Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gua de Instalacin
Version 2.7 Proteccin para Windows Vista y sistemas de 64 bit
Deteccin Proactiva contra troyanos, spyware, gusanos, virus, rootkits, adware y phishing
Contenidos Introduccin Instalacin XMON La Ventana Principal Configuraciones Detecciones Extensiones Acciones Reglas Eliminando Rendimiento Protocolo Configuraciones Recomendadas
Introduccin
ESET NOD32 para MS Exchange 2.7 Server es una nueva versin del antivirus ESET NOD32 diseado para analizar el trfico de correo electrnico gestionado por MS Exchange Server. Las principales diferencias entre ESET NOD32 y ESET NOD32 para MS Exchange Server son que este ltimo incluye un mdulo llamado XMON y carece de los mdulos IMON y EMON. Este documento describe el mdulo XMON. Antes de leer el material, por favor lea la Gua de Usuarios para ESET NOD32. El mdulo XMON se comunica con MS Exchange Server mediante la interfase VSAPI de su antivirus y analiza todos los correos almacenados y gestionados por MS Exchange Server. XMON funciona con MS EXCHANGE Server 5.5 Service Pack 3 y superiores, Exchange Server 2000 Service Pack 1 y superiores y MS Exchange Server 2003.
Instalacin
Si usted est utilizando alguna versin anterior de ESET NOD32 para MS Exchange Server, la nueva puede ser instalada sobre esta sin problemas (slo para versiones 2.0 o superiores). Si utiliza una versin anterior a la 2.0, deber desinstalarla para luego poder instalar la versin actual una vez que se haya reiniciado el equipo. El gestor de instalacin lo ayudara a instalar ESET NOD32 para MS Exchange Server, como muestra la siguiente pantalla:
Si quiere instalar XMON, seleccione la opcin Activate antivirus protection for MS Exchange Server (XMON). Para activar el servicio XMON, precisa el archivo de licencia provisto por su proveedor o distribuidor al momento de comprar el programa.
Esta pantalla se presenta en todos los escenarios de instalacin. Activacin adicional de XMON: Si no ha activado la proteccin antivirus para MS Exchange Server, lo puede hacer de forma adicional agregando el archivo de licencia en el administrador de licencias. Para entrar al administrador de licencias haga clic en Herramientas del sistema NOD32 dentro del NOD32 Control Center y elija la opcin Configuracin/Configuracin.
XMON
La ventana Principal: Para abrir la venta principal de XMON, haga clic en el cono de XMON dentro de la ventana del Control Center. Si XMON es mostrado de color gris, significa que MS Exchange Server no est presente en la computadora local o la versin instalada no es soportada por XMON. Tambin se muestra gris si el mdulo XMON no est activado, si no est configurado o si el archivo de licencia expir. En estos casos, XMON no puede analizar los correos. Si XMON se muestra de color rojo, el mdulo XMON no est activo. Para hacerlo, active la opcin Activate Control en la ventana principal. La ventana principal del XMON muestra la cantidad de archivos analizados, infectados y limpiados (siendo cada archivo un correo con sus archivos adjuntos).
Active Control casilla de activacin del XMON. Para activar el XMON, seleccione esta casilla. Para deshabilitarlo, deseleccinela. Antes de que el XMON se desactive ser requerida una confirmacin para su apagado. Settings le permite alterar las configuraciones predeterminadas del XMON. Run NOD32 activa ESET NOD32 on-demand scanner. Antes de la desactivacin del XMON le ser requerido confirmar su apagado. Si realmente se quiere apagar el XMON, presione Yes.
Nota: MS Exchange Server se comunica con el explorador del Antivirus usando la base de datos del registro de sistema, que se comprueba en intervalos aproximados de un minuto. El apagado y encendido del XMON, al igual que cualquier cambio en las configuraciones, tomar un minuto en tomar efecto.
La pgina del explorador muestra las siguientes propiedades: Exploracin en Segundo Plano si es seleccionado, todos los mensajes sern explorados en el segundo plano del equipo. El XMON mantiene un seguimiento de los mensajes que explora y la versin de la base de datos de cdgigos maliciosos utilizada. Si abre un mensaje que no est siendo explorado por la versin ms reciente de la base de datos de malware, el XMON lo explora antes de que este sea abierto en su cliente de correo. El testeo en segundo plano significa que el XMON contina explorando todos los mensajes del MS Exchange Server, para que, al momento de abrir un mensaje, este haya sido analizado. Exploracin Proactiva los nuevos mensajes entrantes son explorados a medida que se reciben. Si esta opcin es seleccionada y el usuario abre un mensaje que todava no ha sido explorado, el mismo es analizado antes que los dems mensajes en la cola de espera. Explorar cuerpos de mensaje en texto plano habilita el anlisis de
Al hacer clic sobre el Botn Predeterminado, una ventana de confirmacin le permitir confirmar o rechazar su seleccin. Al seleccionar Aceptar, activar las configuraciones predeterminadas. La pgina de deteccin contiene las configuraciones de los mtodos de deteccin.
