2.2 Creación de directivas de seguridad

  1. En la consola de gestión, haga clic en Archivo > Crear directiva nueva.

  2. Especifique el nombre de la directiva nueva y haga clic en Crear para mostrar la consola de gestión con la barra de herramientas Directiva y sus pestañas visualizadas.

  3. Configure los parámetros de la directiva utilizando la información de las siguientes secciones:

Las directivas de seguridad se crean definiendo todas las configuraciones globales (comportamientos por defecto), creando y asociando los componentes existentes de esa directiva, como las ubicaciones, cortafuegos y reglas de integridad, y finalmente estableciendo el informe de cumplimiento de la directiva.

Los componentes se crean en una directiva simulada, o bien se asocian a partir de otras directivas. Se da por sentado que para sus primeras directivas, usted crea todas las ubicaciones exclusivas, ajustes del cortafuegos y reglas de integridad para la empresa. Estos componentes se almacenan en la base de datos de Management Service para un posible uso futuro en otras directivas.

El siguiente diagrama muestra los componentes de cada nivel, y una directiva resultante de las selecciones.

2.2.1 Configuración de la directiva global

La configuración de la directiva global se aplica como valor por defecto de la misma. Para acceder a este control, vaya a la consola de gestión y haga clic en la pestaña Configuración de la directiva global.

Las siguientes secciones contienen más información sobre los parámetros de configuración que puede configurar de forma global:

Valores de directiva

La configuración global principal incluye:

  • Nombre y descripción: el nombre de la directiva se especifica al principio del proceso de creación de directivas. Puede editar el nombre o proporcionar una descripción de la directiva.

  • Habilite la autodefensa del cliente: la autodefensa del cliente se puede habilitar o inhabilitar mediante la directiva. Si se deja seleccionada esta casilla se garantiza que la autodefensa del cliente está activa. Si se anula su selección, se desactiva la autodefensa del cliente para todos los puntos finales utilizando esta directiva.

  • Anulación de contraseña: Esta función permite al administrador configurar una anulación de contraseña que puede inhabilitar temporalmente la directiva durante un período especificado de tiempo. Seleccione la casilla Anulación de contraseña y escriba la contraseña en el campo proporcionado. Escriba la contraseña de nuevo en el campo de confirmación de contraseña. Utilice esta contraseña en el generador de contraseña de anulación para generar la clave de contraseña de esta directiva. Para obtener más información, consulte la Sección 1.10, Utilización del generador de claves de contraseñas de anulación.

    ADVERTENCIA:Es muy recomendable que no se facilite esta contraseña a los usuarios. El generador de contraseñas de anulación se debe utilizar para generar una clave temporal para ellas.

  • Contraseña de desinstalación: Recomendamos que se instale cada ZENworks* Security Client con una contraseña de desinstalación para evitar que los usuarios desinstalen el software. Esta contraseña normalmente se configura durante la instalación; no obstante, la contraseña se puede actualizar, habilitar o inhabilitar mediante la directiva.

    Puede seleccionar uno de los siguientes ajustes de la lista desplegable:

    • Utilizar existente: Se trata del ajuste por defecto. Deja la contraseña actual sin modificar.

    • Habilitada: activa una contraseña de desinstalación o la cambia. Especifique la contraseña nueva y confírmela.

    • Inhabilitado: Desactiva el requisito de contraseña de desinstalación.

  • Utilizar mensaje de actualización de la directiva: puede ver un mensaje de usuario personalizado siempre que se actualice la directiva. Haga clic en la casilla de verificación y especifique la información del mensaje en los campos proporcionados.

  • Utilizar hiperenlace: Puede incluir un hiperenlace a la información adicional, directiva corporativa, etc. (consulte Hiperenlaces para obtener más información).

Control inalámbrico

El control inalámbrico ajusta globalmente los parámetros de conectividad del adaptador para proteger el punto final y la red. Para acceder a este control, haga clic en la pestaña Configuración de la directiva global y haga clic en el icono Control inalámbrico en el árbol de directivas situado a la izquierda.

La configuración del control inalámbrico incluye lo siguiente:

  • Inhabilitar transmisiones Wi-Fi: inhabilita globalmente todos los adaptadores Wi-Fi, hasta e incluyendo la opción de silencio total de una radio Wi-Fi integrada.

    Puede elegir visualizar un mensaje de usuario personalizado e hiperenlace cuando el usuario intenta activar una conexión Wi-Fi. Consulte la Mensaje del usuario personalizado para obtener más información.

  • Inhabilitar puente del adaptador: inhabilita globalmente la funcionalidad del puente de red incluida con Windows* XP, lo cual permite al usuario aunar varios adaptadores y actuar como nodo central de la red.

    Puede elegir visualizar un mensaje de usuario personalizado e hiperenlace cuando el usuario intente una conexión Wi-Fi. Consulte la Mensaje del usuario personalizado para obtener más información.

  • Inhabilitar Wi-Fi si está cableado: inhabilita globalmente todos los adaptadores Wi-Fi cuando el usuario tiene una conexión con cable (LAN a través de NIC).

  • Inhabilitar redes Ad Hoc: inhabilita globalmente toda la conectividad ad hoc, la cual aplica la conectividad Wi-Fi sobre una red (por ejemplo, mediante un punto de acceso) y restringe la conexión a red de igual a igual de este tipo.

  • Bloquear conexiones Wi-Fi: bloquea globalmente las conexiones Wi-Fi sin silenciar la radio Wi-Fi. Utilice este valor si desea inhabilitar las conexiones Wi-Fi, pero desea utilizar puntos de acceso para la detección de la ubicación. Consulte la Sección 2.2.2, Locations para obtener más información.

Hardware de comunicación

La configuración del hardware de comunicación controla por ubicación qué tipos de hardware permiten una conexión en este entorno de red.

NOTA:Puede ajustar los controles del hardware de comunicación globalmente en la pestaña Configuración de la directiva global o para las ubicaciones individuales en la pestaña Ubicaciones.

Para ajustar los controles del hardware de comunicación globalmente, haga clic en la pestaña Configuración de la directiva global, expanda Configuración global en el árbol y haga clic en Hardware de comunicación.

Para ajustar los controles del hardware de comunicación para una ubicación, haga clic en la pestaña Ubicaciones, expanda la ubicación deseada en el árbol y haga clic en Hardware de comunicación. Para obtener más información acerca de la configuración del hardware de comunicación de una ubicación, consulte Hardware de comunicación.

Seleccione la habilitación o inhabilitación de la configuración global de cada dispositivo del hardware de comunicación que aparece en:

  • 1394 (FireWire): Controla el puerto de acceso FireWire* en el punto final.

  • IrDA: Controla el puerto de acceso por infrarrojos en el puesto final.

  • Bluetooth: Controla el puerto de acceso Bluetooth* en el punto final.

  • Serie/Paralelo: Controla el acceso del puerto de serie y paralelo en el puesto final.

Control del dispositivo de almacenamiento

Los controles del dispositivo de almacenamiento ajustan los parámetros de configuración del dispositivo de almacenamiento por defecto para la directiva. Esto incluye especificar si a los dispositivos de almacenamiento de archivos externos se les permite leer o escribir archivos, funcionar en un estado de sólo lectura, o inhabilitarse por completo. Si están inhabilitados, estos dispositivos no pueden recuperar datos del punto final; no obstante, la unidad de disco duro y todas las unidades de red seguirán estando operativas y accesibles.

El control del dispositivo de almacenamiento de ZENworks Endpoint Security Management no está permitido si está activada la solución de cifrado de almacenamiento.

NOTA:Puede ajustar los controles del dispositivo de almacenamiento globalmente en la pestaña Configuración de la directiva global o para las ubicaciones individuales en la pestaña Ubicaciones.

Para ajustar los controles del dispositivo de almacenamiento globalmente, haga clic en la pestaña Configuración de la directiva global, expanda Configuración global en el árbol y haga clic en Control del dispositivo de almacenamiento.

Para ajustar los controles del dispositivo de almacenamiento para una ubicación, haga clic en la pestaña Ubicaciones, expanda la ubicación deseada en el árbol y haga clic en Control del dispositivo de almacenamiento. Para obtener más información, consulte la Hardware de comunicación.

El control del dispositivo de almacenamiento está dividido en las siguientes categorías:

  • CD/DVD: controla todos los dispositivos que aparecen en las unidades de DVD/CD-ROM en Windows Device Manager.

  • Almacenamiento extraíble: controla todos los dispositivos notificados como almacenamiento extraíble de las Unidades de disco en Windows Device Manager.

  • Floppy Drive: controla todos los dispositivos que aparecen en las Unidades de disquete en Windows Device Manager.

  • Dispositivos preferidos: permite únicamente los dispositivos de almacenamiento extraíbles que aparecen en la ventana Control del dispositivo de almacenamiento. No se permite el resto de dispositivos notificados como almacenamiento extraíble.

Siempre se permite el almacenamiento fijo (unidades de disco duro) y unidades de red (si están disponibles).

Para ajustar el valor por defecto de la directiva de los dispositivos de almacenamiento, seleccione la configuración global para ambos tipos de las listas desplegables:

  • Activar: El tipo de dispositivo se permite por defecto.

  • Inhabilitar: el tipo de dispositivo no está permitido. Cuando los usuarios intentan acceder a los archivos en un dispositivo de almacenamiento definido, éstos reciben un mensaje de error del sistema operativo, o de la aplicación que intenta acceder al dispositivo de almacenamiento local, indicando que se ha producido un error en la acción

  • Sólo lectura: el tipo de dispositivo está establecido como Sólo lectura. Cuando los usuarios intentan escribir en el dispositivo, éstos reciben un mensaje de error del sistema operativo, o de la aplicación que intenta acceder al dispositivo de almacenamiento local, indicando que se ha producido un error en la acción

NOTA:Si desea inhabilitar las unidades de CD-ROM o unidades de disquete en un grupo de puntos finales, o ajustarlas como Sólo lectura, la configuración de seguridad local (bajada de nivel a través de un objeto de directiva del grupo de servicios de directorio) debe tener Dispositivos: restringir acceso de CD-ROM únicamente para el usuario que ha iniciado sesión localmente y Dispositivos: restringir acceso de disquete únicamente para el usuario que ha iniciado sesión localmente ajustado como Inhabilitado. Para verificar esto, abra el objeto de directiva del grupo, o bien abra las herramientas administrativas en un equipo. Mirar configuración de la seguridad local: opciones de seguridad y comprobar que ambos dispositivos están inhabilitados. El valor por defecto es Inhabilitado.

Las secciones siguientes contienen más información sobre:

Dispositivos preferidos

Los dispositivos de almacenamiento extraíbles preferidos se pueden añadir opcionalmente a una lista, lo que permite que sólo los dispositivos autorizados accedan cuando se utilice la configuración global en una ubicación. Los dispositivos añadidos a esta lista deben tener un número de serie.

Para enumerar un dispositivo preferido:

  1. Inserte el dispositivo en el puerto USB del equipo en el que está instalada la Consola de gestión.

  2. Una vez que el dispositivo esté listo, haga clic en el botón Explorar. Si el dispositivo tiene un número de serie, su descripción y número de serie aparecen en la lista.

  3. Seleccione un valor de la lista desplegable (el valor del Dispositivo extraíble global no se aplicará a esta directiva):

    • Habilitada: Los dispositivos de la lista de preferidos pueden utilizar la función de lectura/escritura y el resto de USB y dispositivos de almacenamiento externo están inhabilitados.

    • Sólo lectura: Los dispositivos que aparezca en la lista de preferidos tienen la capacidad de sólo lectura; el resto de dispositivos USB y de almacenamiento externo están inhabilitados.

Repita estos pasos para cada dispositivo permitido en esta directiva. Se aplica la misma configuración a todos los dispositivos.

NOTA:Los ajustes del control del dispositivo de almacenamiento basado en la ubicación anularán la configuración global. Por ejemplo, podría ajustar todos los dispositivos de almacenamiento externo para que se permitan en la ubicación de trabajo, mientras se permite únicamente el valor por defecto global en el resto de ubicaciones, limitando los usuarios a los dispositivos de la lista de preferidos.

Importación de listas de dispositivos

La aplicación del escáner de la unidad USB de Novell genera una lista de dispositivos y sus números de serie (Sección 1.11, Escáner de la unidad USB). Para importar esta lista, haga clic en Importar y navegue hasta la lista. La lista rellena los campos Descripción y Número de serie.

Conectividad USB

Todos los dispositivos que se conectan mediante el BUS USB se pueden permitir o denegar por directiva. Estos dispositivos se pueden escanear en la directiva desde el informe del inventario de dispositivos USB o escaneando todos los dispositivos actualmente conectados a un equipo. Estos dispositivos se pueden filtrar en función del fabricante, nombre del producto, números de serie, tipo, etc. A efectos de compatibilidad, el administrador puede configurar la directiva para que acepte un conjunto de dispositivos, por tipo de fabricante, (por ejemplo, todos los dispositivos HP están permitidos) o por tipo de producto (todos los dispositivos de interfaz humana USB, como el ratón y el teclado, están permitidos). Asimismo, se puede permitir a los dispositivos individuales que eviten la introducción en la red de·los dispositivos no compatibles (por ejemplo, no se permite ninguna impresora a excepción de la de la directiva).

Para acceder a este control, haga clic en Configuración de la directiva global y haga clic en Conectividad USB del árbol de directivas de la izquierda.

Figura 2-1 Página de conectividad USB.

