Política de protección contra software malicioso: Configuración avanzada

La política de protección contra software malicioso de
Symantec Endpoint Security
incluye la configuración avanzada de Auto-Protect y otras funciones de protección contra software malicioso.
Configuración avanzada de la protección contra software malicioso
Opción
Descripción
Activar Auto-Protect
Habilita o deshabilita Auto-Protect para el sistema de archivos. De forma predeterminada, Auto-Protect está habilitado.
Habilitar análisis de comportamiento
Habilita o deshabilita el análisis de comportamiento.
El análisis de comportamiento (también conocido como SONAR) es la protección en tiempo real que detecta aplicaciones potencialmente maliciosas cuando se ejecutan en los equipos. El análisis de comportamiento usa datos de heurística, así como datos de reputación, para detectar amenazas emergentes y desconocidas. El análisis de comportamiento proporciona protección de “día cero” porque detecta amenazas antes de que definiciones tradicionales de detección de virus y spyware se hayan creado para abordar las amenazas.
Habilitar la protección contra software malicioso de inicio prematuro de Symantec
La protección contra software malicioso de inicio temprano (ELAM) protege los dispositivos contra cualquier amenaza que se cargue en el inicio.
Endpoint Security
incluye un controlador de protección contra software malicioso de inicio prematuro que funciona con el controlador de protección contra software malicioso de inicio prematuro de Microsoft para proporcionar protección. La configuración se admite en Microsoft Windows 8 y Windows Server 2012.
El controlador de Protección contra software malicioso de inicio prematuro es un tipo especial de controlador que se inicializa primero y examina otros controladores de inicio en busca de código malicioso. Cuando el controlador de
Endpoint Security
detecta un controlador de inicio, determina si el controlador es bueno, malo o desconocido. El controlador de
Endpoint Security
entonces pasa la información a Windows para decidir si permitir o bloquear el controlador detectado.
La configuración de
Endpoint Security
proporciona una opción para tratar a los controladores defectuosos y a los controladores críticos defectuosos como desconocidos. Los controladores críticos defectuosos son los controladores que se identifican como software malicioso, pero son necesarios para el inicio del equipo. De forma predeterminada, Windows permite que los controladores desconocidos se carguen. Puede ser recomendable seleccionar la opción de anulación si se obtienen detecciones de falsos positivos que bloquean un controlador importante. Si bloquea un controlador importante, es posible que evite que los dispositivos se inicien.
El controlador de protección contra software malicioso de inicio prematuro de Windows debe estar habilitado para que la configuración de
Endpoint Security
surta efecto. Use el Editor de políticas de grupo de Windows para ver y para modificar la configuración de ELAM de Windows. Consulte la documentación de Windows para obtener más información.
Habilitar Auto-Protect para Microsoft Outlook
Habilita o deshabilita Auto-Protect para los clientes de correo electrónico de Microsoft Exchange (Outlook).
Opciones avanzadas de Auto-Protect
Opciones avanzadas de Auto-Protect
Opción
Descripción
Cargar Auto-Protect cuando se inicia el equipo
Carga Auto-Protect cuando el sistema operativo del equipo se inicia y lo descarga cuando el equipo se apaga. Esta opción puede ayudar a protegerle contra algunos virus. Si Auto-Protect detecta un virus durante el apagado, coloca el archivo infectado en una carpeta temporal de cuarentena. Entonces, Auto-Protect detectará el virus cuando se inicie el sistema y creará una notificación de alerta.
Si desactiva Auto-Protect en un dispositivo que tenga esta opción activada, Auto-Protect aún funciona después de cada reinicio del dispositivo por un breve período. Cuando se inicia el servicio de cliente de principal, se desactiva Auto-Protect.
Habilitar caché de archivos
Habilitar buscador de riesgos
Analizar cuando se acceda a un archivo
se analizan los archivos cuando se escriben, se abren, se mueven, se copian o se ejecutan.
Use esta opción si desea obtener una protección más completa para el sistema de archivos. Esta opción puede afectar el rendimiento porque Auto-Protect analiza los archivos durante todos los tipos de operaciones de archivo.
Analizar cuando se modifique un archivo
Se analizan los archivos cuando se escriben, modifican o copian.
Use esta opción para obtener un rendimiento un poco más rápido, ya que Auto-Protect solo analiza los archivos cuando se escriben, se modifican o se copian.
Analizar cuando se haga una copia de seguridad de un archivo
Analiza un archivo durante la copia de seguridad si otro proceso intenta escribir el archivo durante la copia de seguridad. El proceso de copia de seguridad lee solamente los archivos durante la copia de seguridad, de forma que el proceso de copia de seguridad en sí mismo no inicia el análisis.