La seccin de Opciones del Motor de anlisis ThreatSense le permite establecer el mtodo de deteccin de infiltraciones utilizado por el mdulo XMON. Para establecer el nivel de seguridad ms alto seleccione todas las opciones. Firmas Al seleccionar esta opcin, XMON utiliza la deteccin de infiltracin basada en firmas. Heurstica Al seleccionar esta opcin, XMON utiliza el mtodo de Heurstica para la deteccin de infiltraciones. Heurstica Avanzada Al seleccionar esta opcin, XMON utiliza Heurstica Avanzada para la deteccin de infiltraciones. La Heurstica Avanzada es una caracterstica nueva y nica del sistema antivirus ESET NOD32 que, entre otras cosas, es capaz de detectar nuevas amenazas de Internet. Adware/Spyware/Riskware Al seleccionar esta opcin, el XMON tambin detecta este tipo de malware. Aplicaciones potencialmente peligrosas Al seleccionar esta opcin, XMON detecta programas que pueden ser mal utilizados en contra del usuario del equipo. En la seccin Objetos a verificar, deber seleccionar
Analizar todos los archivos Marcando esta opcin, XMON analizar todos los tipos de archivos adjuntados a los correos. La lista de tipos de archivos mostrar los tipos de archivos excluidos del anlisis en lugar de los tipos de archivos incluidos en el anlisis. Agregar le permite agregar un nuevo tipo de extensin a la lista de extensiones. Muestra una ventana llamada Agregar una nueva extensin. Para agregar una nueva extensin utilice caracteres alfanumricos y comodines como por ejemplo ? (representa caracteres aleatorios) y * (representa orden aleatorio de caracteres). Remover remueve la extensin seleccionada de la lista. Predeterminado reestablece la configuracin predeterminada de lista
Acciones: La pagina de acciones le permite seleccionar qu tipo de acciones llevar a cabo al detectar un malware. Cuando la opcin analizar carpetas dentro de Deteccin en la seccin Objetos a analizar est activada, este panel contiene caractersticas separadas para archivos y carpetas. El tipo de archivo puede ser seleccionado en el men desplegable:
Agregar le permite agregar una regla Modificar modifica la regla seleccionada Remover remueve la regla seleccionada Subir sube la regla seleccionada e incrementa su prioridad. Bajar baja la regla seleccionada y disminuye su prioridad
Remitente la regla se aplica a los mensajes enviados por un remitente seleccionado. Asunto del mensaje la regla se aplica a los mensajes con un Asunto determinado. Mscara del nombre de archivo la mscara del nombre de archivo le permite seleccionar una cierta cantidad de archivos Tamao de archivo le permite seleccionar archivos de un determinado tamao. En los campos Remitente del mensaje y Asunto del mensaje es suficiente con ingresar una parte del texto (si la opcin Coincidir palabras completas no est seleccionada); las letras maysculas no son diferenciadas (si la opcin Diferenciar letras maysculas no est seleccionada). Al utilizar caracteres que no son alfanumricos, usar parntesis y comillas.
La mscara del nombre de archivo le permite elegir una determinada seleccin de archivos utilizando una mscara creada de caracteres alfanumricos y comodines ? y , ej. *.VBS. La regla se aplica a archivos que coincidan con esta mscara. Para utilizar ms de una mscara, debe separarlos por punto y coma.
El lmite de tamao del archivo le permite seleccionar archivos adjuntos de un tamao en particular.
La seccin Acciones le permite seleccionar qu acciones se deben llevar acabo para los archivos que coincidan con el criterio de bsqueda mencionado anteriormente.
Acciones para configurar el Explorador XMON analizar el archivo seleccionado en busca de malware. Sin accin XMON afirma que el mensaje est limpio. Renombrar adjunto/ eliminar mensaje XMON cambia la extensin del archivo adjunto, para que el mismo no pueda ser abierto ni ejecutado. Eliminar XMON elimina el mensaje seleccionado. Marcar como infectado XMON marca como infectado el mensaje seleccionado. Cuarentena el mensaje seleccionado ser almacenado en cuarentena.