En primer lugar, se evalúa el acceso en función de que el bus se encuentre activado o no. Esto se determina por el valor de configuración de los Dispositivos USB. En caso de que el valor de configuración se encuentre establecido en Inhabilitar todos los accesos, también se inhabilitará el dispositivo y se detendrá la evaluación. En caso de que el valor de configuración se encuentre establecido en Permitir todos los accesos, el cliente continuará con la evaluación y con la búsqueda de coincidencias de filtro. Como sucede con otros campos de la Consola de gestión de ZENworks, cuando se establecen en una ubicación, los valores de los Dispositivos USB también se pueden configurar con la opción Aplicar ajustes globales y, en su lugar, se utilizará el valor global de este campo.

El cliente agrupa los filtros que se aplican desde la directiva en función de la ubicación y de los valores de configuración globales. Por tanto, el cliente llevará a cabo dicha agrupación según el acceso a los siguientes grupos:

  • Bloquear siempre: Bloquear siempre el dispositivo. Este valor no se puede modificar.

  • Permitir siempre: Permitir siempre el acceso, a menos que el dispositivo coincida con el filtro Bloquear siempre.

  • Bloquear: Bloquear el acceso, a menos que el dispositivo coincida con el filtro Permitir siempre.

  • Permitir: Permitir el acceso, a menos que el dispositivo coincida con el filtro Bloquear siempre o Bloquear.

  • Acceso al dispositivo por defecto: En caso de que no se encuentre otra coincidencia, al dispositivo se le da el mismo nivel de acceso que con la opción Acceso al dispositivo por defecto.

Se evalúa un dispositivo en cada grupo siguiendo el orden anterior (en primer lugar, el grupo Bloquear siempre, seguido del grupo Permitir siempre, etc.). Cuando un dispositivo coincide con, al menos, un filtro de·un grupo, el acceso al dispositivo se establece en dicho nivel y se detiene la evaluación. En caso de que el dispositivo se evalúe con todos los filtros y no se encuentre ninguna coincidencia, se aplica el nivel Acceso al dispositivo por defecto.

El acceso al dispositivo que se encuentre establecido en el área del Acceso al grupo del dispositivo se considera con todos los·filtros que se utilicen en dicha ubicación. Esto se realiza mediante la generación de coincidencias de los filtros para cada agrupación cuando la directiva se publica al cliente. Estos filtros son los siguientes:

Acceso al grupo del dispositivo:

Filtros:

Dispositivo de interfaz humana (HID)

"Clase de dispositivo" igual a 3.

Clase de almacenamiento masivo

"Clase de dispositivo" igual a 8.

Clase de impresión

"Clase de dispositivo" igual a 7.

Escaneo/generación de imágenes

"Clase de dispositivo" igual a 6.

Avanzadas

En la mayoría de las situaciones, los cuatro grupos de dispositivos enumerados en la página de conectividad USB (dispositivo de interfaz humana, clase de almacenamiento masivo, clase de impresión y escaneo/generación de imágenes) son suficientes para permitir o denegar el acceso a la mayoría de los dispositivos USB. En caso de que tenga dispositivos que no estén registrados en uno de estos grupos, puede configurar los ajustes en la página avanzada de conectividad USB. También puede usar los ajustes de la página avanzada para ofrecer acceso a la lista blanca a determinados dispositivos, incluso si se les ha denegado el acceso debido a los valores de configuración que se encuentran en la página de conectividad USB.

Para poder acceder a las opciones de Conectividad de USB avanzadas, haga clic en el signo más junto a Conectividad USBen el árbol Configuración global y a continuación haga clic enAvanzadas Puede utilizar el informe de auditoría del dispositivo USB a fin de obtener toda la información que pudiera ser de gran ayuda en la página avanzada de control de la conectividad USB.

Figura 2-2 Página avanzada de conectividad USB.

En las columnas por defecto, se incluye lo siguiente:

  • Acceso: Active Acceso al dispositivo por defecto con el ratón y, a continuación, especifique el nivel de acceso:

    • Bloquear siempre: Bloquear siempre el dispositivo. Este valor no se puede modificar.

    • Permitir siempre: Permitir siempre el acceso, a menos que el dispositivo coincida con el filtro Bloquear siempre.

    • Bloquear: Bloquear el acceso, a menos que el dispositivo coincida con el filtro Permitir siempre.

    • Permitir: Permitir el acceso, a menos que el dispositivo coincida con el filtro Bloquear siempre o Bloquear.

    • Acceso al dispositivo por defecto: En caso de que no se encuentre otra coincidencia, al dispositivo se le da el mismo nivel de acceso que con la opción Acceso al dispositivo por defecto.

  • Fabricante: Haga clic en la columna Fabricante y, a continuación, introduzca el nombre del fabricante que desee incluir en el filtro (p. ej.: Canon).

  • Producto: Haga clic en la columna Producto y, a continuación, introduzca el nombre del producto que desee incluir en el filtro.

  • Nombre descriptivo: Haga clic en la columna Nombre descriptivo y, a continuación, introduzca el nombre descriptivo del dispositivo que desee incluir en el filtro.

  • Número de serie: Haga clic en la columna Número de serie y, a continuación, introduzca el número de serie del dispositivo que desee incluir en el filtro.

  • Comentario: Haga clic en la columna Comentario y, a continuación, introduzca el comentario que desee incluir en el filtro (p. ej., Canon).

Puede hacer clic en el recuadro Columnas avanzadas para añadir las siguientes columnas: Versión USB, Clase de dispositivo, Subclase de dispositivo, Protocolo del dispositivo, ID del proveedor, ID del producto, Dispositivo BCD, ID del dispositivo del SO y Clase de dispositivo del SO.

Un dispositivo pone a disposición del SO un conjunto de atributos. El cliente hace coincidir dichos atributos con los campos que requiere el filtro. Para tener una coincidencia, todos los campos de un filtro deben coincidir con un atributo propio del dispositivo. El filtro no coincidirá en caso de que el dispositivo no ofrezca un atributo o campo que sea necesario para dicho filtro.

Por ejemplo, considere que un dispositivo ofrece los siguientes atributos: Fabricante: Clase Acme: 8 y Número de serie: "1234".

El filtro: Clase == 8 coincidiría con este dispositivo. El filtro: Producto == "Acme" no coincidiría, porque el dispositivo no proporcionó un atributo de producto para el dispositivo del SO.

Los siguientes campos coinciden en subcadenas: Fabricante, Producto y Nombre descriptivo. El resto de los campos coinciden perfectamente.

Es importante destacar que el campo número de serie (NS) USB mediante especificación es único si se tiene en cuenta al especificar los siguientes campos junto con el NS: Versión USB, ID del proveedor, ID de producción y Dispositivo BCD.

Los valores decimales actuales que son válidos para la versión USB son: 512 - USB 2.0, 272 - USB 1.1 y 256 - USB 1.0.

Las secciones siguientes contienen más información sobre:

Adición manual de dispositivos

Los siguientes métodos permiten rellenar la lista para que pueda permitir o denegar la conectividad USB a los dispositivos:

Para añadir un dispositivo manualmente:

  1. Inserte el dispositivo en el puerto USB del equipo en el que está instalada la Consola de gestión.

  2. Una vez que el dispositivo esté listo, haga clic en el botón Explorar. Si el dispositivo tiene un número de serie, su descripción y número de serie aparecen en la lista.

  3. Seleccione un valor de la lista desplegable (el valor del Dispositivo extraíble global no se aplica a esta directiva):

    • Activar: Los dispositivos de la lista de preferidos pueden utilizar la función de lectura/escritura, y el resto de USB y dispositivos de almacenamiento externo están inhabilitados

    • Sólo lectura: Los dispositivos de la lista de preferidos pueden utilizar la función de sólo lectura; el resto de dispositivos USB y de almacenamiento externo están inhabilitados

Repita los pasos para cada dispositivo que se vaya a permitir en esta directiva. Se aplica la misma configuración a todos los dispositivos.

Añadir un dispositivo a la lista blanca o a la lista negra por tipo de producto

En la siguiente sección se describe cómo añadir a la lista blanca o a la lista negra un dispositivo USB según el tipo de producto.

NOTA:El siguiente procedimiento se proporciona como ejemplo de cómo puede encontrar el tipo de producto de su dispositivo de almacenamiento USB extraíble. Dependiendo de la información que el fabricante del dispositivo facilite, el procedimiento funcionará o no. Puede utilizar el informe de auditoría del dispositivo USB a fin de obtener toda la información que pudiera ser de gran ayuda en la página avanzada de control de la conectividad USB.

Para determinar el tipo de producto de un dispositivo de almacenamiento USB extraíble:

  1. En la ventana de la Consola de gestión del equipo con Microsoft Windows, haga clic en Gestor·de dispositivos.

  2. Haga clic en el signo más junto a Unidades de disco para expandir el árbol.

  3. Haga clic con el botón derecho del ratón en el dispositivo USB y, a continuación, haga clic en Propiedades para que se muestre el recuadro de diálogo Propiedades del dispositivo.

  4. Haga clic en la pestaña Detalles y seleccione ID de instancia de dispositivo en la lista desplegable.

    El tipo de producto aparece después de &PROD en el ID de instancia del dispositivo. En el siguiente ejemplo, DATATRAVELER es el tipo de producto.

Añadir a la lista blanca un dispositivo USB: deje los parámetros de configuración predeterminados de la página Conectividad USB. En la página Configuración Avanzada, cree dos filas. En la primera fila, especifique Denegar en la columna Acceso y 8 en la columna Clase de dispositivo (si Clase de dispositivo no está disponible, seleccione la casilla de verificación Columnas avanzadas. En la segunda fila, especifique Permitir siempre en la columna Acceso, el tipo de producto (DATATRAVELER, en este ejemplo) en la columna Producto y 8 en la columna Clase de dispositivo.

La página Conectividad USB (Avanzada) debería tener el siguiente aspecto:

el dispositivo USB DATATRAVELER está ahora en la lista blanca, lo que significa que ZENworks Endpoint Security Management le ha concedido acceso y el resto de los dispositivos de almacenamiento USB extraíbles tienen el acceso denegado.

Añadir a la lista negra·un dispositivo USB: deje los parámetros de configuración predeterminados de la página Conectividad USB. En la página Configuración Avanzada, cree dos filas. En la primera fila, especifique Permitir siempre en la columna Acceso y 8 en la columna Clase de dispositivo (si Clase de dispositivo no está disponible, seleccione la casilla de verificación Columnas avanzadas). En la segunda fila, especifique Bloquear siempre en la columna Acceso, el tipo de producto (DATATRAVELER, en este ejemplo) en la columna Producto y 8 en la columna Clase de dispositivo.

La página Conectividad USB (Avanzada) debería tener el siguiente aspecto:

el dispositivo USB DATATRAVELER está ahora en la lista negra, lo que significa que ZENworks Endpoint Security Management no le concede el acceso y el resto de los dispositivos de almacenamiento USB extraíbles tienen el acceso concedido.

Cifrado de datos

El cifrado de datos determina si el cifrado de archivos se aplica en el punto final y qué tipo de cifrado está disponible. Se pueden cifrar los datos para permitir compartir archivos (con protección por contraseña), o los datos se pueden cifrar para que sean de sólo lectura en los equipos que ejecuten ZENworks Storage Encryption Solution.

NOTA:El cifrado sólo lo admite Windows XP SP2. La parte de cifrado de la directiva de seguridad se ignora en los dispositivos que no cumplan este requisito del sistema operativo.

El control del dispositivo de almacenamiento de ZENworks Endpoint Security Management no está permitido si está activada ZENworks Storage Encryption Solution.

Para acceder a este control, abra la pestaña Configuración de la directiva global y haga clic en el icono Cifrado de datos en el árbol de directivas situado a la izquierda.

Para activar los controles individuales, haga clic en la casilla de verificación Habilitar cifrado de datos.

NOTA:Las claves de cifrado se distribuyen a todas las máquinas que reciben las directivas de Policy Distribution Service, independientemente de si el cifrado de datos está o no activado. No obstante, este control proporciona instrucciones a ZENworks Security Client para activar sus controladores de cifrado, de tal forma que los usuarios puedan leer los archivos que se les haya enviado sin necesidad de la utilidad de descifrado de archivos. Consulte Sección 1.9, Uso de la utilidad de descifrado de archivos de ZENworks para obtener más información.

Determine los niveles de cifrado que permite esta directiva:

  • Contraseña de la directiva para permitir el descifrado: Especifique una contraseña para que todos los usuarios que utilicen esta directiva tengan que introducir esta contraseña antes de descifrar los archivos cifrados almacenados en sus carpetas Puerto seguro.

    Éste valor de configuración es opcional. Déjelo en blanco para que no sea necesario introducir la contraseña.

  • Habilite la carpeta cifrada "Safe Harbor" (puerto seguro) para los discos fijos (volumen no perteneciente al sistema): Genera una carpeta en la raíz de todos los volúmenes no pertenecientes al sistema en el puesto final, con el nombre Archivos protegidos con cifrado. Todos los archivos ubicados en esta carpeta los cifra y gestiona ZENworks Security Client. Los datos que se encuentran en esta carpeta se cifran automáticamente y sólo podrán acceder a ellos los usuarios autorizados de este equipo.

    El nombre de la carpeta se puede cambiar haciendo clic en el campo Nombre de la carpeta, seleccionando el texto actual y especificando el nombre deseado.