Si deshabilita esta opción, Auto-Protect no analiza ningún archivo durante una copia de seguridad. El cliente analiza los archivos que restaura desde una copia de seguridad sin importar el valor de esta opción.
No analizar archivos cuando los procesos de confianza acceden a los archivos
Omite los archivos a los que accede el indexador de Windows Search y otros procesos que
Endpoint Security
determina que son seguros.
Habilitar lista personalizada
permite habilitar o deshabilitar una lista de procesos de confianza que sabe que son seguros.La lista se usa además de los procesos que Symantec considera seguros.Utilice la opción
Agregar proceso personalizado
para agregar procesos.Agregue el nombre del proceso sin un nombre de ruta como, por ejemplo, foo.exe.
Siempre eliminar archivos infectados recién creados
Permita esta opción para eliminar un nuevo archivo que esté infectado sin importar la acción que esté configurada para el tipo de riesgo. Esta configuración no se aplica a las detecciones de Auto-Protect de ningún archivo existente que contenga virus. Auto-Protect no elimina los archivos infectados que ya existen en el dispositivo a menos que la acción configurada sea
Eliminar
.
Siempre eliminar riesgos para la seguridad recién creados
Esta opción está solamente disponible cuando habilita
Siempre eliminar archivos infectados recién creados
. Permita esta opción para eliminar un archivo creado recientemente que contenga un riesgo para la seguridad sin importar la acción configurada para el tipo de riesgo. Esta configuración no se aplica a las detecciones de Auto-Protect de archivos existentes que contienen riesgos para la seguridad. Auto-Protect no elimina los riesgos para la seguridad que ya existen en el equipo cliente a menos que la acción configurada sea
Eliminar
.
Coexistencia con Windows Defender
Se puede habilitar la opción para permitir que Windows Defender se ejecute antes de que Auto-Protect se ejecute. Esta opción está desactivada de forma predeterminada.
Especifique las opciones de red para analizar archivos en equipos remotos
Opciones para los análisis de Auto-Protect en equipos remotos:
  • Analizar archivos de equipos remotos
    Habilita o deshabilita el análisis en unidades de red. Si deshabilita esta opción, es posible que tenga que mejorar el rendimiento del dispositivo.
    Cuando se habilita el análisis en unidades de red, Auto-Protect analiza los archivos cuando un dispositivo accede a ellos desde un servidor.
  • Solo cuando se ejecutan los archivos
    De forma predeterminada, Auto-Protect solo analiza los archivos en los equipos remotos cuando se ejecutan los archivos. Es posible deshabilitar esta opción para analizar todos los archivos en los equipos remotos, pero es posible que afecte el rendimiento del dispositivo.
  • Memoria caché de red
    Habilita o deshabilita un registro de los archivos que Auto-Protect ya ha analizado desde un servidor de red
    Esta opción impide que Auto-Protect analice el mismo archivo más de una vez y puede mejorar el rendimiento del sistema.
  • Mantener <número> entradas
    Establece la cantidad de archivos (entradas) que Auto-Protect analiza y registra.
  • Eliminar entradas después de <número> segundos
    Establece el tiempo de espera antes de que los archivos se eliminen de la memoria caché. Una vez transcurrido el tiempo de espera, Auto-Protect analizará los archivos de red de nuevo si el dispositivo los solicita desde el servidor de red.
Opciones de la memoria caché de archivos de Auto-Protect
Opciones de la memoria caché de archivos de Auto-Protect
Opción
Descripción
Habilitar caché de archivos
Auto-Protect usa una memoria caché de archivos para recordar los archivos limpios del último análisis. La caché de archivos persiste a través de los distintos inicios. Si el dispositivo se apaga y se reinicia, Auto-Protect recuerda los archivos limpios y no los analiza.
El almacenamiento de archivos en memoria caché disminuye el uso de la memoria de Auto-Protect y puede y ayudar a mejorar el análisis del rendimiento de Auto-Protect.
Auto-Protect vuelve a analizar los archivos en las situaciones siguientes:
  • El dispositivo descarga nuevas definiciones.
  • Auto-Protect detecta que los archivos pudieron haberse modificado cuando Auto-Protect no estaba en ejecución.
Es posible deshabilitar la caché de archivos si desea que Auto-Protect analice siempre cada archivo. Si deshabilita la memoria caché de archivos, es posible que afecte el rendimiento de los dispositivos.
Es posible deshabilitar esta opción para la solución de problemas. Si deshabilita esta opción, cuando el dispositivo se reinicia, Auto-Protect vuelve a analizar todos los archivos.
