10.4 Creación de una directiva de seguridad

Los ajustes de seguridad de un dispositivo se controlan mediante las directivas de seguridad aplicadas por el agente de Endpoint Security. Las directivas de seguridad controlan una serie de funciones relacionadas con la seguridad. Puede usarlas todas o solo algunas, según las necesidades de su organización. Las directivas antimalware requieren un derecho de actualización de antimalware y que el servidor de antimalware esté configurado. También se requieren varios pasos de configuración para utilizar las funciones de supervisión antimalware. Para obtener más información, consulte la ZENworks Endpoint Security Antimalware Reference (Referencia del servicio antimalware de ZENworks Endpoint Security).

Directiva		Finalidad
	Aplicación de antimalware	Instala el agente antimalware y configura las exploraciones al acceder y a pedido básicas que protegen los dispositivos gestionados frente a amenazas de malware. Dado que es la directiva básica e instala el agente, debe asignarse a los dispositivos antes de que se puedan asignar y aplicar directivas opcionales (la directiva de exploración personalizada, la directiva de exploración de red o la directiva de exclusiones de exploración).
	Exploración antimalware personalizada	Define y programa exploraciones en unidades locales, además de las exploraciones completas y rápidas ya definidas en la directiva de aplicación de antimalware. Permite tratar amenazas específicas que pueden no estar cubiertas en la exploración programada regularmente mediante la directiva de aplicación antimalware.
	Exploración antimalware de red	Define y programa exploraciones en archivos solo de unidades de red. Esta directiva ofrece la posibilidad de seleccionar como destino una unidad de red desde un dispositivo específico. Por ejemplo, puede utilizar esta directiva para explorar un disco de almacenamiento de archivos en una matriz de discos. Las credenciales de red deben configurarse en la directiva para acceder a los archivos de red.
	Exclusiones de exploración antimalware	Permite personalizar exclusiones de exploración distintas a las que ya están configuradas en otras directivas antimalware. Una vez creada esta directiva, puede añadir la opción Directiva de exclusiones a los detalles de exclusiones personalizadas de cualquiera de las otras tres directivas antimalware. A continuación, la directiva se aplica en función de si tiene la misma asignación de dispositivo que la directiva de exclusiones y la directiva antimalware en la que está configurada esta opción.
	Control de aplicaciones	Bloquea la ejecución de aplicaciones o impide que las aplicaciones accedan a Internet. El usuario es quien especifica qué aplicaciones se deben bloquear y a cuáles se les debe impedir el acceso a Internet.
	Hardware de comunicación	Inhabilita el siguiente hardware de comunicaciones: Firewire-1394, IrDA-Infrared, Bluetooth, los puertos serie y paralelo, el acceso telefónico y las conexiones inalámbricas o con cables. Cada hardware se configura de forma individual, por lo que es posible inhabilitar determinados tipos de hardware (por ejemplo, las conexiones Bluetooth y mediante acceso telefónico) y dejar los demás habilitados.
	Cortafuegos	Controla la conectividad de red inhabilitando puertos, protocolos y direcciones de red (IP y MAC).
	Cifrado de datos de Microsoft	Gestiona el cifrado de unidades de datos extraíbles y carpetas de discos fijos mediante BitLocker de Microsoft y el sistema de cifrado de archivos (EFS) de Microsoft, respectivamente.
	Creación de guiones	Ejecuta un guion (JScript o VBScript) en un dispositivo. Es posible especificar los activadores que provocan que el guion se ejecute. Los activadores pueden basarse en acciones del agente de Endpoint Security, en cambios de ubicación o en intervalos de tiempo.
	Control del dispositivo de almacenamiento	Controla el acceso a las unidades de CD/DVD, las unidades de disquete y las unidades de almacenamiento extraíbles. Cada tipo de dispositivo de almacenamiento se configura individualmente, lo que significa que es posible habilitar unos e inhabilitar otros.
	Conectividad USB	Controla el acceso a los dispositivos USB como, por ejemplo, los dispositivos de almacenamiento extraíbles, las impresoras o los dispositivos de entrada (teclados, ratones, etc.). Se pueden especificar dispositivos individuales o grupos de dispositivos. Por ejemplo, se puede inhabilitar el acceso a una impresora específica y habilitar el acceso a todos los dispositivos USB Sandisk.
	Aplicación de VPN	Aplica una conexión de VPN según la ubicación del dispositivo. Por ejemplo, si se desconoce la ubicación de un dispositivo, se puede forzar una conexión VPN a través de la que se dirija todo el tráfico de Internet.
	Wi-Fi	Inhabilita los adaptadores inalámbricos, bloquea las conexiones inalámbricas, controla las conexiones con los puntos de acceso inalámbricos, etc.

Además de las directivas de seguridad anteriores, las siguientes ayudan a proteger y configurar el agente de Endpoint Security. Dada la naturaleza de la directiva de asignación de ubicaciones, es recomendable crearlas y asignarlas en primer lugar.

