epolicy orchestrator -...

Guía de evaluaciónrevisión 1.0

ePolicy Orchestrator® 3.5Sencillos pasos para configurar ePolicy Orchestrator y probar las nuevas funciones en un entorno de prueba

McAfee® System ProtectionLíder del mercado en soluciones de prevención de intrusiones

COPYRIGHTCopyright © 2004 Networks Associates Technology, Inc. Reservados todos los derechos.

Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a cualquier idioma de este documento o parte del mismo en cualquier forma o por cualquier medio sin el consentimiento previo, por escrito, de Networks Associates Technology, Inc., sus proveedores o compañías afiliadas. Para obtener este permiso, escriba a la atención del departamento jurídico de McAfee a la dirección: 5000 Headquarters Drive, Plano, Texas 75024 (Estados Unidos) o llame al número +1-972-963-8000.

ATRIBUCIONES DE MARCAS COMERCIALESActive Firewall, Active Security, ActiveSecurity (y en katakana), ActiveShield, AntiVirus Anyware y diseño, Clean-Up, Design (E estilizada), Design (N estilizada), Entercept, Enterprise SecureCast, Enterprise SecureCast (y en katakana), ePolicy Orchestrator, First Aid, ForceField, GMT, GroupShield, GroupShield (y en katakana), Guard Dog, HomeGuard, Hunter, IntruShield, Intrusion Prevention Through Innovation, M y diseño, McAfee, McAfee (y en katakana), McAfee y diseño, McAfee.com, McAfee VirusScan, NA Network Associates, Net Tools, Net Tools (y en katakana), NetCrypto, NetOctopus, NetScan, NetShield, Network Associates, Network Associates Colliseum, NetXray, NotesGuard, Nuts & Bolts, Oil Change, PC Medic, PCNotary, PrimeSupport, RingFence, Router PM, SecureCast, SecureSelect, SpamKiller, Stalker, ThreatScan, TIS, TMEG, Total Virus Defense, Trusted Mail, Uninstaller, Virex, Virus Forum, ViruScan, VirusScan, VirusScan (y en katakana), WebScan, WebShield, WebShield (y en katakana), WebStalker, WebWall, What’s The State Of Your IDS?, Who’s Watching Your Network, Your E-Business Defender, Your Network. Our Business. son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas asociadas en EE. UU. y en otros países. El rojo y la seguridad distinguen a los productos de la marca McAfee®. Todas las demás marcas registradas y no registradas mencionadas en este documento son propiedad exclusiva de sus respectivos propietarios.

INFORMACIÓN SOBRE PATENTESProtegido por las patentes de EE.UU 6,470,384; 6,493,756; 6,496,875; 6,553,377; 6,553,378.

INFORMACIÓN DE LICENCIA Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL CONTRATO LEGAL CORRESPONDIENTE A LA LICENCIA ADQUIRIDA, QUE ESTIPULA LOS TÉRMINOS GENERALES Y CONDICIONES DE USO DEL SOFTWARE CON LICENCIA. SI DESCONOCE EL TIPO DE LICENCIA ADQUIRIDA, CONSULTE EL DOCUMENTO DE VENTA U OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LICENCIA O LA ORDEN DE COMPRA QUE ACOMPAÑAN A SU PAQUETE DE SOFTWARE O QUE HA RECIBIDO POR SEPARADO AL COMPRAR EL PRODUCTO (COMO UN FOLLETO, UN ARCHIVO EN EL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ A EFECTOS DE OBTENER UN REEMBOLSO ÍNTEGRO.

