Administración de la cuarentena para los clientes de Windows

Se administra la configuración de la cuarentena como una parte importante de la estrategia contra ataques de virus.
Cuando los análisis de virus y spyware o SONAR detectan una amenaza,
Symantec Endpoint Protection
pone los archivos sospechosos en la cuarentena local del equipo infectado. El cliente repara el archivo, lo restaura o lo elimina.
Cuando el cliente detecta un riesgo y pone en cuarentena el archivo, el cliente lo notifica al servidor de administración.Se puede habilitar el servidor de administración para que solicite y recupere automáticamente el archivo en cuarentena.El servidor de administración carga y almacena muestras de riesgos en la base de datos, muestra sus detalles de eventos y le permite descargarlos para realizar un análisis adicional.Es posible que desee enviar el archivo al equipo interno de seguridad o software malicioso para realizar ingeniería inversa o a otro espacio aislado para el análisis. Si considera que la condena es un falso positivo, póngase en contacto con Soporte de Symantec para registrar un caso.
La versión 14 y posteriores no incluyen el Servidor de Cuarentena central.
A partir de la versión 14.3 RU2, ya no se puede utilizar el Servidor de Cuarentena central. En cambio, el cliente envía los archivos en cuarentena a Symantec Endpoint Protection Manager.
Carga de archivos en cuarentena en el servidor de administración
El servidor de administración no recupera los archivos en cuarentena del cliente de forma predeterminada. Se debe habilitar esta configuración.
Para cargar archivos en cuarentena
  1. En la consola, haga clic en
    Administrador
    >
    Dominios
    >
    Editar propiedades del dominio
    .
  2. En la ficha
    General
    , haga clic en
    Cargar archivos en cuarentena de los clientes
    y, a continuación, haga clic en
    Aceptar
    .
Para descargar los archivos que el cliente ha puesto en cuarentena y ha cargado en el servidor de administración
  1. En la consola, haga clic en
    Supervisión
    >
    Registros
    y seleccione el tipo de registro
    Riesgo
    .
  2. Abra el registro, seleccione el archivo en cuarentena y, en la lista desplegable
    Acción
    , haga clic en
    Descargar el archivo que el cliente ha puesto en cuarentena
    .
Configuración de las opciones de cuarentena
Se pueden modificar las siguientes opciones para saber cómo la cuarentena trata los archivos en el cliente:
  • Qué sucede cuando las nuevas definiciones llegan a los clientes:
    De forma predeterminada, el cliente vuelve a analizar los elementos en cuarentena y los repara y restaura automáticamente de forma silenciosa cuando llegan las nuevas definiciones. Si se ha creado una excepción para un archivo o una aplicación en cuarentena,
    Symantec Endpoint Protection
    restaura el archivo después de que lleguen las nuevas definiciones.
  • Donde se almacenan los elementos en cuarentena:
    De forma predeterminada, la cuarentena almacena los archivos de copia de seguridad, reparados y en cuarentena en una carpeta predeterminada.La función de limpieza de la cuarentena elimina automáticamente los archivos que están en cuarentena cuando los archivos exceden una antigüedad especificada o cuando el directorio donde están almacenados alcanza cierto tamaño.Elimina de forma automática archivos después de 30 días.
    Si no se desea usar el directorio de cuarentena predeterminado (
    %ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine
    ) para almacenar los archivos en cuarentena en los equipos cliente, se puede especificar un directorio local diferente. Es posible utilizar la extensión de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, se puede escribir
    %COMMON_APPDATA%
    . Las rutas relativas no se permiten.
Para configurar las opciones de cuarentena
  1. En la política de protección antivirus y antispyware, haga clic en
    Configuración de Windows
    >
    Cuarentena
    .
  2. En la ficha
    General
    , configure las opciones en
    Cuando lleguen nuevas definiciones de virus
    y en
    Opciones locales de cuarentena
    .
    Especifique cómo manejar los elementos en cuarentena y qué carpeta local debe almacenar los archivos en cuarentena.Consulte:
  3. Haga clic en
    Aceptar
    .
Eliminación de los archivos que están en la cuarentena
La cuarentena elimina de forma automática los archivos reparados, los archivos de copia de seguridad y los archivos en cuarentena después de que transcurra un número especificado de días. Se puede configurar la cuarentena para eliminar archivos cuando la carpeta donde están almacenados alcanza un tamaño especificado o después de una determinada cantidad de días.
Se debe comprobar periódicamente la cuarentena del equipo cliente para evitar que se acumule una gran cantidad de archivos. Compruebe los archivos en cuarentena cuando un nuevo ataque de virus aparezca en la red.
Deje los archivos con infecciones desconocidas en la cuarentena. Cuando el cliente recibe las nuevas definiciones, vuelve a analizar los elementos en la cuarentena y puede eliminar o reparar el archivo.
Es posible eliminar un archivo en cuarentena si existe una copia de seguridad o si tiene una copia del archivo de un origen de confianza.Es posible eliminar un archivo en cuarentena directamente en el equipo infectado o usando el inicio de sesión de riesgo en la consola de
Symantec Endpoint Protection
.
Si
Symantec Endpoint Protection
detecta riesgos en un archivo comprimido, el archivo comprimido se coloca totalmente en cuarentena. Sin embargo, el registro de Riesgos contiene una entrada separada para cada archivo del archivo comprimido. Para eliminar correctamente todos los riesgos en un archivo comprimido, es necesario seleccionar todos los archivos en el archivo comprimido.
Para configurar el cliente para eliminar los archivos de forma automática
  1. En la política de protección antivirus y antispyware, haga clic en
    Configuración de Windows
    >
    Cuarentena
    .
  2. En la ficha
    Limpieza
    , seleccione o anule la selección de las opciones para habilitarlas o deshabilitarlas y configure los valores máximos de tamaño e intervalo de tiempo. Consulte:
  3. Haga clic en
    Aceptar
    .
Para eliminar los archivos del registro de riesgos
  1. En la consola, haga clic en
    Supervisión
    .
  2. En la ficha
    Registros
    , del cuadro de lista
    Tipo de registro
    , seleccione el registro de
    Riesgos
    y después haga clic en
    Ver registro
    .
  3. Realice una de las acciones siguientes:
    • Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena.
    • Seleccione todas las entradas de los archivos del archivo comprimido.
      Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opción
      Límite
      en
      Configuración adicional
      para aumentar la cantidad de entradas en la vista.
  4. En el cuadro de lista
    Acción
    , seleccione
    Eliminar de Cuarentena
    .
  5. Haga clic en
    Iniciar
    .
  6. En el cuadro de diálogo que aparece, haga clic en
    Eliminar
    y, a continuación, en
    Aceptar
    .