    • Cifrar la carpeta "Mis documentos" del usuario: Active esta casilla para ajustar la carpeta Mis documentos del usuario como una carpeta cifrada (esto se aplica además a la carpeta Puerto seguro). Esto sólo se aplica a la carpeta local Mis documentos.

    • Permitir carpetas específicas del usuario (volumen no perteneciente al sistema): Active esta casilla para permitir a los usuarios seleccionar qué carpetas de su equipo se van a cifrar. Esto sólo se aplica a las carpetas locales; no se pueden cifrar dispositivos de almacenamiento extraíbles ni unidades de red.

    ADVERTENCIA:Antes de inhabilitar el cifrado de datos, compruebe que todos los datos almacenados en estas carpetas los haya extraído el usuario y almacenado en otra ubicación.

  • Habilite el cifrado para los dispositivos de almacenamiento extraíbles: Se pueden cifrar todos los datos escritos en dispositivos de almacenamiento extraíbles desde un punto final protegido por esta directiva. Los usuarios con esta directiva en sus equipos pueden leer los datos, por lo que es posible la compartición de archivos mediante los dispositivos de almacenamiento extraíbles de un grupo de directivas. Los usuarios que no pertenezcan a este grupo de directivas no pueden leer los archivos cifrados en la unidad y sólo se podrá acceder a los archivos de la carpeta Shared Files (si están activados) si se facilita la contraseña.

    • Habilitar cifrado mediante la contraseña definida por el usuario: Este valor da al usuario la capacidad de almacenar archivos en una carpeta de Shared Files del dispositivo de almacenamiento extraíble (esta carpeta se genera automáticamente cuando se aplique este valor). El usuario puede especificar una contraseña cuando los archivos se añaden a esta carpeta, la cual pueden utilizar los usuarios que no se encuentren en el grupo de directivas actual para extraer los archivos.

      El nombre de la carpeta se puede cambiar haciendo clic en el campo Nombre de la carpeta, seleccionando el texto actual y especificando el nombre deseado.

    • Requerir contraseña segura: Este valor obliga al usuario a definir una contraseña segura para la carpeta Shared Files. Una contraseña segura debe tener:

      • siete caracteres o más

      • al menos uno de los siguientes tipos de caracteres:

        • letras mayúsculas de la "A" a la" Z"

        • letras minúsculas de la "a" a la "z"

        • números del 0 al 9

        • al menos un carácter especial ~!@#$%^&*()+{}[]:;<>?,./

      Por ejemplo: y9G@wb?

    ADVERTENCIA:Antes de inhabilitar el cifrado de datos, compruebe que todos los datos almacenados en los dispositivos de almacenamiento extraíbles los ha extraído el usuario y los ha almacenado en otra ubicación.

  • Pida al cliente que reinicie si es necesario: Cuando se añade cifrado a una directiva, ésta no se activa hasta que se reinicie el puesto final. Este valor fuerza el reinicio necesario mostrando un temporizador de cuenta atrás, advirtiendo al usuario de que el equipo se reiniciará en el número de segundos especificado. El usuario dispone de ese intervalo de tiempo para guardar trabajo antes de que se reinicie el equipo.

    Se debe reiniciar cuando el cifrado se active primero en una directiva y una segunda vez cuando se active el cifrado de almacenamiento extraíble o "Safe Harbor" (puerto seguro) (si se activa de forma independiente de la activación del cifrado). Por ejemplo, cuando se aplica por primera vez una directiva de cifrado, se debe reiniciar el equipo dos veces: una para inicializar las unidades y una segunda vez para cifrar todos los puertos seguros. Si posteriormente se seleccionan más puertos seguros una vez se haya aplicado la directiva, sólo deberá reiniciar el equipo una vez para que los puertos seguros se incluyan en la directiva.

Actualizar ZSC

Las revisiones para reparar los pequeños defectos en ZENworks Security Client están disponibles con las actualizaciones regulares de ZENworks Endpoint Security Management. En lugar de proporcionar un nuevo instalador que necesita distribuirse a través de MSI a todos los puntos finales, la actualización de ZENworks Security Client permite al administrador dedicar una zona de la red que distribuya revisiones de actualización a los usuarios finales cuando estos se asocien al entorno de red.

Para acceder a este control, haga clic en la pestaña Configuración de la directiva global y haga clic en Actualizar ZSC en el árbol de directivas situado a la izquierda.

Para facilitar la distribución segura y sencilla de estas revisiones a todos los usuarios de ZENworks Security Client:

  1. Active Habilitar para activar la pantalla y la regla.

  2. Especifique la ubicación en la que ZENworks Security Client busca las actualizaciones.

    Debido a las recomendaciones del siguiente paso, la ubicación asociada al entorno empresarial (por ejemplo, la ubicación de trabajo) es el candidato recomendado.

  3. Especifique la URI en la que se ha almacenado la revisión.

    Esto tiene que apuntar al archivo de revisiones, que puede ser el archivo setup.exe para ZENworks Security Client o un archivo MSI creado a partir del archivo .exe. A efectos de seguridad, se recomienda que estos archivos se almacenen en un servidor seguro tras el cortafuegos de la empresa.

  4. Especifique la información de la versión para este archivo en los campos proporcionados.

    La información de la versión se encuentra al instalar ZENworks Security Client y al abrir a continuación el cuadro de diálogo Acerca de (consulte la Guía de instalación de ZENworks Endpoint Security Management para obtener más información). El número de versión de STEngine.exe es el número de versión que deseará utilizar en los campos.

Cada vez que el usuario introduzca la ubicación asignada, ZENworks Security Client comprueba la URI de una actualización que coincida con el número de versión. Si hay disponible una actualización, ZENworks Security Client la descarga y la instala.

Aplicación de VPN

Esta regla aplica el uso de un SSL o VPN (Red Privada Virtual) basada en el cliente. Esta regla se aplica normalmente a los enlaces directos inalámbricos, permitiendo al usuario asociar y conectarse a la red pública, a la hora a la que la regla intenta establecer la conexión de VPN y, a continuación, cambiar el usuario a una ubicación definida y ajustes del cortafuegos. Todos los parámetros son a criterio del administrador. Todos los parámetros anulan la configuración de la directiva existente. El componente de aplicación de VPN requiere que el usuario se conecte a una red antes de su inicio.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management y no puede utilizarse para directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Configuración de la directiva global y haga clic en Aplicación de VPN en el árbol de directivas situado a la izquierda.

Para utilizar la regla de aplicación de VPN, deben existir dos ubicaciones como mínimo.

Para añadir la aplicación de VPN a una directiva de seguridad nueva o existente:

  1. Active Habilitar para activar la pantalla y la regla.

  2. Especifique las direcciones IP para el servidor de VPN en el campo proporcionado. Si se especifican varias direcciones, sepárelas con un punto y coma (por ejemplo: 10.64.123.5;66.744.82.36).

  3. Seleccione Cambiar a ubicación de la lista desplegable.

    Ésta es la ubicación a la que ZENworks Security Client cambia cuando se activa la VPN. Esta ubicación debe contener algunas restricciones y sólo debe utilizar ajustes del cortafuegos restrictivos únicos como su valor por defecto.

    Es recomendable que los ajustes del cortafuegos sean Todo cerrado, que cierra todos los puertos TCP/UDP, para una aplicación estricta de VPN. Este valor evita la conectividad no autorizada, mientras que la dirección IP de la red privada virtual actúa como un ACL al servidor de VPN, y permite la conectividad de la red.

  4. Seleccione las ubicaciones del activador en las que se aplicará la regla de aplicación de VPN. Para la aplicación de VPN estricta, se debe utilizar la ubicación desconocida por defecto para esta directiva. Una vez que se haya autenticado la red, la regla de VPN se activa y cambia al cambio de ubicación asignado.

    NOTA:El cambio de ubicación tiene lugar antes de la conexión de VPN, una vez que se haya autenticado la red.

  5. Proporcione un mensaje del usuario personalizado para que aparezca cuando la VPN se haya autenticado para la red. Para las redes privadas virtuales que no sean de cliente, esto debería ser suficiente.

    Para las redes privadas virtuales con un cliente, incluya un hiperenlace que apunte al cliente de VPN.

    Ejemplo: C:\Archivos de programa\Cisco Systems\Cliente de VPN\ipsecdialer.exe

    Este enlace lanza la aplicación, pero el usuario aún debe iniciar sesión. Se puede introducir un parámetro en el campo Parámetros, o bien se puede crear e indicar un archivo por lotes, en lugar del cliente ejecutable).

NOTA:Los clientes de VPN que generen adaptadores virtuales (por ejemplo, Cisco Systems* VPN Client 4.0) visualizan el mensaje La directiva se ha actualizado. La directiva no se ha actualizado; ZENworks Security Client está simplemente comparando el adaptador virtual con cualquier restricción del adaptador en la directiva actual.

El valor de aplicación de VPN estándar descrito anteriormente convierte a la conectividad de VPN en una opción. Se concederá a los usuarios conectividad a la red actual se inicie o no su VPN. Para una aplicación más estricta, consulte la Configuración de VPN avanzada.

Configuración de VPN avanzada

Los controles de VPN avanzada ajustan los tiempos de espera de la autenticación para protegerse frente a los fallos de la VPN, conectar comandos para las redes privadas virtuales basadas en el cliente y usar los controles de adaptador para controlar a los que se permite acceso a la red privada virtual.

Para acceder a este control, haga clic en la pestaña Configuración de la directiva global, haga clic en el símbolo "+" situado junto a la Aplicación de VPN y haga clic en Avanzadas en el árbol de directivas situado a la izquierda.

Se pueden configurar los siguientes valores avanzados de la aplicación de VPN:

Tiempo límite de autenticación: Los administradores pueden colocar el puesto final en unos ajustes del cortafuegos seguros (la configuración del cortafuegos Cambiar a ubicación) para protegerse frente a los fallos de conectividad de la VPN. El Tiempo límite de autenticación es la cantidad de tiempo que ZENworks Security Client espera hasta obtener la autenticación en el servidor de la VPN. Este parámetro se debe ajustar por encima de 1 minuto para permitir la autenticación en conexiones más lentas.

Conectar/desconectar comandos: Al utilizar el temporizador de la autenticación, los comandos Conectar y Desconectar controlan la activación de la VPN basada en el cliente. Especifique la ubicación del cliente de VPN y los parámetros necesarios en los campos de Parámetros. El comando Desconectar es opcional y se proporciona a los clientes de la VPN que requieren que el usuario se desconecte antes de finalizar sesión de la red.

NOTA:Los clientes de VPN que generan adaptadores virtuales (por ejemplo, Cisco Systems VPN Client 4.0) visualizan el mensaje La directiva se ha actualizado y pueden alternar desde la ubicación actual temporalmente. La directiva no se ha actualizado; ZENworks Security Client está simplemente comparando el adaptador virtual con cualquier restricción del adaptador en la directiva actual. Al ejecutar los clientes de la VPN de este tipo, no se debe utilizar el hiperenlace del comando Desconectar.

Adaptadores: Esto es esencialmente una directiva del mini adaptador específica de la aplicación de VPN.

Si se selecciona un adaptador (cambiándolo a Habilitado, Excepto), a estos adaptadores (inalámbrico siendo específico para el tipo de tarjeta) se les permite conectividad a la red privada virtual.

A los adaptadores que aparecen en la lista de excepciones se les deniega la conectividad a la VPN, mientras que al resto de ese tipo se les proporciona conectividad.

Si no se ha seleccionado un adaptador (Inhabilitado, Excepto), sólo los adaptadores especificados en la lista de excepciones podrán conectarse a la VPN. Al resto se le deniega la conectividad.

Este control se puede utilizar para los adaptadores incompatibles con la red privada virtual, por ejemplo, o adaptadores no compatibles con el departamento de TI.

Esta regla anula el conjunto de directivas del adaptador para el cambio a ubicación.

Mensaje del usuario personalizado

Los mensajes del usuario personalizados permiten al administrador de ZENworks Endpoint Security Management crear mensajes que respondan directamente a las preguntas de la directiva de seguridad a medida que el usuario encuentre restricciones de seguridad aplicadas por la directiva. Los mensajes del usuario personalizados también pueden proporcionar instrucciones específicas al usuario. Los controles de los mensajes del usuario están disponibles en varios componentes de la directiva.

Para crear un mensaje de usuario personalizado:

  1. Especifique un título para el mensaje. Esto aparece en la barra de títulos del cuadro de mensaje.

  2. Especifique el mensaje. El mensaje está limitado a 1.000 caracteres.

  3. Si se necesita un hiperenlace, active la casilla Mostrar hiperenlaces y especifique la información necesaria.

NOTA:La modificación del mensaje o hiperenlace en un componente compartido cambia en el resto de instancias de ese componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

Hiperenlaces

Un administrador puede incorporar hiperenlaces en mensajes personalizados para ayudar a explicar las directivas de seguridad o proporcionar enlaces a las actualizaciones de software para mantener el cumplimiento de la integridad. Los hiperenlaces están disponibles en varios componentes de directiva. Se puede crear un hiperenlace de VPN que puede apuntar al ejecutable del cliente de VPN, o a un archivo por lotes que se ejecute y registre completamente el usuario en la VPN (consulte Aplicación de VPN para obtener más información).

Para crear un hiperenlace:

  1. Especifique un nombre para el enlace. Éste es el nombre que aparece debajo del mensaje. Esto también es necesario para los hiperenlaces de la VPN avanzada.