AtribucionesEste producto incluye o puede incluir:! Software desarrollado por el proyecto OpenSSL Project para su uso con el toolkit OpenSSL (http://www.openssl.org/). ! Software criptográfico escrito por Eric A. Young y software escrito por Tim J. Hudson. ! Algunos programas de software concedidos bajo licencia (o sublicencia) al usuario según el contrato público General Public License (GPL, en inglés) de GNU u otra licencia similar de software gratuito que, entre otros derechos, permiten al usuario copiar, modificar y redistribuir determinados programas o partes de los mismos y tener acceso al código fuente. De acuerdo con el contrato GPL, si cualquier software regulado por el GPL se distribuye a otras personas en formato binario ejecutable, también se debe poner a disposición de los usuarios el código fuente correspondiente. Para el caso de software de este tipo regulado por el GPL, este CD incluye el código fuente. Si alguna licencia de software gratuito requiere que McAfee otorgue derechos necesarios para utilizar, copiar o modificar un programa de software más amplios que los contemplados en el presente acuerdo, éstos tendrán prioridad sobre los derechos y limitaciones aquí expuestos. ! Software escrito originariamente por Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer. ! Software escrito originariamente por Robert Nordier, Copyright © 1996-7 Robert Nordier. ! Software escrito por Douglas W. Sauder. ! Software desarrollado por Apache Software Foundation (http://www.apache.org/). Puede encontrar una copia del acuerdo de licencia de este software en www.apache.org/licenses/LICENSE-2.0.txt. ! International Components for Unicode (“ICU”) Copyright © 1995-2002 International Business Machines Corporation y otros. ! Software desarrollado por CrystalClear Software, Inc., Copyright © 2000 CrystalClear Software, Inc. ! Tecnología FEAD® Optimizer®, Copyright Netopsystems AG, Berlín, Alemania. ! Outside In® Viewer Technology © 1992-2001 Stellent Chicago, Inc. y/o Outside In® HTML Export, © 2001 Stellent Chicago, Inc. ! Software propiedad de Thai Open Source Software Center Ltd. y Clark Cooper, © 1998, 1999, 2000. ! Software propiedad de Expat maintainers. ! Software propiedad de The Regents of the University of California, © 1989. ! Software propiedad de Gunnar Ritter. ! Software propiedad de Sun Microsystems®, Inc. © 2003. ! Software propiedad de Gisle Aas. © 1995-2003. ! Software propiedad de Michael A. Chase, © 1999-2000. ! Software propiedad de Neil Winton, © 1995-1996. ! Software propiedad de RSA Data Security, Inc., © 1990-1992. ! Software propiedad de Sean M. Burke, © 1999, 2000. ! Software propiedad de Martijn Koster, © 1995. ! Software propiedad de Brad Appleton, © 1996-1999. ! Software propiedad de Michael G. Schwern, © 2001. ! Software propiedad de Graham Barr, © 1998. ! Software propiedad de Larry Wall y Clark Cooper, © 1998-2000. ! Software propiedad de Frodo Looijaard, © 1997. ! Software propiedad de Python Software Foundation, Copyright © 2001, 2002, 2003. Encontrará una copia del acuerdo de licencia de este software en www.python.org. ! Software propiedad de Beman Dawes, © 1994-1999, 2002. ! Software escrito por Andrew Lumsdaine, Lie-Quan Lee, Jeremy G. Siek © 1997-2000 University of Notre Dame. ! Software propiedad de Simone Bordet y Marco Cravero, © 2002. ! Software propiedad de Stephen Purcell, © 2001. ! Software desarrollado por Indiana University Extreme! Lab (http://www.extreme.indiana.edu/). ! Software propiedad de International Business Machines Corporation y otros, © 1995-2003. ! Software desarrollado por University of California, Berkeley y sus colaboradores. ! Software desarrollado por Ralf S. Engelschall <[email protected]> para su uso en el proyecto mod_ssl (http://www.modssl.org/). ! Software propiedad de Kevlin Henney, © 2000-2002. ! Software propiedad de Peter Dimov y Multi Media Ltd. © 2001, 2002. ! Software propiedad de David Abrahams, © 2001, 2002. Consulte la documentación en http://www.boost.org/libs/bind/bind.html. ! Software propiedad de Steve Cleary, Beman Dawes, Howard Hinnant y John Maddock, © 2000. ! Software propiedad de Boost.org, © 1999-2002. ! Software propiedad de Nicolai M. Josuttis, © 1999. ! Software propiedad de Jeremy Siek, © 1999-2001. ! Software propiedad de Daryle Walker, © 2001. ! Software propiedad de Chuck Allison y Jeremy Siek, © 2001, 2002. ! Software propiedad de Samuel Krempp, © 2001. En http://www.boost.org encontrará actualizaciones, documentación y un historial de revisiones. ! Software propiedad de Doug Gregor ([email protected]), © 2001, 2002. ! Software propiedad de Cadenza New Zealand Ltd., © 2000. ! Software propiedad de Jens Maurer, © 2000, 2001. ! Software propiedad de Jaakko Järvi ([email protected]), © 1999, 2000. ! Software propiedad de Ronald Garcia, © 2002. ! Software propiedad de David Abrahams, Jeremy Siek y Daryle Walker, © 1999-2001. ! Software propiedad de Stephen Cleary ([email protected]), © 2000. ! Software propiedad de Housemarque Oy <http://www.housemarque.com>, © 2001. ! Software propiedad de Paul Moore, © 1999. ! Software propiedad de Dr. John Maddock, © 1998-2002. ! Software propiedad de Greg Colvin y Beman Dawes, © 1998, 1999. ! Software propiedad de Peter Dimov, © 2001, 2002. ! Software propiedad de Jeremy Siek y John R. Bandela, © 2001. ! Software propiedad de Joerg Walter y Mathias Koch, © 2000-2002.

