Evitar que los usuarios deshabiliten la protección en los equipos cliente

Como administrador de
Symantec Endpoint Protection Manager
, usted impide que los usuarios deshabiliten la protección en el equipo cliente al establecer el nivel de control del usuario o el bloqueo de las opciones de las políticas. Por ejemplo, la política de firewall utiliza un nivel de control, mientras que la política de protección antivirus y antispyware usa un bloqueo.
Symantec recomienda evitar que los usuarios deshabiliten la protección en todo momento.
¿Cuáles son los niveles de control del usuario?
Use los niveles de control del usuario para brindarle al cliente control de usuario sobre funciones específicas. El nivel de control del usuario también determina si la interfaz de usuario del cliente puede ser totalmente invisible, mostrar un conjunto parcial de funciones o mostrarse por completo.
Niveles de control del usuario
Nivel de control del usuario
Descripción
Control de servidores
Proporciona a los usuarios el control más bajo sobre el cliente. Con el control de servidores, el usuario puede realizar cambios en las opciones de configuración desbloqueadas, pero se sobrescriben en el siguiente latido.
Control de clientes
Proporciona a los usuarios el control más alto sobre el cliente. El control del cliente permite a los usuarios configurar las opciones. La configuración modificada por el cliente toma precedencia sobre la configuración del servidor. No se sobrescribe cuando se aplica la nueva política, a menos que la configuración se haya bloqueado en la nueva política.
El control de clientes es útil para los empleados que trabajan en una ubicación remota o desde su casa.
El usuario debe estar en un grupo de administradores de Windows para cambiar cualquier configuración en el modo
Control de clientes
o en el modo
Control mixto
.
Control mixto
Proporciona al usuario un control mixto sobre el cliente. Para determinar qué opciones se les permite configurar a los usuarios, se debe configurar la opción en
Control de servidores
o en
Control de clientes
. En el caso de los elementos que están bajo el control de clientes, el usuario conserva el control de la configuración. En el caso de los elementos que están bajo el control de servidores, usted conserva el control de la configuración.
Para el cliente de Windows, puede configurar todas las opciones. Para el cliente de Mac, solamente el ícono del área de notificaciones y algunas opciones del IPS están disponibles en el control del servidor y el control de cliente.
Los clientes que se ejecutan en el modo
Control de clientes
o en el modo
Control mixto
pasan al
Control de servidores
cuando el servidor aplica una política de cuarentena.
Modificación del nivel de control del usuario
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar normas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de diálogo
Configurar reglas de firewall
, no pueden crear reglas.
  1. En la consola, haga clic en
    Clientes
    .
  2. En
    Ver clientes
    , seleccione el grupo y haga clic en la ficha
    Políticas
    .
  3. En
    Configuración y políticas específicas de la ubicación
    , en la ubicación que desea modificar, expanda
    Configuración específica de la ubicación
    .
  4. Junto a
    Configuración de los controles de la interfaz de usuario del cliente
    , haga clic en
    Tareas > Editar configuración
    .
  5. En el cuadro de diálogo
    Configuración de los controles de la interfaz de usuario del cliente
    , realice una de las siguientes opciones:
    • Haga clic en
      Control de servidores
      y después haga clic en
      Personalizar
      .
      Configure cualquiera de las opciones y después haga clic en
      Aceptar
      .
    • Haga clic en
      Control de clientes
      .
    • Haga clic en
      Control mixto
      y a continuación haga clic en
      Personalizar
      .
      Configure cualquiera de las opciones y después haga clic en
      Aceptar
      .
  6. Haga clic en
    Aceptar
    .
Cómo bloquear y desbloquear las opciones de configuración de políticas
Es posible bloquear y desbloquear algunas opciones de configuración de políticas. Los usuarios no pueden cambiar las opciones de configuración bloqueadas. Aparece un icono de candado junto a un valor de configuración que se puede bloquear. Es posible bloquear y desbloquear las opciones de Protección antivirus y antispyware, Protección contra intervenciones, Envíos y Prevención de intrusiones.
Cómo evitar que los usuarios deshabiliten tecnologías de protección específicas
Si configura el cliente en
Control mixto
o
Control de servidores
, pero no bloquea las opciones, el usuario puede cambiar la configuración. Estos cambios permanecen en vigor hasta el siguiente latido con
Symantec Endpoint Protection Manager
. El bloqueo de las opciones de las diferentes políticas garantiza que el usuario no pueda realizar cambios en la configuración, incluso en el modo
Control de clientes
.
Los usuarios de Windows que no están en el grupo de administradores no pueden cambiar la configuración de la interfaz de usuario del cliente de
Symantec Endpoint Protection
, independientemente de establecer la
Configuración específica de la ubicación
. Los administradores de Windows 10 pueden deshabilitar el producto mediante el icono del área de notificaciones incluso después de configurar estas opciones. Sin embargo, no pueden deshabilitar las diferentes tecnologías de protección mediante la interfaz de usuario del cliente.
Si no desea cambiar las políticas de todos los grupos, deshabilite la herencia de políticas en el grupo en el cual desea realizar cambios. Si edita una política compartida, la política editada se aplica a todos los grupos a los cuales se aplica la política compartida, aunque la herencia de políticas esté deshabilitada.
Para impedir que los usuarios deshabiliten el firewall o el control de aplicaciones y dispositivos
  1. En la consola, haga clic en
    Clientes
    .