  2. Especifique el hiperenlace.

  3. Especifique los cambios u otros parámetros para el enlace.

NOTA:La modificación del mensaje o del hiperenlace en un componente compartido cambia en el resto de instancias de ese componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

2.2.2 Locations

Las ubicaciones son grupos de reglas asignadas a los entornos de red. Estos entornos se pueden ajustar en la directiva (ver Entornos de red), o bien definirlos el usuario, si está permitido. A cada ubicación se le puede dar un único valor de seguridad, denegando el acceso a determinados tipos de redes y hardware en entornos de red más hostiles, y concediendo más acceso en entornos de confianza.

Para acceder a los controles de la ubicación, haga clic en la pestaña Ubicaciones.

Las secciones siguientes contienen más información sobre:

Acerca de las ubicaciones

Se pueden configurar los siguientes tipos de ubicaciones:

Ubicación desconocida: Todas las directivas tienen una ubicación desconocida por defecto. Ésta es la ubicación a la que ZENworks Security Client cambia los usuarios cuando abandonan un entorno de red conocido. Esta ubicación desconocida es única para cada directiva y no está disponible como un componente compartido. Los entornos de red no se pueden ajustar ni guardar para esta ubicación.

Para acceder a los controles de la ubicación desconocida, haga clic en la pestaña Ubicaciones y haga clic en la ubicación Desconocida en el árbol de directivas situado a la izquierda.

Ubicaciones definidas: Las ubicaciones definidas se pueden crear para la directiva, o bien se pueden asociar las ubicaciones existentes (aquellas creadas para otras directivas).

Para crear una ubicación nueva:

  1. Haga clic en Ubicaciones definidas y haga clic en el botón Componente nuevo de la barra de herramientas.

  2. Asigne un nombre a la ubicación y proporcione una descripción.

  3. Definir los valores de la ubicación:

    Icono: Seleccione un icono de la ubicación para proporcionar una imagen visual al usuario para identificar la ubicación actual. El icono de la ubicación se visualiza en la barra de tareas en el área de notificación. Utilice la lista desplegable para ver y seleccionar desde los iconos de la ubicación disponible.

    Intervalo de actualización: Especifique el valor que determinará la frecuencia con la que ZENworks Security Client comprueba la actualización de una directiva al acceder a esta ubicación. El tiempo de frecuencia se ajusta en minutos, horas o días. Si se anula la selección de este parámetro, ZENworks Security Client no comprueba la actualización en esta ubicación.

    Permisos del usuario: Especifique los permisos de usuario:

    • Permitir cambio manual de la ubicación: Permite al usuario cambiar a y desde esta ubicación. Para las ubicaciones no gestionadas (lugares de acceso público, aeropuertos, hoteles, etc.), se debe conceder este permiso. En los entornos controlados en los que se conocen los parámetros de la red, este permiso se puede inhabilitar. El usuario no puede cambiar a o desde las ubicaciones si está habilitado este permiso; en su lugar, ZENworks Security Client confía en los parámetros del entorno de red especificados para esta ubicación.

    • Guardar entorno de red: Permite al usuario guardar el entorno de red en esta ubicación para permitir el cambio automático a la ubicación cuando el usuario vuelva. Este valor se recomienda para las ubicaciones al que el usuario necesite cambiar. Se pueden guardar varios entornos de red para una única ubicación. Por ejemplo, si una ubicación definida como Aeropuerto es parte de la directiva actual, cada aeropuerto que visite el usuario puede guardarse como un entorno de red de esta ubicación. De esta forma, un usuario móvil puede volver a un entorno de aeropuerto guardado y ZENworks Security client cambia automáticamente a la ubicación del aeropuerto y aplica la configuración de seguridad definida. Por supuesto, un usuario puede cambiar a una ubicación y no guardar el entorno.

    • Permitir cambio de los ajustes del cortafuegos manual: Permite al usuario cambiar los ajustes del cortafuegos.

    • Mostrar ubicación en el menú Cliente: Permite la visualización de la ubicación en el menú del cliente. Si no está seleccionada, la ubicación no se visualiza.

    Seguridad de la ubicación del cliente: Dado que la información del entorno de red utilizada para determinar una ubicación se puede falsificar fácilmente, exponiendo potencialmente al punto final a intrusión, la opción de la comprobación cifrada de una ubicación está disponible a través de Client Location Assurance Service (CLAS). Este servicio sólo es fiable en los entornos de red que se encuentran única y exclusivamente bajo el control de la empresa. La adición de seguridad de la ubicación del cliente implica que los permisos y los ajustes del cortafuegos se pueden configurar como menos restrictivios, dando por sentado que el punto final está ahora protegido detrás del cortafuegos de la red.

    ZENworks Security Client utiliza un puerto configurable de la empresa, fijo, para enviar un desafío al Servicio de seguridad de ubicación del cliente. El Servicio de seguridad de ubicación del cliente descifra el paquete y responde al desafío, siempre que la clave privada coincida con la clave pública. El icono de la barra de tareas incluye una marca de verificación, indicando que el usuario se encuentra en la ubicación correcta.

    ZENworks Security Client no puede cambiar a la ubicación, salvo que pueda detectar el servidor de CLAS. Si no se ha detectado el servidor de CLAS, aun cuando el resto de parámetros de la red coincidan, ZENworks Security Client permanece en la ubicación desconocida para proteger el punto final.

    Para activar CLAS para una ubicación, active la casilla de verificación Seguridad de la ubicación del cliente, haga clic en Importar y busque y seleccione el archivo. La palabra Configurado aparece cuando se importe correctamente la clave.

    Esta opción no está disponible para la Ubicación desconocida.

    Utilizar mensaje de ubicación: Permite que se visualice un mensaje del usuario personalizado opcional cuando ZENworks Security Client cambia a esta ubicación. Este mensaje puede facilitar instrucciones al usuario final, detalles sobre las restricciones de la directiva bajo esta ubicación, o bien incluir un hiperenlace para obtener más información.

  4. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Para asociar una ubicación existente:

  1. Haga clic en Ubicaciones definidas y, a continuación, en el botón Asociar componente de la barra de herramientas.

  2. Seleccione las ubicaciones deseadas de la lista.

  3. Si lo desea, edite la configuración.

    NOTA:Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Se deben definir varias ubicaciones definidas (más allá de las ubicaciones desconocida y de trabajo sencillas) en la directiva para proporcionar al usuario varios permisos de seguridad cuando éstos se conectan fuera del cortafuegos de la empresa. Mantener la sencillez de los nombres de ubicaciones (por ejemplo, cafeterías, aeropuertos, casa) y proporcionar una imagen visual a través del icono de la barra de herramientas de la ubicación ayuda a los usuarios a cambiar fácilmente a la configuración de seguridad adecuada necesaria para cada entorno de red.

Hardware de comunicación

La configuración del hardware de comunicación controla por ubicación qué tipos de hardware permiten una conexión en este entorno de red.

NOTA:Puede ajustar los controles del hardware de comunicación globalmente en la pestaña Configuración de la directiva global o para las ubicaciones individuales en la pestaña Ubicaciones.

Para ajustar los controles del hardware de comunicación para una ubicación, haga clic en la pestaña Ubicaciones, expanda la ubicación deseada en el árbol y haga clic en Hardware de comunicación.

O bien

Para ajustar los controles del hardware de comunicación globalmente, haga clic en la pestaña Configuración de la directiva global, expanda Configuración global en el árbol y haga clic en Hardware de comunicación. Para obtener más información, consulte la Hardware de comunicación.

Seleccione la habilitación, inhabilitación o aplicación de la configuración global de cada dispositivo del hardware de comunicación que aparece en:

  • 1394 (FireWire): Controla el puerto de acceso FireWire* en el punto final.

  • IrDA: Controla el puerto de acceso por infrarrojos en el puesto final.

  • Bluetooth: Controla el puerto de acceso Bluetooth* en el punto final.

  • Serie/Paralelo: Controla el acceso de los puertos de serie y paralelo del puesto final.

  • Marcación: Controla la conectividad del módem por ubicación. Esta opción no está disponible al configurar los valores del hardware de comunicación de forma global a través de la pestaña Configuración de la directiva global.

  • Wired: Controla la conectividad de la tarjeta LAN por ubicación. Esta opción no está disponible al configurar los valores del hardware de comunicación de forma global a través de la pestaña Configuración de la directiva global.

La habilitación permite el acceso completo al puerto de comunicación.

La inhabilitación deniega todo el acceso al puerto de comunicación.

NOTA:Los adaptadores de Wi-Fi se controlan globalmente o se inhabilitan localmente mediante los controles de seguridad de Wi-Fi. Los adaptadores se pueden especificar según la marca mediante la lista de adaptadores inalámbricos aprobados.

Lista de adaptadores de marcación aprobados: ZENworks Security Client puede bloquear todos los adaptadores excepto los de marcación aprobados y especificados (módems) para su conexión. Por ejemplo, un administrador puede implementar una directiva que únicamente permita una marca o tipo específicos de tarjeta de módem. Esto reduce los costes de asistencia asociados al uso de los empleados de hardware no compatible.

Lista de adaptadores inalámbricos aprobados: ZENworks Security Client puede bloquear todos los adaptadores excepto los inalámbricos aprobados y especificados para su conexión. Por ejemplo, un administrador puede implementar una directiva que únicamente permita una marca o tipo específico de tarjeta inalámbrica. Esto reduce los costes de asistencia asociados al uso de los empleados de hardware incompatible y habilita asistencia mejorada, y la aplicación de las iniciativas de seguridad basadas en los estándares de IEEE, así como LEAP, PEAP, WPA, TKIP y otros.

Uso de la función AdapterAware:

ZENworks Security Client recibe notificación siempre que un dispositivo de red se instala en el sistema, y determina si el dispositivo está o no autorizado. Si no está autorizado, la solución inhabilita el controlador del dispositivo, lo cual inhabilita este nuevo dispositivo y notifica al usuario acerca de la situación.

NOTA:Cuando un nuevo adaptador no autorizado (de marcación e inalámbrico) instala en primer lugar sus controladores en el puesto final (mediante PCMCIA o USB), el adaptador se mostrará como habilitado en el administrador de dispositivos de Windows hasta que se reinicie el sistema, aunque se bloqueará toda la conectividad de la red.

Especifique el nombre de cada adaptador permitido. Se permiten los nombres de adaptadores parciales. Los nombres de adaptadores están limitados a 50 caracteres y distinguen entre mayúsculas y minúsculas. El sistema operativo Windows 2000 necesita el nombre del dispositivo para proporcionar esta funcionalidad. Si no se introduce ningún adaptador, se permiten todos los adaptadores del tipo. Si sólo se introduce un adaptador, sólo se permite un único adaptador en esta ubicación.

NOTA:Si el puesto final se encuentra en una ubicación que define únicamente un SSID del punto de acceso como la identificación de la red, ZENworks Security Client cambiará a esa ubicación antes de inhabilitar el adaptador no autorizado. Se debe utilizar una anulación de contraseña para proporcionar un parámetro de ubicación manual si esto sucede.

Control del dispositivo de almacenamiento

Los controles del dispositivo de almacenamiento ajustan la configuración del dispositivo de almacenamiento por defecto para la directiva, donde todos los dispositivos de almacenamiento de archivos externos son de lectura o escritura, funcionan en un estado de sólo lectura, o bien están completamente inhabilitados. Si están inhabilitados, estos dispositivos no pueden recuperar datos del punto final, pero la unidad de disco duro y todas las unidades de red seguirán estando operativas y accesibles.

El control del dispositivo de almacenamiento de ZENworks Endpoint Security Management no está permitido si está activada ZENworks Storage Encryption Solution.

NOTA:Puede ajustar los controles del dispositivo de almacenamiento globalmente en la pestaña Configuración de la directiva global o para las ubicaciones individuales en la pestaña Ubicaciones.

Para ajustar los controles del dispositivo de almacenamiento para una ubicación, haga clic en la pestaña Ubicaciones, expanda la ubicación deseada en el árbol y haga clic en Control del dispositivo de almacenamiento.

O bien

Para ajustar los controles del dispositivo de almacenamiento globalmente, haga clic en la pestaña Configuración de la directiva global, expanda Configuración global en el árbol y haga clic en Control del dispositivo de almacenamiento. Para obtener más información, consulte la Control del dispositivo de almacenamiento.

El control del dispositivo de almacenamiento está dividido en las siguientes categorías:

  • CD/DVD: controla todos los dispositivos que aparecen en las unidades de DVD/CD-ROM en Windows Device Manager.

  • Almacenamiento extraíble: controla todos los dispositivos notificados como almacenamiento extraíble de las Unidades de disco en Windows Device Manager.

  • Floppy Drive: controla todos los dispositivos que aparecen en las Unidades de disquete en Windows Device Manager.

El almacenamiento fijo (unidades de disco duro) y unidades de red (si están disponibles) siempre están permitidos.

Para ajustar el valor por defecto de la directiva de los dispositivos de almacenamiento, seleccione la configuración global para ambos tipos de las listas desplegables:

  • Activar: El tipo de dispositivo se permite por defecto.