Editado en agosto de 2004 / Software ePolicy Orchestrator® versión 3.5DOCUMENT BUILD 001-ES

http://www.openssl.org/

http://www.apache.org/

http://www.apache.org/

http://www.apache.org/licenses/LICENSE-2.0.txt

http://www.python.org



http://www.extreme.indiana.edu/

http://www.modssl.org/

http://www.modssl.org/

http://www.boost.org/libs/bind/bind.html

http://www.boost.org/libs/bind/bind.html

http://www.boost.org

http://www.boost.org

http://www.housemarque.com

Contenido

Introducción: Antes de comenzar 4

Paso 1: Instalar el servidor y la consola de ePolicy Orchestrator . . . . . . . . . . . . 9Paso 2: Crear su Directorio de equipos gestionados . . . . . . . . . . . . . . . . . . . . .121. Agregar equipos al directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132. Organizar los equipos en grupos para servidores y estaciones

de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17Paso 3: Insertar agentes en los clientes de su Directorio . . . . . . . . . . . . . . . . .191. Configure las directivas del agente antes de realizar el despliegue . . . . . 202. Inicie la instalación del agente en los equipos de su sitio . . . . . . . . . . . . . 21

Instalar manualmente el agente en los equipos cliente . . . . . . . . . . . . . . . . . . . . 22Paso 4: Definir repositorios principales y distribuidos . . . . . . . . . . . . . . . . . . . 231. Agregar VirusScan Enterprise al repositorio principal . . . . . . . . . . . . . . . . 242. Extraer actualizaciones del repositorio de origen de McAfee. . . . . . . . . . . 263. Crear un repositorio distribuido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

1. Cree una carpeta compartida en un equipo para un repositorio . . . . . . 282. Agregue el repositorio distribuido al servidor de ePolicy Orchestrator . 293. Replique datos del repositorio principal en el repositorio distribuido. . . 314. Configure sitios remotos para utilizar el repositorio distribuido. . . . . . . 31

Paso 5: Definir directivas de VirusScan Enterprise 8.0i antes del despliegue . 32Paso 6: Desplegar VirusScan Enterprise en los clientes . . . . . . . . . . . . . . . . . 34Paso 7: Ejecutar un informe para confirmar la cobertura . . . . . . . . . . . . . . . . . 37Paso 8: Actualizar archivos DAT mediante una tarea de actualización

de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Paso 9: Planificar la sincronización automática de repositorios . . . . . . . . . . . . 401. Planifique una tarea de extracción para actualizar el repositorio principal

a diario 412. Planifique una tarea de réplica para actualizar su repositorio distribuido . . 423. Planifique una tarea de actualización de cliente para actualizar los

archivos DAT a diario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Paso 10: Probar la actualización global con SuperAgents . . . . . . . . . . . . . . . . 431. Despliegue un SuperAgent en cada subred 442. Active la actualización global en el servidor de ePolicy Orchestrator . . . . . 45