Eliminando: La pgina de eliminacin le permite seleccionar qu accin se debe tomar cuando un mensaje o archivo adjunto es seleccionado para ser eliminado.
Nmero de Hilos este parmetro le permite seleccionar la cantidad de threads a utilizar al momento de la exploracin. Ms threads en mquinas con mltiples procesadores pueden incrementar la velocidad de exploracin. El proveedor de MS Exchange Server recomienda utilizar la siguiente frmula para determinar el nmero de threads a utilizar: Nmero de procesadores fsicos multiplicado por 2 ms 1 = numero de threads a utilizar. Limite de tiempo (para Exchange 5.5) establece el intervalo de tiempo para iniciar la exploracin de cdigos maliciosos. Limite de tiempo (para Exchange 2000 o superior) un lmite de tiempo para analizar un archivo individual.
rendimiento del servidor. Registrar todos los archivos al seleccionar esta opcin, todos los archivos analizados son listados en el archivo de registro, incluyendo los no infectados. Registro Sincrnico al seleccionar esta opcin, todas las entradas de registro son escritas inmediatamente en el archivo de registro sin guardarlas en el cach del registro. Alcance esta opcin le permite seleccionar el alcance de las actividades de registro. Cuanto ms detallado es el alcance, ms actividades son escritas en el archivo de registro. Versin del servidor de registro al seleccionar esta opcin, XMON escribe la versin del servidor en el archivo de registro. Registrar licencia al seleccionar esta opcin, XMON escribe la licencia en el archivo de registro. Reglas de registro al seleccionar esta opcin, XMON escribe una lista de reglas actualmente activas en el archivo de registro (slo en la detallada).
Configuraciones Recomendadas:
XMON explora mensajes de correo alojados en el almacenaje de MS Exchange Server. Este almacenaje es guardado en el servidor de archivos del sistema como un nico archivo y si utiliza configuraciones no estndar del AMON (explorador en acceso) mientras se ejecuta en el mismo servidor, puede llevar a una colisin entre el XMON y el AMON. Para evitar esto, asegrese de que el mdulo AMON no est configurado para analizar archivos con extensiones .EDB, .TMP y .EML. Por defecto, las extensiones mencionadas son excluidas del anlisis. Es tambin recomendado excluir del anlisis los siguientes archivos o carpetas: %Program Files%\Exchsrvr\MDBData\ %Program Files%\Exchsrvr\Mtadata\ %Program Files%\Exchsrvr\Server_Name.log %Program Files%\Exchsrvr\Mailroot %Program Files%\Exchsrvr\Srsdata %Windows%\System32\Inetsrv %Program Files%\Exchsrvr\IMCData Para excluir estos archivos y carpetas en el mdulo AMON, siga los siguientes pasos: Haga clic en el botn Configuracin del mdulo AMON. Haga clic en la solapa Exclusiones y luego sobre el botn agregar. En la ventana desplegada haga clic sobre el botn Carpeta o Archivo (dependiendo de qu se quiera excluir) y busque los elementos en particular. No es recomendado establecer las configuraciones por defecto para archivos infectados Renombrar si se est utilizando la opcin analizar todos los archivos (configuracin predeterminada). Todos los archivos infectados cuya extensin sea .EXE o .DOC, luego de ser renombrados tendrn la extensin .VEXE o .VDOC, para que el Servidor en MS Windows no sea ejecutado luego de seleccionarlo, pero el sistema Antivirus en cada anlisis reconocer los archivos por su contenido y los renombrar (.VEXE o .VDOC, etc.). Todos los mensajes son analizados en el almacenaje de MS Exchange Server luego de cada actualizacin de la base de firmas de virus, al renombrar los archivos consecuentemente se reducir el rendimiento de su computadora. Se recomienda excluir del testeo por lo menos archivos con extensiones VV* (no extensiones .V esto puede incluir tambin archivos Visual Basic Script).
La tarea de exploracin en segundo plano requiere de un parmetro obligatorio que especifica la hora de interrupcin para el explorador en segundo plano. El intervalo se especifica en horas, dentro del rango de 1 a 32.
De la misma manera que los resultados de registro, los resultados de monitoreo son tambin escritos en intervalos de 5 minutos. No son acumulativos y cada punto de referencia es realizado desde el principio una vez que el resultado fue registrado.