  • Inhabilitar: el tipo de dispositivo no está permitido. Cuando los usuarios intentan acceder a los archivos en un dispositivo de almacenamiento definido, éstos reciben un mensaje de error del sistema operativo, o de la aplicación que intenta acceder al dispositivo de almacenamiento local, indicando que se ha producido un error en la acción

  • Sólo lectura: el tipo de dispositivo está establecido como Sólo lectura. Cuando los usuarios intentan escribir en el dispositivo, éstos reciben un mensaje de error del sistema operativo, o de la aplicación que intenta acceder al dispositivo de almacenamiento local, indicando que se ha producido un error en la acción

NOTA:Si desea inhabilitar las unidades de CD-ROM o unidades de disquete en un grupo de puntos finales, o ajustarlas como Sólo lectura, la configuración de seguridad local (bajada de nivel a través de un objeto de directiva del grupo de servicios de directorio) debe tener Dispositivos: restringir acceso de CD-ROM únicamente para el usuario que ha iniciado sesión localmente y Dispositivos: restringir acceso de disquete únicamente para el usuario que ha iniciado sesión localmente ajustado como Inhabilitado. Para verificar esto, abra el objeto de directiva del grupo, o bien abra las herramientas administrativas en un equipo. Mirar configuración de la seguridad local: opciones de seguridad y comprobar que ambos dispositivos están inhabilitados. El valor por defecto es Inhabilitado.

Configuración del cortafuegos

Los ajustes del cortafuegos controlan la conectividad de todos los puertos de red, listas de control de acceso, paquetes de red (ICMP, ARP, etc.) y qué aplicaciones pueden obtener un zócalo o una función una vez que se apliquen los ajustes del cortafuegos.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management y no puede utilizarse para directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Ubicaciones y haga clic en el icono Ajustes del cortafuegos en el árbol de directivas situado a la izquierda.

Cada componente de una configuración del cortafuegos se configura de forma independiente, con el único requisito de ajustar el comportamiento predeterminado de los puertos TCP/UDP. Esta configuración afecta a todos los puertos TCP/UDP cuando está habilitada. Los puertos individuales o agrupados se pueden crear con un valor diferente.

Para crear una nueva configuración del cortafuegos:

  1. Seleccione Ajustes del cortafuegos en el árbol de componentes y haga clic en el botón Componente nuevo.

  2. Asigne un nombre a la configuración del cortafuegos y realice una descripción.

  3. Haga clic con el botón derecho en Puertos TCP/UDP del árbol de componentes y haga clic en Añadir nuevos puertos TCP/UDP para seleccionar el comportamiento por defecto para todos los puertos TCP/UDP.

    Los puertos y listas adicionales se pueden añadir a los ajustes del cortafuegos, y se les pueden asignar comportamientos únicos que anulen la configuración por defecto.

    Por ejemplo, el comportamiento por defecto de todos los puertos se establece como Todo con estado. Esto significa que las listas de puertos para los medios de emisión y exploración Web se añaden a los ajustes del cortafuegos. El puerto de los medios de emisión continua se establece como Cerrado y el comportamiento del puerto de exploración Web se establece como Abierto. El tráfico de redes a través de los puertos TCP 7070, 554, 1755 y 8000 se bloquea. El tráfico de redes a través de los puertos 80 y 443 se abre y está visible en la red. El resto de los puertos funciona en el modo Con estado, siendo necesario que en primer lugar se solicite el tráfico a través de los mismos.

    Para obtener más información, consulte la Puertos TCP/UDP.

  4. Haga clic con el botón derecho en Listas de control de acceso y haga clic en Añadir nuevas listas de control de acceso para añadir direcciones que podrían requerir el paso de tráfico no solicitado, independientemente del comportamiento del puerto actual.

    Para obtener más información, consulte la Listas de control de acceso.

  5. Haga clic con el botón derecho en Controles de aplicación y haga clic en Añadir nuevos controles de aplicación para bloquear el acceso a la red de las aplicaciones o simplemente su ejecución.

    Para obtener más información, consulte la Controles de aplicación.

  6. Seleccione si desea visualizar este cortafuegos en el menú de ZENworks Security Client (si esta opción no está seleccionada, el usuario no ve estos ajustes del cortafuegos).

  7. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Para asociar un ajuste de cortafuegos existente:

  1. Seleccione Ajustes del cortafuegos en el árbol de componentes y haga clic en el botón Asociar componente.

  2. Seleccione los ajustes del cortafuegos deseados de la lista,

  3. Si es necesario cambie la configuración del comportamiento por defecto.

    NOTA:El cambio de los ajustes en un componente compartido afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Se pueden incluir varias configuraciones del cortafuegos en una única ubicación. Uno se define como el ajuste por defecto y el resto de ajustes se encuentran disponibles como opciones para que el usuario pueda intercambiarlas. Resulta útil disponer de varios ajustes cuando un usuario necesita determinadas restricciones de seguridad en un entorno de red y cuando, en algunas ocasiones, necesita que estas restricciones aumenten durante un período corto de tiempo, para determinados tipos de conectividad, por ejemplo, difusiones ICMP.

En la instalación se incluyen los siguientes ajustes del cortafuegos:

  • Todo adaptado: Define todos los puertos de conectividad como con estado (se bloquea todo el tráfico de red entrante no solicitado y todo el tráfico de red saliente está permitido), los paquetes ARP y 802.1x y todas las aplicaciones de red están permitidos como conexiones de red.

  • Todos abiertos: Define todos los puertos de conectividad como abiertos (se permite todo el tráfico de red) y se permiten todos los tipos de paquetes. Todas las aplicaciones de red están permitidas como conexiones de red.

  • Todos cerrados: Cierra todos los puertos de conectividad y restringe todos los tipos de paquetes.

Una nueva ubicación tiene los ajustes del cortafuegos únicos, Todos abiertos, configurado como el valor por defecto. Para definir unos ajustes del cortafuegos distintos como el valor por defecto, haga clic con el botón derecho en los ajustes del cortafuegos deseados y seleccione Ajustar por defecto.

Puertos TCP/UDP

Los datos del extremo principalmente se protegen mediante el control de la actividad de los puertos TCP/UDP. Esta función le permite crear una lista de puertos TCP/UDP que se gestionará excepcionalmente en estos ajustes del cortafuegos. Las listas incluyen un conjunto de puertos y rangos de puertos, junto con su tipo de transporte, que define la función del rango.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management y no puede utilizarse para directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Ubicaciones, haga clic en el símbolo + junto a Ajustes del cortafuegos, haga clic en el símbolo "+" junto al cortafuegos que desee y haga clic en el icono Puertos TCP/UDP del árbol de directivas de la izquierda.

Las nuevas listas de puertos TCP/UDP pueden definirse con puertos individuales o como un rango (1-100) por cada línea de la lista.

Para crear un nuevo ajuste de puerto TCP/UDP:

  1. Haga clic con el botón derecho en Puertos TCP/UDP del árbol de componentes y haga clic en Añadir nuevos puertos TCP/UDP.

  2. Asigne un nombre a la lista de puertos e incluya una descripción.

  3. Seleccione el comportamiento de puerto de la lista desplegable:

    • Abierto: Se permite todo el tráfico entrante y saliente de red. Dado que se permite todo el tráfico de red, la identidad de su equipo se encuentra visible para este puerto o rango de puerto.

    • Cerrado: Se bloquea todo el tráfico de red entrante y saliente. Dado que todas las solicitudes de identificación de red se bloquean, la identidad de su equipo se oculta para este puerto o rango de puerto.

    • Con estado: Se bloquea todo el tráfico de red entrante no solicitado. Se permite todo el tráfico de red saliente de este puerto o rango de puerto.

  4. Especifique el tipo de transporte haciendo clic en la flecha abajo de la columna Tipo de puerto:

    • TCP/UDP

    • Ether

    • IP

    • TCP

    • UDP

  5. Introduzca puertos y rangos de puertos como uno de los siguientes:

    • Puertos únicos

    • Un rango de puertos con el número del primer puerto, seguido de un guión y el número del último puerto

      Por ejemplo, 1-100 agregaría todos los puertos entre el 1 y el 100

      Visite las páginas de autoridad de números asignadas de Internet para obtener una lista completa de tipos de transporte y puertos.

  6. Haga clic en Guardar directiva.

Para asociar un puerto TCP/UDP existente a este ajuste de cortafuegos:

  1. Seleccione Puertos TCP/UDP del árbol de componentes y haga clic en el botón Asociar componente.

  2. Seleccione los puertos que desee de la lista.

  3. Configure los ajustes de comportamiento por defecto.

    Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva.

Se incluyen algunos grupos de puertos TCP/UDP que están disponibles en la instalación:

Nombre

Descripción

Transporte

Valor

Todos los puertos

Todos los puertos

Todos

1-65535

BlueRidge VPN

Puertos utilizados por el cliente de VPN Blue Ridge

UDP

820

Cisco VPN

Puertos utilizados por el cliente Cisco* VPN

IP

UDP

UDP

UDP

UDP

UDP

50,51

500,4500

1000-1200

62514,62515,62517

62519-62521

62532,62524

Conectividad común

Puertos de conectividad necesarios habitualmente para crear cortafuegos

TCP

UDP

UDP

TCP

UDP

TCP

UDP

53

53

67,68

546, 547

546, 547

647, 847

647, 847

Comunicación de bases de datos

Puertos de bases de datos Microsoft*, Oracle*, Siebel*, Sybase*, SAP*

TCP

TCP

TCP

UDP

TCP

TCP

TCP

TCP

4100

1521

1433

1444

2320

49998

3200

3600

Protocolo de transferencia de archivos (FTP)

Puerto de protocolo de transferencia de archivos

TCP/UDP

21

Mensajería instantánea

Puertos de mensajería instantánea Microsoft, AOL* y Yahoo*

TCP

TCP

UDP

UDP

TCP

UDP

TCP

UDP

TCP

UDP

TCP

TCP

6891-6900

1863,443

1863,443

5190

6901

6901

5000-5001

5055

20000-20059

4000

4099

5190

VPN compatible con Internet Key Exchange

Puertos utilizados por clientes VPN compatibles con Internet Key Exchange

UDP

500

Conectividad con Microsoft

Compartición de archivos comunes / puertos de directorios activos *

TCP/UDP

135-139, 445

Puertos abiertos

Puertos que abre este cortafuegos

TCP/UDP

80

Medios de emisión continua

Puertos de medios de emisión continua reales y comunes de Microsoft

TCP

7070, 554, 1755, 8000

Navegación por Internet

Puertos comunes de navegadores Web, incluyendo SSL

Todos

80, 443
Listas de control de acceso

Podría haber algunas direcciones que requieren tráfico no solicitado para pasar, independientemente del comportamiento del puerto actual (por ejemplo, el servidor de copia de seguridad de la empresa, el servidor de intercambio, etc.). En instancias en las que resulte necesario el paso de tráfico no solicitado entre servidores de confianza, una lista de control de acceso (ACL) resuelve este problema.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management, y no se puede utilizar para las directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Ubicaciones, haga clic en el símbolo + junto a Ajustes del cortafuegos, haga clic en el símbolo + junto al cortafuegos que desee, haga clic con el botón derecho en Listas de control de acceso del árbol de directivas de la izquierda y haga clic en Añadir nuevas listas de control de acceso.

Para crear un nuevo ajuste ACL:

  1. Haga clic con el botón derecho en Listas de control de acceso del árbol de componentes y haga clic en Añadir nuevas listas de control de acceso.

  2. Asigne un nombre a la ACL e incluya una descripción.

  3. Especifique una macro o dirección ACL.

  4. Especifique el tipo de ACL:

    • IP: Este tipo limita la dirección a 15 caracteres y sólo incluye los números 0-9 y los puntos, por ejemplo, 123.45.6.189. Las direcciones IP también se pueden introducir como un rango, como 123.0.0.0 - 123.0.0.255.

    • MAC: Este tipo limita la dirección a 12 caracteres y sólo incluye los números 0-9 y las letras A-F (mayúsculas y minúsculas); separados por dos puntos, por ejemplo 00:01:02:34:05:B6).

  5. Seleccione la lista desplegable Comportamiento ACL y determine si las ACL que se indican deben ser De confianza (permitirlas siempre aun cuando los puertos TCP/UDP se encuentren cerrados) o De no confianza (acceso bloqueado).

  6. Si ha seleccionado De confianza, seleccione los puertos de confianza opcionales (TCP/UDP) que esta ACL utilizará. Estos puertos permiten todo el tráfico ACL, mientras que otros puertos TCP/UDP mantienen sus ajustes actuales. Si selecciona Ninguno equivale a que ACL no puede utilizar ningún puerto.

  7. Haga clic en Guardar directiva.

Para asociar una ACL o Macro existente a estos ajustes del cortafuegos:

  1. Seleccione Lista de control de acceso del árbol de componentes y haga clic en el botón Asociar componente.

  2. Seleccione las ACL o macros de la lista.

  3. Configure los ajustes del comportamiento de ACL, según convenga.

    NOTA:Si se cambian los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva.

Lista de macros de direcciones de red

La siguiente es una lista de macros de control de acceso. Estas macros pueden asociarse de forma individual como parte de una ACL en un ajuste de cortafuegos.

Tabla 2-1 Macros de direcciones de red

Macro

Descripción

[Arp]

Permite paquetes ARP (protocolo de resolución de direcciones). El término resolución de direcciones hace referencia al proceso de búsqueda de una dirección de un equipo en una red. La dirección se resuelve mediante un protocolo en el que la información se envía a través de un proceso de cliente que se ejecuta en el ordenador local a un proceso de servidor que se ejecuta en un ordenador remoto. La información que recibe el servidor permite al servidor identificar al sistema de red para el que se exigió la dirección para proporcionar la dirección requerida. El procedimiento de resolución de dirección finaliza cuando el cliente recibe una respuesta del servidor en la que se incluye la dirección requerida.