Paso 11: ¿Y ahora qué?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Evaluación de funciones 47

Notificaciones de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Paso 1: Configurar directivas del agente para cargar eventos de forma

inmediata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Paso 2: Configurar las notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Paso 3: Crear una regla para un evento de VirusScan Enterprise . . . . . . . . . . 50Paso 4: Proporcionar una muestra de detección de virus . . . . . . . . . . . . . . . . 52

Detección de sistemas no fiables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Paso 1: Configurar directivas de sensores de Detección de sistemas

no fiables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Paso 2: Desplegar el sensor de Detección de sistemas no fiables . . . . . . . . . 55Paso 3: Configurar una respuesta automática . . . . . . . . . . . . . . . . . . . . . . . . . 56Paso 4: Detectar un sistema no fiable y solucionar el problema . . . . . . . . . . . 58

iii

Introducción: Antes de comenzar

En esta guía de evaluación se muestra cómo instalar y desplegar ePolicy Orchestrator en un entorno de prueba. Ofrece pasos fáciles para poner en funcionamiento rápidamente un despliegue de prueba de ePolicy Orchestrator 3.5 e ilustra funciones importantes.

Se divide en dos secciones:

# Instalación y configuración

# Mantenimiento y supervisión del entorno

Instale ePolicy Orchestrator y despliegue VirusScan Enterprise en diez sencillos pasos En esta guía de evaluación se tratan los siguientes pasos:

1 Instalar el servidor y la consola de ePolicy Orchestrator.

2 Crear su Directorio de equipos gestionados.

3 Insertar agentes en los clientes de su Directorio.

4 Definir repositorios principales y distribuidos.

5 Definir directivas de VirusScan Enterprise 8.0i antes del despliegue.

6 Desplegar VirusScan Enterprise en los clientes.

7 Ejecutar un informe para confirmar la cobertura.

8 Actualizar archivos DAT mediante una tarea de actualización de cliente.

9 Planificar la sincronización automática de repositorios.

10 Probar la actualización global con SuperAgents.

Qué incluye esta guíaEn esta guía de evaluación se describe cómo desplegar ePolicy Orchestrator 3.5 en un pequeño entorno de prueba formado por un servidor de ePolicy Orchestrator y algunos equipos cliente. Se muestran los pasos necesarios para desplegar ePolicy Orchestrator en este entorno rápidamente y se prueban sus funciones más importantes.

Qué no incluye esta guíaEn este documento no se trata todo lo que ePolicy Orchestrator puede hacer, incluidas las numerosas funciones avanzadas o los casos de instalaciones típicas en despliegues reales. Aunque puede realizar muchos de estos pasos básicos en su entorno real, en esta guía no se incluye todo lo que necesitará. Para obtener información completa sobre todos los aspectos del producto, incluidas las funciones avanzadas, consulte la Guía del producto de ePolicy Orchestrator 3.5.

4

ePolicy Orchestrator® 3.5 - Guía de evaluación Introducción: Antes de comenzar

Configurar de su entorno de prueba de ePolicy OrchestratorAntes de iniciar la instalación y prueba de ePolicy Orchestrator, debe crear una red de prueba segura. La planificación y comprobación de un despliegue real en su organización puede llevar semanas o incluso meses, especialmente si se trata de una gran empresa. Sin embargo, puede crear un pequeño entorno de prueba en algunas horas o bien identificar varios equipos en la red para realizar las pruebas en menos tiempo aún.

Como mínimo, este entorno debe contener un equipo servidor para el servidor de ePolicy Orchestrator y uno o varios equipos cliente, que pueden ser servidores o estaciones de trabajo, para desplegar los agentes y VirusScan Enterprise 8.0i. Consulte en la Guía de instalación de ePolicy Orchestrator 3.5 y en la Guía de instalación de VirusScan Enterprise 8.0i los requisitos de hardware para el servidor de ePolicy Orchestrator, el agente y VirusScan Enterprise 8.0i.