  2. Haga clic en el grupo de clientes que desea restringir y, luego, haga clic en la ficha
    Políticas
    .
  3. Expanda
    Configuración específica de la ubicación
    .
  4. Junto a
    Configuración de los controles de la interfaz de usuario del cliente
    , haga clic en
    Tareas > Editar configuración
    .
  5. Haga clic en
    Control de servidores
    o en
    Control mixto
    ; luego, haga clic en
    Personalizar
    .
  6. En el cuadro de diálogo (control de servidores) o el panel (control mixto)
    Configuración interfaz de usuario de cliente
    , anule la selección de
    Permitir a los siguientes usuarios habilitar y deshabilitar el firewall
    y
    Permitir a los usuarios habilitar y deshabilitar el control de dispositivo de la aplicación
    .
  7. Haga clic en
    Aceptar
    y después haga clic en
    Aceptar
    de nuevo.
Para impedir que los usuarios deshabiliten la prevención de intrusiones
  1. En la consola, haga clic en
    Clientes
    .
  2. Haga clic en el grupo de clientes que desea restringir y, luego, haga clic en la ficha
    Políticas
    .
  3. Expanda
    Políticas específicas de la ubicación
    .
  4. Junto a
    Política de prevención de intrusiones
    , haga clic en
    Tareas > Editar política
    .
  5. Haga clic en
    Prevención de intrusiones
    y, luego, haga clic en los candados junto a
    Habilitar la prevención de intrusiones de red
    y
    Habilitar prevención contra intrusiones de navegador
    para bloquear estas funciones.
  6. Haga clic en
    Aceptar
    .
Para impedir que los usuarios deshabiliten la Protección antivirus y antispyware
  1. En la consola, haga clic en
    Clientes
    .
  2. Haga clic en el grupo de clientes que desea restringir y, luego, haga clic en la ficha
    Políticas
    .
  3. Expanda
    Políticas específicas de la ubicación
    .
  4. Junto a
    Política de protección antivirus y antispyware
    , haga clic en
    Tareas > Editar política
    .
  5. En
    Config. Windows
    , bloquee las siguientes funciones:
    • Haga clic en
      Auto-Protect
      y, luego, haga clic en el candado al lado de
      Habilitar Auto-Protect
      .
    • Haga clic en
      Protección de descargas
      y, luego, haga clic en el candado al lado de
      Habilitar Diagnóstico Insight de descargas para detectar riesgos en archivos descargados según reputación
      .
    • Haga clic en
      SONAR
      y, luego, haga clic en el candado al lado de
      Habilitar SONAR
      .
    • Haga clic en
      Contra soft malicioso inicio prematuro
      y, luego, haga clic en el candado al lado de
      Habilitar protección de software malicioso
      .
    • Haga clic en
      Auto-Protect para Microsoft Outlook
      y, luego, haga clic en el candado al lado de
      Habilitar Auto-Protect para Microsoft Outlook
      .
    • Para las versiones anteriores a 14.2 RU1, haga clic en
      Auto-Protect para correo electrónico de Internet
      y, a continuación, en el candado junto a
      Habilitar Auto-Protect para correo electrónico de Internet
      .
    • Para las versiones anteriores a 14.2 RU1, haga clic en
      Auto-Protect para Lotus Notes
      y, a continuación, en el candado junto a
      Habilitar Auto-Protect para Lotus Notes
      .
    • Haga clic en
      Opciones de análisis global
      y, luego, haga clic en los candados al lado de
      Habilitar Insight para:
      y
      Habilitar la detección de virus heurística Bloodhound
      .
  6. Haga clic en
    Aceptar
    .
Para impedir que los usuarios deshabiliten la Mitigación de puntos vulnerables en la memoria (versión 14.1 o posteriores)
En la versión 14, la función
Mitigación de puntos vulnerables en la memoria
aparecía en la Política de prevención de intrusiones y se llamaba
Mitigación de puntos vulnerables genéricos
.
  1. En la consola, haga clic en
    Clientes
    .
  2. Haga clic en el grupo de clientes que desea restringir y, luego, haga clic en la ficha
    Políticas
    .
  3. Expanda
    Configuración específica de la ubicación
    .
  4. Junto a
    Mitigación de puntos vulnerables en la memoria
    , haga clic en
    Tareas > Editar política
    .
  5. Haga clic en
    Mitigación de puntos vulnerables en la memoria
    y, luego, haga clic en el candado al lado de
    Habilitar la mitigación de puntos vulnerables en la memoria
    .
  6. Haga clic en
    Aceptar
    .
Actualización de la política del cliente de
Symantec Endpoint Protection Manager
Una vez realizados estos cambios, los clientes del grupo reciben las políticas actualizadas según la configuración de comunicación del grupo. Si el grupo está en el modo de transferencia,
Symantec Endpoint Protection Manager
solicita al cliente que se registre en unos segundos. Si el grupo está en modo de obtención, el cliente se registra en el siguiente latido programado.
Si desea que reciba las políticas antes del siguiente latido, se puede solicitar al cliente que se registre y actualice su política. También es posible actualizar la política desde el cliente de
Symantec Endpoint Protection
.
Una vez que el cliente actualiza la política, la opción
Deshabilitar
Symantec Endpoint Protection
aparece en gris cuando se hace clic con el botón derecho en el icono del área de notificaciones de
Symantec Endpoint Protection
.