[Icmp]

Permite paquetes ICMP (protocolo de mensajes de control de Internet). Los routers, dispositivos intermediarios u hosts utilizan los protocolos ICMP para comunicar actualizaciones o información acerca de errores a otros routers, dispositivos intermediarios u hosts. Los mensajes ICMP se envían en distintas situaciones: por ejemplo, cuando un datagrama no puede alcanzar su destino, cuando el gateway no cuenta con capacidad de buffer para remitir un datagrama y cuando el gateway puede indicar al host que envíe tráfico en una ruta más corta.

[IpMulticast]

Permite paquetes multidifusión IP. La multidifusión es una tecnología que conserva ancho de banda que reduce el tráfico mediante la entrega simultánea de un único flujo de información a miles de destinatarios corporativos y hogares. Entre las aplicaciones que sacan partido de la multidifusión se incluyen videoconferencias, comunicaciones corporativas, formación a distancia y distribución de software, cotizaciones de acciones y noticias. Los paquetes multidifusión se pueden distribuir mediante direcciones IP o Ethernet.

[EthernetMulticast]

Permite paquetes multidifusión Ethernet.

[IpSubnetBrdcast]

Permite paquetes difusión de subred. Las multidifusiones de subred se utilizan para enviar paquetes a todos los hosts de una subred, superred o, de lo contrario, red de ningún tipo. Todos los hosts de una red de ningún tipo escuchan y procesan los paquetes dirigidos a la dirección de difusión de subred.

[Snap]

Permite paquetes codificados para instantáneas.

[LLC]

Permite paquetes codificados para LLC.

[Allow8021X]

Permite paquetes de 802.1x. Para superar deficiencias en claves de Confidencialidad equivalente al cableado (WEP), Microsoft y otras compañías están utilizando 802.1x como método alternativo de autenticación. 802.1x es un control de acceso desde la red basado en puertos que utiliza certificados o un protocolo de autenticación extensible (EAP). En la actualidad, la mayoría de los principales proveedores de tarjetas inalámbricas y un gran número de proveedores de punto de acceso admiten 802.1x. Este ajuste también permite el Protocolo de autenticación extensible ligero (LEAP) y paquetes de autenticación de acceso protegido WiFi (WPA).

[Gateway]

Representa la dirección de gateway por defecto de la dirección IP actual. Cuando se introduce este valor, ZENworks Security Client permite todo el tráfico de red desde el gateway por defecto de la configuración IP actual como una ACL de confianza.

[GatewayAll]

Igual que [Gateway], pero para todos los gateways definidos.

[Wins]

Representa la dirección de servidor WINS por defecto de la configuración IP del cliente actual. Cuando se introduce este valor, ZENworks Security Client permite todo el tráfico de red desde el servidor WINS por defecto de la configuración IP actual como una ACL de confianza.

[WinsAll]

Igual que en [Wins] pero para todos los servidores WINS definidos.

[Dns]

Representa la dirección de servidor DNS por defecto de la configuración IP del cliente actual. Cuando se introduce este valor, ZENworks Security Client permite todo el tráfico de red desde el servidor DNS por defecto de la configuración IP actual como una ACL de confianza.

[DnsAll]

Igual que [Dns] pero para todos los servidores DNS definidos.

[Dhcp]

Representa la dirección de servidor DHCP por defecto de la configuración IP del cliente actual. Cuando se introduce este valor, ZENworks Security Client permite todo el tráfico de red desde el servidor DHCP por defecto de la configuración IP actual como una ACL de confianza.

[DhcpAll]

Igual que [Dhcp] pero para todos los servidores DHCP definidos.
Controles de aplicación

Esta función permite al administrador impedir a aplicaciones que accedan a la red o que simplemente se ejecuten.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management y no puede utilizarse para directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Ubicaciones, haga clic en el símbolo + junto a Ajustes del cortafuegos, haga clic en el símbolo + junto al cortafuegos que desee y haga clic en el icono Controles de aplicaciones del árbol de directivas de la izquierda.

Para crear un nuevo ajuste de control de aplicaciones:

  1. Haga clic con el botón derecho en Controles de aplicación del árbol de componentes y haga clic en Añadir nuevos controles de aplicación.

  2. Asigne un nombre a la lista de control de aplicaciones e incluya una descripción.

  3. Seleccione un comportamiento de ejecución. Este comportamiento se aplica a todas las aplicaciones que aparezcan. Si se requieren varios comportamientos (por ejemplo, algunas aplicaciones de conectividad no tienen acceso a la red, pero todas las aplicaciones de compartición de archivos no pueden ejecutarse), deben definirse varios controles de aplicaciones. Seleccione una de las siguientes opciones:

    • Todas permitidas: Todas las aplicaciones que aparecen pueden ejecutar y disponer de acceso a la red.

    • Sin ejecución: No se puede ejecutar todas las aplicaciones que aparecen.

    • Sin acceso a la red: Se deniega el acceso a la red a todas las aplicaciones que aparecen. A las aplicaciones (como el explorador Web) iniciadas desde una aplicación también se les deniega el acceso a la red.

    NOTA:El bloqueo de acceso a la red de una aplicación no afecta al proceso de guardar archivos en unidades de red asignadas. Los usuarios pueden guardar en todas las unidades de red que se encuentren disponibles.

  4. Especifique las aplicaciones que desee bloquear. Se debe introducir una aplicación por fila.

    IMPORTANTE:La ejecución de bloqueo de aplicaciones importantes podría afectar de forma adversa al funcionamiento del sistema. Las aplicaciones Blocked Microsoft Office intentan ejecutar el programa de instalación.

  5. Haga clic en Guardar directiva.

Para asociar una lista de control de aplicaciones existente a este ajuste de cortafuegos:

  1. Seleccione Controles de aplicaciones en el árbol de componentes y haga clic en el botón Asociar componente.

  2. Seleccione un conjunto de aplicaciones de la lista.

  3. Configure las aplicaciones y el nivel de restricción, según convenga.

    NOTA:Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva.

Los controles de aplicaciones disponibles se identifican a continuación. El comportamiento de ejecución por defecto es Sin acceso a la red.

Tabla 2-2 Controles de aplicaciones

Nombre

Aplicaciones

Navegadores Web

explore.exe; netscape.exe; netscp.exe

Mensajería instantánea

aim.exe; icq.exe; msmsgs.exe; msnmsgr.exe; trillian.exe; ypager.exe

Compartición de archivos

blubster.exe; grokster.exe; imesh.exe; kazaa.exe; morpheus.exe; napster.exe; winmx.exe

Medios de Internet

mplayer2.exe; wmplayer.exe; naplayer.exe; realplay.exe; spinner.exe; QuickTimePlayer.exe

Si la misma aplicación se agrega a dos controles de aplicación distintos de los mismos ajustes del cortafuegos (es decir, se impide la ejecución de kazaa.exe en un control de aplicación y se bloquea su acceso a la red en otro control de aplicación definido en los mismos ajustes del cortafuegos), se aplica el control más restrictivo (se impediría la ejecución de kazaa).

Entornos de red

Si se conocen los parámetros de la red (servidores de Gateway, servidores DNS, servidores DHCP, servidores WINS, puntos de accesos disponibles y conexiones de adaptador específicas) para una ubicación, la información del servicio (IP y MAC), que identifica la red, se puede especificar en la directiva para proporcionar un cambio de ubicación inmediata sin que el usuario tenga que guardar el entorno como una ubicación.

Para acceder a este control, haga clic en la pestaña Ubicaciones y haga clic en la carpeta Entornos de red en el árbol de directivas situado a la izquierda.

La lista proporcionada permite al administrador definir qué servicios de red están presentes en el entorno. Cada servicio de red puede contener varias direcciones. El administrador determina cuántas direcciones son necesarias para que coincidan en el entorno a fin de activar el parámetro de la ubicación.

Debe utilizar dos o más parámetros de la ubicación en cada definición del entorno de red.

Para definir un entorno de red:

  1. Seleccione Entornos de red en el árbol de componentes y haga clic en el botón Componente nuevo.

  2. Asigne un nombre al entorno de red y proporcione una descripción.

  3. En la lista desplegable Limitar a tipo de adaptador, seleccione qué tipo de adaptadores se permite para acceder a este entorno de red:

    • Inalámbrico

    • Todos

    • Módem

    • Wired

    • Inalámbrico

  4. Especifique el número mínimo de servicios de red necesarios para identificar este entorno de red.

    Cada entorno de red tiene un número mínimo de direcciones que ZENworks Security Client utiliza para identificarlo. El número establecido en Coincidencia mínima no debe exceder del número total de direcciones de red identificadas como necesarias en las listas con pestañas. Especifique el número mínimo de servicios de red necesarios para identificar este entorno de red.

  5. Especifique la siguiente información para cada servicio:

    • IP Address (Dirección IP): Especifique hasta 15 caracteres que contengan únicamente los números del 0 al 9 y puntos. Por ejemplo, 123.45.6.789

    • Dirección MAC: También puede especificar hasta 12 caracteres que contengan únicamente los números del 0 al 9 y las letras A-F (mayúsculas y minúsculas), separados por dos puntos. Por ejemplo, 00:01:02:34:05:B6

    • Seleccione la casilla de verificación Debe coincidir si la identificación de este servicio es necesaria para definir el entorno de red.

  6. Para las pestañas Conexiones de marcación y Adaptadores, especifique los siguientes requisitos:

    • Para las Conexiones de marcación, especifique el nombre de entrada de RAS del listín telefónico o el número marcado.

      NOTA:Las entradas del listín telefónico deben contener caracteres alfanuméricos y no pueden contener caracteres especiales (@, #, $,%, -, etc.) o caracteres numéricos (1-9). Se da por sentado que las entradas que sólo contengan caracteres especiales y numéricos son números de marcación.

    • Para los adaptadores, especifique el SSID de cada adaptador permitido. Se pueden especificar los adaptadores para que restrinjan exactamente qué adaptadores pueden acceder a este entorno de red. Si no se introduce ningún SSID, se concederá acceso a todos los adaptadores del tipo permitido.

Para asociar un entorno de red existente a esta ubicación:

NOTA:La asociación de un único entorno de red con dos o más ubicaciones de la misma directiva de seguridad provoca resultados impredecibles y no es recomendable.

  1. Seleccione Entornos de red en el árbol de componentes y haga clic en el botón Asociar componente.

  2. Seleccione los entornos de red de la lista.

  3. Configure los parámetros del entorno, según convenga.

    NOTA:Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva.

Conectividad USB

La directiva puede permitir o denegar todos los dispositivos que se conectan mediante el BUS USB. Estos dispositivos se pueden escanear en la directiva desde el informe del inventario de dispositivos USB o escaneando todos los dispositivos actualmente conectados a un equipo. Estos dispositivos se pueden filtrar en función del fabricante, nombre del producto, números de serie, tipo, etc. A efectos de compatibilidad, el administrador puede configurar la directiva para que acepte un conjunto de dispositivos, por tipo de fabricante, (por ejemplo, todos los dispositivos HP están permitidos), o por tipo de producto (todos los dispositivos de interfaz humana USB, como el ratón y el teclado están permitidos). Asimismo, se puede permitir a los dispositivos individuales que eviten la introducción a la red a los dispositivos no compatibles (por ejemplo, no se permite ninguna impresora a excepción de la de la directiva).

Para acceder a este control, haga clic en Configuración de la directiva global y haga clic en Conectividad USB del árbol de directivas de la izquierda.

Especifique si desea permitir o denegar el acceso a los dispositivos que no se encuentren en la lista.

Los siguientes métodos permiten rellenar la lista para que pueda permitir o denegar la conectividad USB a los dispositivos:

Adición manual de dispositivos

  1. Inserte el dispositivo en el puerto USB del equipo en el que está instalada la Consola de gestión.

  2. Una vez que el dispositivo esté listo, haga clic en el botón Explorar. Si el dispositivo tiene un número de serie, su descripción y número de serie aparecen en la lista.

  3. Seleccione un valor de la lista desplegable (el valor del Dispositivo extraíble global no se aplica a esta directiva):

    • Activar: Los dispositivos de la lista de preferidos pueden utilizar la función de lectura/escritura y el resto de dispositivos USB y de almacenamiento externo están inhabilitados.

    • Sólo lectura: Los dispositivos que aparecen en la lista preferida tienen la capacidad de sólo lectura; el resto de dispositivos USB y de almacenamiento externo están inhabilitados.

Repita estos pasos para cada dispositivo permitido en esta directiva. Se aplica la misma configuración a todos los dispositivos.

Importación de listas de dispositivos

La aplicación del escáner de la unidad USB de Novell genera una lista de dispositivos y sus números de serie (Sección 1.11, Escáner de la unidad USB). Para importar esta lista, haga clic en Importar y navegue hasta la lista. La lista rellena los campos Descripción y Número de serie.

Gestión de Wi-Fi

La gestión de Wi-Fi permite al administrador crear listas de puntos de acceso. Los puntos de acceso inalámbrico especificados en estas listas determinan a qué puntos de acceso se permite la conexión al punto final en la ubicación, y qué puntos de acceso se permiten ver al punto final en el administrador de Microsoft Zero Configuration (Configuración cero). Los administradores de la configuración cableada de terceros no admiten esta funcionalidad. Si no se especifica ningún punto de acceso, todos estarán disponibles en el puesto final.

Para acceder a este control, haga clic en la pestaña Ubicaciones y haga clic en el icono Gestión de Wi-Fi en el árbol de directivas situado a la izquierda.