Al configurar su entorno de prueba, compruebe que su red se ha configurado de forma adecuada para ePolicy Orchestrator. Para ello debe considerar lo siguiente:

1 Crear una cuenta de usuario de red con privilegios administrativos. Si piensa utilizar el servidor de ePolicy Orchestrator para insertar agentes en los equipos, el servidor debe contar con credenciales de gestor. Puede configurar ePolicy Orchestrator para que utilice estas credenciales cuando instale el servidor o puede especificarlas al insertar el agente. En cualquiera de los casos, necesitará un nombre de usuario y una contraseña de gestor para desplegar los agentes desde la consola de ePolicy Orchestrator.

2 Crear conexiones de dominios de confianza a dominios de NT remotos. Si piensa probar el despliegue de agentes en equipos situados fuera del dominio NT en el que reside el servidor de ePolicy Orchestrator, debe crear una conexión de confianza entre los dominios. Esta conexión es necesaria para permitir al servidor desplegar agentes e instalar software en estos clientes remotos. Consulte en la documentación de Microsoft Windows cómo realizarlo. Además, debe tener una cuenta de usuario con derechos de administrador en el dominio remoto para que el servidor de ePolicy Orchestrator pueda desplegar agentes en esos clientes.

¿Qué incluye y que no incluye esta guía de evaluación

Qué incluye esta guía

Qué no incluye Comentarios

Un servidor y consola de ePolicy Orchestrator.

Varios servidores y consolas de ePolicy Orchestrator remotas.

En un entorno de prueba pequeño, basta con un servidor.

La base de datos MSDE activa en el mismo servidor que ePolicy Orchestrator.

Bases de datos SQL Server o servidores de base de datos remotos.

Es más sencillo utilizar la base de datos MSDE que incluye ePolicy Orchestrator para realizar pruebas en una pequeña red.

Uso de ePolicy Orchestrator para desplegar agentes y VirusScan Enterprise.

Uso de guiones de inicio de sesión o herramientas de terceros para desplegar agentes y VirusScan Enterprise en equipos cliente.

También se incluye la instalación manual del agente.

Entorno de red simple con un dominio NT y Active Directory.

Entornos Unix, Linux o Netware.

En esta guía se utilizan dominios NT y Active Directory para ilustrar las funciones claves del producto.

5


3 Enviar un ping a equipos cliente desde el servidor de ePolicy Orchestrator. Desde el equipo desde el que piensa instalar el servidor de ePolicy Orchestrator, envíe un ping a los equipos cliente en los que piensa desplegar agentes, para comprobar la conectividad de la red. Para hacer esto desde su servidor, seleccione Inicio | Ejecutar y escriba cmd en el símbolo de comandos para abrir una ventana de comandos. A continuación, escriba los comandos de ping, con la sintaxis que se indica a continuación. Intente el ping por nombre del equipo y por dirección IP:

ping MiPC

ping 192.168.14.52

4 Confirmar que se puede acceder desde el servidor a las carpetas de recursos compartidos Admin$ de NT. Desde el equipo en el que piensa instalar el servidor de ePolicy Orchestrator, pruebe si hay acceso a la carpeta compartida predeterminada Admin$ en todos los equipos cliente. El servicio de servidor de ePolicy Orchestrator necesitará acceso a esta carpeta compartida para instalar agentes y otro software, como VirusScan Enterprise. Esta prueba también confirma sus credenciales de gestor, ya que no se puede acceder a recursos compartidos remotos Admin$ sin este nivel de derechos. Para acceder a la carpeta compartida Admin$ desde el servidor de ePolicy Orchestrator, haga lo siguiente:

a Seleccione Inicio | Ejecutar.

b En el símbolo de comandos, escriba la ruta al recurso compartido Admin$ del cliente, especificando el nombre del equipo o bien la dirección IP:

\\MiPC\Admin$

\\192.168.14.52\Admin$

Si los equipos están conectados correctamente a la red, sus credenciales son suficientes y está presente la carpeta compartida Admin$, verá un cuadro de diálogo del Explorador de Windows.

