60
Novell ZENworks 121 para la Consola de Symantec Endpoint
Protection 59
para Symantec Endpoint Protection 62
P para Symantec Endpoint Protection Manager y
paquetes de instalación de clientes la Consola 58
creación 115 para Symantec Endpoint Protection Manager,
generados durante la migración 158 Consola y base de datos integrada 57
implementación con el Asistente de para Symantec Network Access Control 63
implementación mediante transferencia 116 para VMWare 64
implementación desde una unidad asignada 116 restauración de certificado del servidor 218
política de integridad del host
creación 48
prueba 50 S
políticas de integridad del host 26 serdef.dat 166–167
preparación de Windows Vista 71 Servidor de seguridad de conexión a Internet 68
prevención de intrusiones 25 servidores Web utilizados por Symantec Endpoint
Protección contra amenazas de red 24 Protection Manager 27
Protección contra amenazas de virus y software setaid.ini
espía 25 configuración 198
Protección proactiva contra amenazas 25 precedencia de procesamiento con funciones y
prueba de la detección antivirus 44 propiedades de MSI 198
puertos software de cliente
requisitos para la comunicación 65 actualizaciones con MSI y MSP 209
requisitos para la instalación 65 instalación 56
puertos de comunicación y obligatorios 65 solución de problemas
con Buscar equipos no administrados 117
Consola de Symantec Endpoint Protection
Manager funciona lenta o no responde 102
Índice 227
Control de cuentas de usuario en Vista y funciones y propiedades 198

GPO 126 parámetros 203
implementación remota en Windows XP y
Vista 70
implementaciones de Windows Vista 71
puertos que deben abrirse para las migraciones
de versiones anteriores de Symantec 161
uso de archivos de registro de la instalación 207
Windows XP en implementaciones de grupos de
trabajo 71
Sylink.xml 215
integración con las instalaciones de clientes de
Objeto de directiva de grupo 125
sylink.xml
regeneración 107
ajuste del tamaño de pila 102
componentes con los cuales funciona 28
configuración por primera vez 36
funcionamiento 29
funciones 30
instalación por primera vez 35
servidores Web utilizados 27
Symantec Enforcer 27
Symantec Network Access Control 26
configuración y prueba 48
políticas de integridad del host 26
Symantec System Center
preparación de la configuración para
migraciones de productos 10.x/3.x 151
preparación de la configuración para todas las
migraciones de productos de versiones
anteriores 147
T
Tivoli 121
U
utilidad de administración de LiveUpdate e
instalación 141
V
VMWare 64
W
Windows Installer
comandos 199
creación de un script de inicio 128

Installation Endpoint PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Installation Endpoint PDF

Cargado por

Copyright:

Formatos disponibles

Guía de instalación para

Versión de la documentación 11.00.00.00.00

LA DOCUMENTACIÓN SE PROPORCIONA “TAL CUAL” Y NO SE OFRECE NINGÚN TIPO DE

El Software y la Documentación con licencia se consideran programas informáticos

Renovación de la suscripción de actualizaciones antivirus

Los sitios Web de Symantec:

Servicio de Atención al Cliente de Symantec

Para contactar el Servicio y Soporte mundial

Soluciones de Servicio y Soporte

Capítulo 2 Instalación por primera vez

Capítulo 3 Planificar la instalación de producción

Capítulo 4 Instalar Symantec Endpoint Protection Manager

Acerca de las opciones de instalación de la base de datos de

Capítulo 5 Instalar el software de cliente de Symantec

Acerca de la implementación de software de cliente desde una unidad

Capítulo 6 Instalar los servidores de Cuarentena y de LiveUpdate

Capítulo 7 Migrar de Symantec AntiVirus y Symantec Client

Migraciones compatibles ....................................................... 146

Capítulo 8 Migrar software de versión anterior de Symantec

Acerca de la migración del software de cliente de versiones

Capítulo 9 Actualizar a los nuevos productos de Symantec

Apéndice A Funciones y propiedades de instalación de Symantec

Apéndice B Actualizar el software de cliente de Symantec

Apéndice C Recuperación después de un desastre

■ Acerca de sus productos de Symantec

■ Componentes que funcionan con Symantec Endpoint Protection Manager

■ Funcionamiento de Symantec Endpoint Protection Manager

■ Acciones que pueden llevarse a cabo con Symantec Endpoint Protection

■ Sitios donde se puede obtener más información

Acerca de sus productos de Symantec

Acerca de Symantec Endpoint Protection

de red, protección proactiva contra amenazas y protección antivirus y contra

Figura 1-1 Capas de protección

Protección proactiva contra

La protección contra amenazas de red bloquea el acceso de las amenazas a su

Acerca de la protección contra amenazas de red

El motor de prevención de intrusiones admite la comprobación en busca de análisis

Acerca de la protección proactiva contra amenazas

Acerca de la protección contra amenazas de virus y software

Nota: Auto-Protect para los programas de correo electrónico de Internet basados

Acerca de Symantec Network Access Control

Si se integra Symantec Network Access Control con Symantec Endpoint Protection,

Acerca de Symantec Endpoint Protection Manager

Componentes que funcionan con Symantec Endpoint

Tabla 1-1 Componentes que conforman Symantec Endpoint Protection

Consola de Symantec Endpoint Permite realizar operaciones de administración tales

■ Instalación de protección para clientes en estaciones

Symantec Endpoint Protection Se comunica con los clientes de punto final y se

Symantec Endpoint Protection Proporciona protección antivirus, firewall, protección

Symantec Network Access Proporciona protección del cumplimiento de red para

Servidor de LiveUpdate Proporciona la capacidad de obtener definiciones, firmas

Cuarentena central Funciona como parte de Digital Immune System para

■ Recibe los elementos infectados sin reparar desde

Funcionamiento de Symantec Endpoint Protection

Entornos administrados y no administrados

Nota: Si desea permitir a usuarios modificar la configuración del cliente, Symantec

Acerca de los grupos

Interacción de clientes y servidores

Acciones que pueden llevarse a cabo con Symantec

Sitios donde se puede obtener más información

Tabla 1-2 Sitios Web de Symantec

Tipo de información Dirección Web

Base de conocimientos pública http://www.symantec.com/es/mx/enterprise/support/