NOTA:En la seguridad o gestión de Wi-Fi, la anulación de la selección de Habilitar inhabilita toda la conectividad Wi-Fi en esta ubicación.

Al introducir puntos de accesos a la lista de Puntos de acceso gestionados se desactiva la Configuración cero y obliga al punto final a conectarse únicamente a los puntos de acceso que aparecen cuando estén disponibles. Si los puntos de acceso gestionados no están disponibles, ZENworks Security Client hace referencia a la lista de puntos de acceso filtrados. Los puntos de acceso introducidos en los puntos de acceso prohibidos nunca se visualizan en Configuración cero.

NOTA:La lista de puntos de acceso sólo es compatible con el sistema operativo Windows * XP. Antes de implementar una lista de puntos de acceso, se recomienda que todos los extremos borren la lista de redes preferidas de Configuración de cero.

Las secciones siguientes contienen más información sobre:

Configuración de la intensidad de la señal de Wi-Fi

Si se define más de un punto de acceso gestionado por WEP en la lista, se puede ajustar la alternancia de intensidad de la señal para el adaptador de Wi-Fi. Los umbrales de intensidad de la señal se pueden ajustar por ubicación para determinar cuándo ZENworks Security Client buscará, descartará y cambiará a otro punto de acceso definido en la lista.

Se puede ajustar la siguiente información:

  • Buscar: Si se alcanza este nivel de intensidad de señal, ZENworks Security Client empieza a buscar un nuevo punto de acceso al que conectarse. El ajuste por defecto es Bajo [-70 dB].

  • Conmutador: Para que ZENworks Security Client se conecte a un punto de acceso nuevo, ese punto de acceso debe difundirse con el nivel de intensidad de señal designado por encima de la conexión actual. El valor por defecto es +20 dB.

Los umbrales de intensidad de la señal vienen determinados por la cantidad de potencia (en dB) que notifica el controlador del minipuerto del PC. Dado que cada tarjeta Wi-Fi y radio puede tratar las señales de dB de forma diferente para su indicación de intensidad de la señal recibida (RSSI), los números varían de adaptador a adaptador.

Puede ajustar su preferencia para la selección del punto de acceso en función de lo siguiente:

  • Intensidad de la señal

  • Tipo de cifrado

Los números por defecto asociados a los umbrales definidos en la consola de gestión son genéricos para la mayoría de los adaptadores Wi-Fi. Debe investigar sus valores RSSI del adaptador Wi-Fi para introducir un nivel preciso. Los valores de Novell son:

Nombre

Valor por defecto

Excelente

-40 dB

Muy bueno

-50 dB

Bueno

-60 dB

Baja

-70 dB

Muy bajo

-80 dB

NOTA:Aunque los nombres de intensidad de señal anteriores coinciden con los utilizados por el servicio de configuración de cero de Microsoft, es posible que los umbrales no coincidan. La Configuración de cero determina sus valores en función de la Relación señal-ruido (SNR), y no exclusivamente en el valor de dB notificado por RSSI. Por ejemplo, si un adaptador de Wi-Fi recibe una señal a -54 dB y tuviera un nivel de ruido de -22 dB, el SNR se notificaría como 32 dB (-54 - - -22=32), lo cual, en la escala de configuración de cero se traduciría como intensidad de señal excelente, aun cuando en la escala de Novell, la señal de -54 dB (si se notifica de esa forma a través del controlador del minipuerto, posiblemente notificara un nivel más bajo) indicaría una intensidad de señal muy buena.

Es importante tener en cuenta que el usuario final nunca ve los umbrales de intensidad de la señal de Novell; esta información sólo se proporciona para mostrar la diferencia entre lo que el usuario puede ver a través de la configuración de cero y lo que realmente sucede "entre bastidores".

Puntos de acceso gestionados

ZENworks Endpoint Security Management proporciona un proceso sencillo para distribuir y aplicar automáticamente claves WEP (Wired Equivalent Privacy) sin la intervención del usuario (omitiendo y cerrando el administrador de Microsoft Zero Configuration). Esto protege la integridad de las claves al no dejarlas ver en un correo electrónico o memoria escrita. De hecho, el usuario final sólo necesita conocer la clave para conectarse automáticamente al punto de acceso. Esto ayuda a evitar la posible redistribución de las claves a usuarios no autorizados.

Debido a las vulnerabilidades de seguridad inherentes de la autenticación de la clave de WEP compartida, Novell sólo admite la autenticación de la clave de WEB abierta. Con autenticación compartida, el proceso de validación de la clave de AP/cliente envía un texto no cifrado y versión cifrada de una frase de desafío fácilmente captada de forma inalámbrica. Esto puede facilitar a un pirata informático las versiones cifradas y no cifradas de una frase. Una vez que dispongan de esta información, el descifrado de la clave se convierte en una tarea sencilla.

Facilite la siguiente información para cada punto de acceso:

  • SSID: Identifique el número SSID. El número SSID distingue entre mayúsculas y minúsculas.

  • Dirección MAC: Identifique la dirección MAC (recomendada, debido a la afinidad entre los SSID). Si no se especifica, se dará por sentado que existen varios puntos de acceso que señalizan el mismo número SSID.

  • Clave: Especifique la clave WEP para el punto de acceso (10 ó 26 caracteres hexadecimales).

  • Tipo de clave: Identifique el índice de clave de cifrado seleccionando el nivel adecuado de la lista desplegable.

  • Señalización: Compruebe si el punto de acceso está difundiendo actualmente su SSID. Deje desactivada esta opción si se trata de un punto de acceso de no señalización.

NOTA:ZENworks Security Client primero intenta conectarse a cada punto de acceso de señalización que aparece en la directiva. Si no se ubica ningún acceso de señalización, ZENworks Security Client intenta conectarse a cualquier punto de acceso de no señalización (identificado por SSID) que aparezca en la directiva.

Si se define uno o más puntos de acceso en la lista de Puntos de acceso gestionados, se puede ajustar el cambio de intensidad de la señal para el adaptador de Wi-Fi.

Puntos de acceso filtrados

Los puntos de acceso introducidos en la lista de Puntos de acceso filtrados son los únicos puntos de acceso que aparecen en la Configuración cero. Esto evita que un punto final se conecte a los puntos de acceso no autorizados.

Introduzca la siguiente información para cada punto de acceso:

  • SSID: Identifique el número SSID. El número SSID distingue entre mayúsculas y minúsculas.

  • Dirección MAC: Identifique la dirección MAC (recomendada, debido a la afinidad entre los SSID). Si no se especifica, se dará por sentado que existen varios puntos de acceso que indican el mismo número SSID.

Puntos de acceso prohibidos

Los puntos de acceso introducidos en la lista de Puntos de acceso prohibidos no se visualizarán en Configuración cero, ni tampoco se permitirá que el punto final se conecte a ellos.

Introduzca la siguiente información para cada punto de acceso:

  • SSID: Identifique el número SSID. El número SSID distingue entre mayúsculas y minúsculas.

  • Dirección MAC: Identifique la dirección MAC (recomendada, debido a la afinidad entre los SSID). Si no se especifica, se dará por sentado que existen varios puntos de acceso que señalizan el mismo número SSID.

Seguridad de Wi-Fi

Si se permite globalmente hardware de comunicación (PCMCIA de adaptador de Wi-Fi u otras tarjetas, y radios Wi-Fi integradas (consulte Control inalámbrico), se pueden aplicar valores adicionales al adaptador en esta ubicación.

Para acceder a este control, haga clic en la pestaña Ubicaciones y haga clic en Seguridad de Wi-Fi en el árbol de directivas situado a la izquierda.

NOTA:En la seguridad o gestión de Wi-Fi, la anulación de la selección de Habilitar inhabilita toda la conectividad Wi-Fi en esta ubicación.

El adaptador de Wi-Fi se puede ajustar para únicamente comunicarse con los puntos de acceso con un nivel específico de cifrado en una determinada ubicación.

Por ejemplo, si se implementara una configuración de WPA de los puntos de acceso en una sucursal, el adaptador se puede restringir a sólo comunicación con los puntos de acceso con un nivel de cifrado de WEP 128 o superior, evitando que se asociara accidentalmente con puntos de acceso no seguros o malévolos.

Se debe escribir un mensaje del usuario personalizado cuando el valor se coloque encima de No es necesario el cifrado.

Se puede definir una preferencia para conectarse con los puntos de acceso mediante pedido del nivel de cifrado o mediante intensidad de señal al especificar dos o más puntos de acceso en las listas de puntos de acceso filtrados y gestionados. El nivel seleccionado aplica la conectividad con los puntos de acceso que cumplan los requisitos de cifrado mínimos o superiores.

Por ejemplo, si WEP 64 es el requisito de cifrado y el cifrado es la preferencia, los puntos de acceso con la mayor intensidad de cifrado tendrán preferencia frente al resto. Si la preferencia reside en la intensidad de la señal, la señal más intensa tiene preferencia durante la conexión.

2.2.3 Reglas de solución·e integridad

ZENworks Endpoint Security Management ofrece la posibilidad de verificar que el software requerido se está ejecutando en el puesto final y ofrece procedimientos de recuperación instantánea si se produce un error en la verificación.

Las secciones siguientes contienen más información sobre:

Reglas de antivirus y programa espía

Las reglas de antivirus y programa espía verifican que el software de antivirus o programa espía designado del punto final se está ejecutando y se encuentra actualizado. Las pruebas se ejecutan para determinar si el software se está ejecutando y si la versión se encuentra actualizada. El éxito en ambas comprobaciones permite un intercambio entre las ubicaciones definidas. El fallo de cualquier prueba podría resultar en las siguientes acciones (definidas por el administrador):

  • Se envía un informe al Servicio de informes.

  • Aparece un mensaje del usuario personalizado, con un enlace de ejecución opcional que ofrece información acerca de cómo solucionar la violación de reglas.

  • El usuario se cambia a un estado En cuarentena, que limita el acceso a la red por parte del usuario y no permite que algunos programas accedan a la red, lo que evita que el usuario infecte la red.

Una vez que se determina que los puestos finales·son compatibles mediante una prueba de seguimiento, los ajustes de seguridad volverán de forma automática a su estado original.

NOTA:Esta función sólo está disponible en la instalación de ZENworks Endpoint Security Management y no puede utilizarse para directivas de seguridad UWS.

Para acceder a este control, haga clic en la pestaña Reglas de solución e integridady haga clic en el icono Reglas de antivirus/programa espía del árbol de directivas de la izquierda.

Se pueden crear pruebas personalizadas para software que no se encuentra en la lista por defecto. Se puede crear una única prueba para ejecutar comprobaciones para una o más piezas de software de la misma regla. Cada conjunto de comprobaciones del archivo y proceso en ejecución cuenta con sus propios resultados de éxito o fallo.

Para crear una nueva regla de antivirus/programa espía:

  1. Seleccione Reglas de antivirus y programa espía del árbol de componentes y haga clic en Programa espía/antivirus nuevo.

  2. Haga clic en Componente nuevo.

  3. Asigne un nombre a la regla e incluya una descripción.

  4. Seleccione el activador para la regla:

    • Inicio: Ejecute pruebas en el inicio del sistema.

    • Cambio de ubicación: Ejecute las pruebas cada vez que ZENworks Security Client cambie a una nueva ubicación.

    • Temporizador: Ejecute pruebas de intensidad con un programa definido por minuto, hora o día.

  5. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

  6. Defina las pruebas de integridad.

Para asociar las reglas de antivirus o programa espía existentes:

  1. Seleccione Reglas de antivirus/programa espía y haga clic en Asociar componente.

  2. Seleccione las reglas que desee de la lista.

  3. (Opcional) Redefina las pruebas, comprobaciones y los resultados.

    NOTA:Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Se incluyen de forma automática comprobaciones y pruebas de integridad que pueden editarse, si es necesario.

Pruebas de integridad

Cada prueba de integridad puede ejecutar dos comprobaciones, El archivo existe y Ejecución del proceso. Cada prueba tiene sus propios resultados de éxito y fallo.

Todas las reglas de antivirus y programa espía definidas cuentan con comprobaciones y pruebas estándar escritas previamente. Se pueden agregar pruebas adicionales a la regla de integridad.

Se ejecutan varias pruebas según el orden que aparece aquí. La primera prueba debe completarse de forma correcta antes de que la próxima prueba se ejecute.

Para crear una prueba de integridad:

  1. Seleccione Pruebas de integridad del árbol de componentes, haga clic en el signo + junto al informe deseado para expandir la lista, haga clic con el botón derecho en Pruebas y haga clic en Añadir pruebas nuevas.

  2. Asigne un nombre a la prueba e incluya una descripción.

  3. Especifique el texto de informe de éxito para la prueba.

  4. Defina los siguientes pasos si se produce un fallo en la prueba:

    • Continuar con el fallo: Selecciónelo si el usuario puede continuar con la conectividad de red en el caso de que la prueba falle o si la prueba debe repetirse.

    • Cortafuegos: Este ajuste se aplica si la prueba falla. Todos cerrados, Integridad no compatible o ajustes del cortafuegos en cuarentena personalizados evitan que el usuario se conecte a la red.

    • Mensaje: Seleccione un mensaje del usuario personalizado para que se muestre en el fallo de la prueba. Puede incluir pasos de recuperación para el usuario final.

    • Informe: Proporcione el informe de errores que se envía al servicio de información.

  5. Proporcione un mensaje de error. Este mensaje se visualiza sólo cuando una o más comprobaciones fallan. Haga clic en la casilla de verificación y especifique la información del mensaje que aparece en los recuadros proporcionados.