5 Instalar las actualizaciones de Microsoft en los equipos cliente Windows 95, Windows 98 o Windows ME. Si incluye clientes con Windows 95, Windows 98 o Windows ME en la prueba, descargue las actualizaciones de VCREDIST.EXE y DCOM 1.3 del sitio Web de Microsoft e instálelas en estos clientes. Los agentes de ePolicy Orchestrator no se ejecutarán en estos clientes sin dichas actualizaciones. Consulte la Guía de instalación de ePolicy Orchestrator 3.5 o los siguientes vínculos para obtener información:

support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q259403& (en inglés)

www.microsoft.com/com/dcom/dcom95/dcom1_3.asp (en inglés)

6 Activar el uso compartido de archivos e impresoras en los equipos cliente Windows 95, Windows 98 o Windows ME. Si va a desplegar el agente en clientes Windows 95, Windows 98 o Windows ME, antes debe activar Compartir archivos e impresoras en dichos clientes. Este paso es necesario únicamente si piensa insertar agentes en esos clientes. Si instala el agente de forma manual o utilizando cualquier otro método, como un guión de inicio de sesión, no es preciso. Una vez que haya insertado el agente en estos clientes Windows 95, Windows 98 y Windows ME, puede desactivar Compartir archivos e impresoras de nuevo y seguir gestionando las directivas de agente en los clientes con ePolicy Orchestrator.

6

http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q259403&

http://www.microsoft.com/com/dcom/dcom95/dcom1_3.asp


Acerca del entorno de prueba utilizado en esta guíaEl entorno de prueba utilizado en esta guía consta de un dominio NT y un contenedor de Active Directory, cada uno con varios servidores y varias estaciones de trabajo.

No es imprescindible que tenga varios dominios de NT o contenedores de Active Directory en su entorno de prueba para utilizar esta guía o probar ePolicy Orchestrator.

Obtener archivos de instalación de McAfeeAntes de iniciar la instalación, consiga los archivos de instalación para ePolicy Orchestrator y VirusScan Enterprise del sitio Web de McAfee o del CD del producto, si lo tiene. Si desea utilizar las versiones de evaluación de 30 días para las pruebas, descárguelas del sitio Web de McAfee. Los archivos que necesita son:

# EPO350EML.ZIP. Los archivos de instalación necesarios para instalar el servidor de ePolicy Orchestrator 3.5, la consola y la base de datos.

# VSE800EEN.ZIP. Los archivos de instalación de VirusScan Enterprise 8.0i, incluido el archivo comprimido PkgCatalog.z necesario para desplegar VirusScan Enterprise a través de ePolicy Orchestrator.

# VSC451Lens1.ZIP. Los archivos de instalación de VirusScan 4.5.1 y el archivo PkgCatalog.z. Sólo necesita VirusScan 4.5.1 si tiene equipos cliente con Windows 95, Windows 98 o Windows ME, ya que VirusScan Enterprise 8.0i no funciona en dichos sistemas operativos.

Para descargar los archivos desde el sitio Web de McAfee:

1 Desde el equipo en el que piensa instalar el servidor y la consola de ePolicy Orchestrator, abra un navegador Web y vaya a:

http://www.mcafeesecurity.com/us/downloads/evals/

2 Seleccione ePolicy Orchestrator Enterprise Edition 3.5 en la lista y pulse en el vínculo TRY (PROBAR).

3 Rellene el formulario y siga las instrucciones para descargar el archivo EPO350EML.ZIP.

4 Extraiga el contenido del archivo EPO350EML.ZIP en una carpeta temporal, como C:\ePOTemp.

Tabla 1 Equipos en Domain1 (direcciones IP 192.168.14.1-255)

Equipo Detalles

Servidor de ePO Windows 2000 Server SP 4 con SQL Server 2000 SP 3. En este equipo está instalado el servidor de ePolicy Orchestrator, la consola, la base de datos y el repositorio de software principal.

4 clientes Con Windows 2000 Professional.

Tabla 2 Equipos en Domain2 (direcciones IP 192.168.15.1-255)

Equipo Detalles

2 servidores Windows 2000 Server SP 4.

3 clientes Con Windows 2000 Professional.

7


5 Repita estos pasos para descargar la versión de evaluación VSE80iEVAL.ZIP de VirusScan Enterprise 8.0i y VSC451Lens1.ZIP de VirusScan 4.5.1.