Directiva	Finalidad
	Valores de seguridad	Está dirigida a proteger el agente de Endpoint Security para evitar su manipulación y desinstalación. Esta directiva se conserva para proporcionar compatibilidad con los dispositivos que aún tienen el agente de ZENworks 11 o ZENworks 11 SP1 Endpoint Security y que no se utilizan con el agente de Endpoint Security actual. Estas versiones del agente siguen utilizando la directiva de ajustes de seguridad. Para obtener información sobre cómo configurar los ajustes de seguridad del agente ZENworks después de ZENworks 11 SP1, consulte Configuración de la seguridad del agente ZENworks.
	Asignación de ubicación	Proporciona una lista de las ubicaciones permitidas para un dispositivo o un usuario. El agente de Endpoint Security evalúa el entorno de redes actual para comprobar si coincide con alguna de las ubicaciones permitidas. Si es así, la ubicación se convierte en la ubicación de seguridad y el agente aplica las directivas de seguridad asociadas con la ubicación. Si ninguna de las ubicaciones de la lista coincide, se aplican las directivas de seguridad asociadas con la ubicación Desconocida. Si pretende utilizar directivas basadas en la ubicación, debe asegurarse de que haya asignada una directiva de asignación de ubicación a cada dispositivo o usuario. Si un dispositivo, o un usuario del dispositivo, no tiene una directiva de asignación de ubicación asignada, el agente de Endpoint Security no puede aplicar ninguna directiva basada en la ubicación al dispositivo.

Directiva

Finalidad

Valores de seguridad

Está dirigida a proteger el agente de Endpoint Security para evitar su manipulación y desinstalación. Esta directiva se conserva para proporcionar compatibilidad con los dispositivos que aún tienen el agente de ZENworks 11 o ZENworks 11 SP1 Endpoint Security y que no se utilizan con el agente de Endpoint Security actual. Estas versiones del agente siguen utilizando la directiva de ajustes de seguridad.

Para obtener información sobre cómo configurar los ajustes de seguridad del agente ZENworks después de ZENworks 11 SP1, consulte Configuración de la seguridad del agente ZENworks.

Asignación de ubicación

Proporciona una lista de las ubicaciones permitidas para un dispositivo o un usuario. El agente de Endpoint Security evalúa el entorno de redes actual para comprobar si coincide con alguna de las ubicaciones permitidas. Si es así, la ubicación se convierte en la ubicación de seguridad y el agente aplica las directivas de seguridad asociadas con la ubicación. Si ninguna de las ubicaciones de la lista coincide, se aplican las directivas de seguridad asociadas con la ubicación Desconocida.

Si pretende utilizar directivas basadas en la ubicación, debe asegurarse de que haya asignada una directiva de asignación de ubicación a cada dispositivo o usuario. Si un dispositivo, o un usuario del dispositivo, no tiene una directiva de asignación de ubicación asignada, el agente de Endpoint Security no puede aplicar ninguna directiva basada en la ubicación al dispositivo.

Para crear una directiva de seguridad:

En el Centro de control de ZENworks, haga clic en Directivas para mostrar la página Directivas.
En el panel Directivas, haga clic en Nuevo > Directiva para lanzar el asistente Crear nueva directiva.
En la página de selección de plataforma, seleccione Windows y haga clic en Siguiente.
En la página Seleccionar categoría de directivas, seleccione Directivas de seguridad de puestos finales Windows y haga clic en Siguiente.
En la página Seleccionar tipo de directiva, seleccione el tipo de directiva que desea crear y haga clic en Siguiente.

Si ha creado ubicaciones y pretende usar directivas basadas en la ubicación, debe crear al menos una directiva de asignación de ubicación y asignarla a los dispositivos o a los usuarios de los dispositivos. Si no lo hace, ninguna de las ubicaciones que cree estará disponible para los dispositivos, lo que implicará que no se puedan aplicar directivas basadas en ubicaciones.
En la página Definir detalles, introduzca un nombre para la directiva y seleccione la carpeta en la que desea colocar la directiva.

El nombre debe se exclusivo respecto a las demás directivas de la carpeta seleccionada.
(Condicional) Si se muestra la página Configurar asignaciones de herencia y ubicación, configure estos ajustes y haga clic en Siguiente.
- Herencia: deje seleccionado el ajuste Heredar de jerarquía de directivas si desea que esta directiva herede los ajustes de otras directivas del mismo tipo asignadas en un nivel superior de la jerarquía de directivas. Por ejemplo, si asigna esta directiva a un dispositivo y otra directiva (del mismo tipo) a la carpeta del dispositivo, al habilitar esta opción la directiva hereda los ajustes de la directiva asignada a la carpeta del dispositivo. Deseleccione Heredar de jerarquía de directivas si no desea que esta directiva herede los ajustes.
- Asignaciones de ubicación: las directivas pueden ser globales o estar basadas en la ubicación. Las directivas globales se aplican independientemente de la ubicación. Las directivas basadas en la ubicación solo se aplican si el dispositivo detecta que se encuentra en las ubicaciones asignadas a la directiva.
  
  Seleccione si se trata de una directiva global o basada en la ubicación. Si es una directiva basada en la ubicación, haga clic en Añadir, seleccione las ubicaciones que desea asignar a la directiva y haga clic en Aceptar para añadirlas a la lista.
Configure los ajustes específicos de la directiva y haga clic en Siguiente hasta llegar a la página de resumen.

Para obtener más información sobre los ajustes de una directiva, haga clic en Ayuda > Página actual en el Centro de control de ZENworks.
En la página de resumen, revise la información para asegurarse de que es correcta. Si no lo es, haga clic en el botón Atrásy vuelva a la página oportuna del asistente para realizar los cambios. Si es correcta, seleccione una de estas opciones (si lo desea) y haga clic en Finalizar.
- Crear como zona protegida: seleccione esta opción para crear la directiva como una versión de zona protegida. Esta versión permanece aislada de los usuarios y dispositivos hasta que se publica. Por ejemplo, es posible asignarla a usuarios y dispositivos, pero solo se aplica después de publicarse.
- Definir propiedades adicionales: seleccione esta opción para mostrar las páginas de propiedades de la directiva. Estas páginas permiten modificar los ajustes de la directiva y asignarla a usuarios y dispositivos.