  6. Se puede agregar un hiperenlace para proporcionar opciones de recuperación. Puede tratarse de un enlace para obtener más información o un enlace para descargar una revisión o actualizar el fallo de la prueba (consulte Hiperenlaces).

  7. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

  8. Defina las comprobaciones de integridad.

  9. Repita los pasos anteriores para crear una nueva prueba antivirus o programa espía, si lo desea.

Comprobaciones de integridad

Las comprobaciones de cada prueba determinan si uno o más de los procesos del antivirus/programa espía se ejecutan o si existen archivos esenciales. Al menos debe definirse una comprobación para la ejecución de una prueba de integridad.

Para crear una nueva comprobación, haga clic con el botón derecho en Comprobaciones de integridad del árbol de directivas de la izquierda y haga clic en Agregar nuevas comprobaciones de integridad. Seleccione uno de los dos tipos de comprobación e introduzca la información que se indica a continuación:

Se está ejecutando el proceso: Determine si el software se ejecuta en el momento del evento de activación (por ejemplo, el cliente AV). La única información necesaria para esta comprobación es el nombre ejecutable.

El archivo existe: Esta comprobación se utiliza para determinar si el software se encuentra actualizado en el momento en que se produjo el evento de activación.

Introduzca la siguiente información en los campos que aparecen:

  • Nombre de archivo: Especifique el nombre de archivo que desee comprobar.

  • Directorio de archivos: Especifique el directorio en el que reside el archivo.

  • Comparación de archivos: Seleccione una comparación de fechas de la lista desplegable:

    • Ninguna

    • Igual

    • Igual o superior

    • Igual o inferior

  • Comparar por: Especifique Antigüedad o Fecha.

    • La Fecha garantiza que el archivo no es más antiguo que la hora y fecha especificadas (por ejemplo, la fecha de la última actualización).

    • La Edad garantiza que un archivo no es más antiguo que un período de tiempo determinado, calculado en días.

NOTA:La comparación de archivos Igual se trata como Igual o Inferior al utilizar la comprobación Antigüedad.

Las comprobaciones se ejecutan en el orden en el que se han escrito.

Reglas de guiones avanzados

ZENworks Endpoint Security Management incluye una herramienta de elaboración de guiones de reglas avanzados que permite a los administradores crear reglas flexibles y complejas y acciones de recuperación.

Para acceder a este control, haga clic en la pestaña Reglas de solución e integridad y haga clic en el icono Reglas de guiones avanzados del árbol de directivas situado a la izquierda.

La herramienta para guiones utiliza los lenguajes para guiones comunes, VBScript o JScript, para crear reglas que incluyen un activador (para ejecutar la regla) y el guión real (la lógica de la regla). El administrador puede acceder al tipo de guión que desea ejecutar.

La creación de guiones avanzada se implementa de forma secuencial, junto con otras reglas de integridad. Por tanto, un guión de larga ejecución evita que se ejecuten otras reglas (incluidas las reglas de tiempo) hasta que el guión esté completo.

Para crear una nueva regla de guiones avanzados:

  1. Haga clic con el botón derecho en Reglas de guiones avanzados del árbol de componentes y haga clic en Añadir nuevas reglas de guiones.

  2. Asigne un nombre a la regla e incluya una descripción.

  3. Especifique los eventos de activación

    • Horas y días de ejecución: Especifique cinco veces distintas para que se ejecute el guión. El guión se ejecuta semanalmente, los días seleccionados.

    • Ejecución del temporizador cada: Especifique la frecuencia con la que desea que se ejecute el temporizador.

    • Eventos varios: Especifique los eventos del puesto final que activan el guión.

    • Evento de cambio de ubicación: Especifique el evento de cambio de ubicación que activa el guión. Estos eventos no son independientes; son adicionales al evento anterior.

      • Comprobar evento de ubicación: El guión se ejecuta con todos los cambios de ubicación.

      • Activar al cambiar de: El guión sólo se ejecuta si el usuario deja esta ubicación (especificada) para cualquier otra ubicación.

      • Activar al cambiar a: El guión se ejecuta cuando el usuario introduce su ubicación especificada desde cualquier otra ubicación. Si a Activar al cambiar de se le ha asignado un parámetro de ubicación, por ejemplo, Oficina, el guión sólo se ejecuta cuando la ubicación cambia de la oficina a la ubicación especificada).

      • Debe ser un cambio manual: El guión sólo se ejecuta si el usuario cambia a o desde una ubicación manualmente.

  4. Cree variables de guión. Para obtener más información, consulte Variables de guión.

  5. Escriba el texto de guión. Para obtener más información, consulte la Texto de guión.

  6. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Para asociar una regla de guiones avanzados existente:

  1. Seleccione Reglas de guiones avanzados del árbol de componentes y haga clic en Asociar nueva,

  2. Seleccione las reglas deseadas de la lista.

  3. Vuelva a definir el evento del activador, variables o guión, según convenga.

    NOTA:Si cambia los ajustes en un componente compartido, esto afecta al resto de instancias del mismo componente. Utilice el comando Mostrar uso para ver el resto de directivas asociadas a este componente.

  4. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Variables de guión

Se trata de un ajuste opcional que permite al administrador definir una variable (var) para el guión y utilizar la funcionalidad ZENworks Endpoint Security Management (por ejemplo, lanzar mensajes del usuario personalizados o hiperenlaces personalizados definidos; cambiar a una ubicación definida o ajustes del cortafuegos) o tener la libertad de cambiar el valor de una variable sin cambiar el propio guión.

Para crear una nueva variable de guiones:

  1. Haga clic con el botón derecho en Variables de guión del árbol de componentes y haga clic en Añadir variables nuevas.

  2. Asigne un nombre a la variable e incluya una descripción.

  3. Seleccione el tipo de variable:

    • Mensajes del usuario personalizados: Define un mensaje de usuario personalizado que puede lanzarse como una acción.

    • Cortafuegos: Define los ajustes del cortafuegos que pueden aplicarse como una acción.

    • Hiperenlaces: Define un hiperenlace que puede lanzarse como una acción.

    • Ubicación: Define una ubicación que puede aplicarse como una acción.

    • Número: Define un valor de número.

    • Cadena: Define un valor de cadena.

  4. Especifique el valor de la variable:

    • Todos adaptables

    • Todos cerrados

    • Todos abiertos

    • Ajustes del cortafuegos nuevos

    • Integridad no compatible

  5. Haga clic en Guardar directiva. Si su directiva contiene errores, consulte Sección 2.2.6, Notificación de error.

Texto de guión

El administrador de ZENworks Endpoint Security Management no está limitado al tipo de guión que ZENworks Security Client puede ejecutar. Los guiones se deben probar antes de distribuir la directiva.

Seleccione el tipo de guión (Jscript o VBscript) e introduzca el texto de guión en el campo. El guión puede copiarse de otra fuente y pegarse en el campo.

2.2.4 Información de cumplimiento

Debido al nivel y acceso de los controladores de ZENworks Security Client, prácticamente se puede informar de cada transacción que el punto final realiza. El punto final puede ejecutar cada inventario de sistema opcional para solucionar problemas y crear directivas. Para acceder a estos informes, haga clic en la pestaña Información de cumplimiento.

NOTA:La información no está disponible al ejecutar la Consola de gestión independiente.

Para ejecutar la información de cumplimiento de esta directiva:

  1. Especifique la frecuencia con la que desea generar informes. Esto es la frecuencia con la que los datos se cargarán desde ZENworks Security Client a Policy Distribution Service.

  2. Compruebe cada categoría de informes o escriba la que desee capturar.

Están disponibles los siguientes informes:

Puesto final

  • Uso de directivas de ubicación: ZENworks Security Client informa de todas las directivas de ubicación aplicadas y la duración de esa ejecución.

  • Entornos de red detectados: ZENworks Security Client informa de todos los ajustes de entorno de red detectados.

Integridad de sistema

  • Reglas personalizadas, antivirus, programa espía: ZENworks Security Client informa de todos los mensajes de integridad configurados basados en resultados de pruebas.

  • Actividad de protección de manipulación del extremo: ZENworks Security Client informa de todos los intentos de alterar el cliente de seguridad.

  • Redefinición de directivas: ZENworks Security Client informa de todos los intentos de iniciar la redefinición administrativa en el cliente de seguridad.

  • Actividad de ejecución de aplicaciones gestionadas: ZENworks Security Client informa de todas las actividades de ejecución para aplicaciones gestionadas.

Dispositivos de almacenamiento

  • Dispositivos extraíbles detectados: ZENworks Security Client informa a todos los dispositivos de almacenamiento extraíbles detectados por el cliente de seguridad.

  • Archivos copiados a un dispositivo extraíble: ZENworks Security Client informa de archivos que se copian a un dispositivo de almacenamiento extraíble.

  • Archivos abiertos desde un dispositivo extraíble: ZENworks Security Client informa de archivos que se abren desde un dispositivo de almacenamiento extraíble.

  • Actividad y gestión de cifrado: ZENworks Security Client informa de la actividad de cifrado/descifrado mediante ZENworks Storage Encryption Solution.

  • Archivos escritos en las unidades fijas: ZENworks Security Client informa del número de archivos que se han escrito en las unidades fijas del sistema.

  • Archivos escritos en las unidades de CD/DVD: ZENworks Security Client informa del número de archivos escritos en las unidades de CD/DVD del sistema.

Redes

  • Actividad de cortafuegos: ZENworks Security Client informa de todo el tráfico bloqueado a través del cortafuegos configurado para la directiva de ubicación aplicada.

    IMPORTANTE:Si habilita este informe, puede provocar la recopilación de grandes volúmenes de datos. Los datos pueden saturar una base de datos muy rápidamente. Una prueba de ZENworks Security Client informó de 1.115 cargas de datos de paquetes bloqueados durante un período de 20 horas. Debe ejecutar un período de sintonización y supervisión con un cliente de prueba en el entorno afectado antes de la implementación a gran escala.

  • Actividad de adaptador de red: ZENworks Security Client informa de toda la actividad de tráfico para un dispositivo de red gestionado.

Wi-Fi

  • Puntos de acceso inalámbricos detectados: ZENworks Security Client informa de todos los puntos de acceso detectados.

  • Conexiones de punto de acceso inalámbrico: ZENworks Security Client informa de todas las conexiones de punto de acceso realizadas por el punto final.

Inventario de dispositivo

  • Dispositivos USB: ZENworks Security Client informa de todos los dispositivos USB detectados en el sistema.

2.2.5 Publican

Las directivas de seguridad terminadas se envían a los usuarios a través del mecanismo de publicación. Una vez que se ha publicado una directiva, puede actualizarse con los usuarios recibiendo actualizaciones en sus controles de entrada programados. Para publicar una directiva, haga clic en la pestaña Publicar. Se muestra la siguiente información:

  • El árbol de directorios actuales

  • Las fechas de creación y modificación de la directiva

  • Los botones Actualizar y Publicar

Basándose en los permisos de publicación del usuario actual, el árbol de directorios puede mostrar una o más selecciones en color rojo. Los usuarios no pueden publicar en los usuarios/grupos que aparecen en rojo.

Los usuarios y sus grupos asociados no se visualizan hasta que se hayan autenticado en el Management Service. Es posible que los cambios en el servicio de directorios corporativos no se muestren inmediatamente en la consola de gestión. Haga clic en Actualizar para renovar el árbol de directorios para el Management Service.

Las secciones siguientes contienen más información sobre:

Publicación de una directiva

  1. Seleccione un grupo de usuarios (o usuarios individuales) en el árbol de directorios de la izquierda. Haga doble clic en los usuarios para seleccionarlos (si se ha seleccionado un grupo de usuarios, se incluirán a todos los usuarios).

    Los usuarios que no han recibido la directiva contarán con el icono junto a sus nombres. Si un usuario o grupo ya ha recibido la directiva, las entradas contarán con el icono junto a sus nombres en el árbol de directorios.

    Para eliminar la selección de un usuario o grupo, haga doble clic para eliminar el icono

  2. Haga clic en Publicar para enviar la directiva a Policy Distribution Service.

Actualización de una directiva publicada

Una vez que se haya publicado una directiva para los usuarios, se pueden mantener actualizaciones sencillas editando los componentes en una directiva y volviendo a publicarlas. Por ejemplo, si el administrador de ZENworks Endpoint Security Management necesita cambiar la clave WEP para un punto de acceso, el administrador sólo debe editar la clave, guardar la directiva y hacer clic en Publicar. Los usuarios afectados reciben la directiva actualizada (y la nueva clave) en su próximo control de entrada.

2.2.6 Notificación de error

Cuando el administrador intenta guardar una directiva con datos incompletos o incorrectos en un componente, aparece el panel de validación en la parte inferior de la consola de gestión, resaltando cada error. Cada error se debe corregir antes de guardar la directiva.

Haga doble clic en cada fila de validaciones para navegar hasta la pantalla con el error. Los errores se resaltan tal y como se muestra en la siguiente imagen.

2.2.7 Mostrar uso

Los cambios realizados en los componentes de la directiva compartida afectan a todas las directivas con las que estén asociados. Antes de actualizar o de cambiar un componente de la directiva, se recomienda que ejecute el comando Mostrar uso para determinar las directivas afectadas por el cambio.

  1. Haga clic con el botón derecho en el componente y, a continuación, haga clic en Mostrar uso.

    Aparece una ventana emergente, mostrando cada ejemplo de este componente en otras directivas.