Tamaño de la memoria caché del archivo
Es posible especificar el número personalizado de entradas de la memoria caché del archivo que se incluirán. Esta opción es útil para los servidores de archivos o servidores web en los que desee guardar una gran cantidad de archivos en la memoria caché.
Opciones del Buscador de riesgos de Auto-Protect
Opciones del Buscador de riesgos de Auto-Protect
Opción
Descripción
Habilitar buscador de riesgos
El buscador de riesgos identifica el origen de las infecciones por virus basadas en recursos compartidos de red en los dispositivos. Buscador de riesgos no bloquea ninguna dirección IP que ataque. La opción de bloquear direcciones IP de forma automática está habilitada de forma predeterminada en las políticas de firewall.
Resolver la dirección IP del equipo de origen
Si esta opción está deshabilitada, el buscador de riesgos solo buscará y registrará el nombre NetBIOS del equipo. Si se habilita esta opción, el buscador de riesgos intenta encontrar una dirección IP para el nombre de NetBIOS conocido.
Si la infección provino de un equipo remoto, el Buscador de riesgos puede hacer las siguientes acciones:
  • Buscar y registrar el nombre del equipo NetBIOS del equipo y su dirección IP.
  • Buscar y registrar al usuario que inició sesión en el equipo en momento del envío.
Sondear sesiones de red cada <número> milisegundos
habilita o deshabilita el sondeo de sesiones de red.
Los valores más bajos utilizan mayores cantidades de CPU y de memoria. Los valores más bajos también aumentan la posibilidad de que el buscador de riesgos pueda registrar información de la sesión de red antes de que la amenaza desactive recursos compartidos de red.
Los valores más altos disminuyen la carga del sistema, pero también disminuyen la capacidad del buscador de riesgos para detectar la fuente de las infecciones.
El Buscador de riesgos sondea el intervalo especificado en busca de sesiones de red y guarda en la memoria caché esta información como una lista de origen secundaria de equipos remotos. Esta información maximiza la frecuencia con la que el Buscador de riesgos puede identificar correctamente el equipo remoto infectado. Por ejemplo, un riesgo puede cerrar el recurso de red compartido antes de que el Buscador de riesgos pueda registrar la sesión de red. Entonces, el Buscador de riesgos utilizará la lista de origen secundaria para intentar identificar el equipo remoto.
Opciones avanzadas del análisis de comportamiento
Opciones avanzadas del análisis de comportamiento
Opción
Descripción
Se ha detectado un cambio de DNS
y
Se ha detectado un cambio en el archivo de host
.
Configura las acciones que el análisis de comportamiento toma cuando detecta un cambio de DNS o un cambio de hosts del archivo.
El análisis de comportamiento no realiza ninguna acción cuando un proceso intenta abrir un archivo de host o acceder a él. El análisis de comportamiento realiza una acción cuando un proceso intenta abrir un archivo de host.
El cambio de configuración del archivo del host o DNS no exime a una aplicación de la detección del análisis de comportamiento. El análisis de comportamiento detecta siempre una aplicación si exhibe comportamiento sospechoso.
Es posible configurar las siguientes acciones:
  • Omitir
    Omite la detección. Esta acción es la acción predeterminada. Cualquier acción con excepción de
    Omitir
    puede generar muchos eventos de registro en la consola y notificaciones por correo electrónico a los administradores.
  • Bloquear
    Bloquea el cambio.
    Si configura la acción en
    Bloquear
    , es posible que tenga que bloquear las aplicaciones importantes en los dispositivos.
    Por ejemplo, si configuró la acción en
    Bloquear
    para
    Cambio de DNS detectado
    , es posible que bloquee clientes de VPN. Si configuró la acción
    Bloquear
    para
    Cambio de archivo host detectado
    , es posible que tenga que bloquear las aplicaciones que necesitan acceder al archivo de host.
  • Solo registrar
    Permite el cambio, pero crea una entrada de registro para el evento. Esta acción puede generar archivos de registro grandes.
Analizar archivos de equipos remotos
Habilita o deshabilita el análisis de comportamiento en las unidades de red.
Habilite esta opción cuando sea necesario analizar las operaciones de archivo que apuntan a las unidades de red. Deshabilite esta opción para aumentar el rendimiento del dispositivo. El análisis de comportamiento busca gusanos, tales como Sality, que infectan las unidades de red. Sality es un tipo de software malicioso que infecta los archivos en los sistemas de Microsoft Windows y se propaga a través de las unidades extraíbles y de los recursos compartidos de red.