6 Extraiga el contenido de los archivos .ZIP descargados en una carpeta temporal en el equipo que piensa utilizar para probar el servidor de ePolicy Orchestrator.

Necesitará acceso a los archivos de estas carpetas en distintos momentos durante el proceso de despliegue que se trata en esta guía.

8

ePolicy Orchestrator® 3.5 - Guía de evaluación

P A S O

1 Instalar el servidor y la consola de ePolicy OrchestratorInstale el servidor, la consola y la base de datos de ePolicy Orchestrator en el equipo que piensa utilizar como servidor de ePolicy Orchestrator. En los ejemplos que se utilizan en esta guía vamos a instalar el servidor de ePolicy Orchestrator en un equipo llamado ePOServer que tiene instalado el sistema operativo Windows 2000 Server.

Para instalar el servidor y la consola de ePolicy Orchestrator:

1 Localice y ejecute el archivo SETUP.EXE situado en el raíz de la carpeta ePOTemp donde extrajo el archivo comprimido EPO350EML.ZIP.

2 Pulse en Siguiente en la página inicial del asistente Instalación de ePolicy Orchestrator 3.5.0.

3 Si va a instalar una versión de evaluación, pulse en Aceptar en la página Evaluación.

4 En el acuerdo de licencia, seleccione que acepta los términos del acuerdo de licencia y pulse en Aceptar.

5 En Opciones de instalación, seleccione Instalar el servidor y la consola y pulse en Siguiente. Si lo desea, también puede cambiar la carpeta de instalación.

6 Si aparece un mensaje que indica que su servidor no tiene dirección IP estática, ignórelo pulsando en Aceptar.

Aunque McAfee recomienda instalar ePolicy Orchestrator en un equipo con una dirección IP estática en su entorno de producción, se puede utilizar una dirección IP asignada por DHCP.

7 En el cuadro de diálogo Establecer contraseña de servidor, especifique la contraseña que desea utilizar para el servidor de ePolicy Orchestrator. No puede dejar este campo vacío.

8 En el cuadro de diálogo Cuenta de servicio de servidor desactive Usar cuenta del sistema local.

9 En el área Información sobre la cuenta, especifique el dominio, nombre de usuario y contraseña que va a utilizar el servicio del servidor de ePolicy Orchestrator.

10 Pulse en Siguiente para guardar la información de la cuenta y continuar.

11 En el cuadro de diálogo Seleccionar el servidor de la base de datos, seleccione Instalar un servidor en este equipo y usarlo. Esta opción instala la base de datos gratuita MSDE incluida con ePolicy Orchestrator.

Nota

Si la cuenta que ha especificado no es una cuenta de gestor, aparecerá un aviso que le indica que no puede utilizar ePolicy Orchestrator para desplegar agentes. Si desea que el servicio del servidor de ePolicy Orchestrator tenga los derechos suficientes para que pueda desplegar agentes, pulse en Aceptar y, a continuación, en Atrás y especifique una cuenta de usuario y una contraseña con derechos de gestor. Otra posibilidad es utilizar una cuenta que no sea de gestor para el servicio del servidor de ePolicy Orchestrator y desplegar agentes especificando credenciales de gestión en el momento de realizar el despliegue. Por último, puede decidir no desplegar agentes a través de ePolicy Orchestrator e instalar el agente de forma manual, y utilizar ePolicy Orchestrator sólo para la gestión de directivas. En este caso no necesita derechos de gestor en su cuenta de servicio del servidor.

9


12 Pulse en Siguiente.

13 En el cuadro de diálogo Cuenta de servidor de base de datos desactive Usar la misma cuenta que el servicio del servidor y, a continuación, seleccione Ésta es una cuenta de servidor SQL. Especifique y confirme una contraseña segura. Se trata de la cuenta SA que su servidor de ePolicy Orchestrator utiliza para acceder a la base de datos de MSDE.

14 Pulse en Siguiente para guardar la información de la cuenta de la base de datos.

15 En el cuadro de diálogo Configuración HTTP cambie el valor de Puerto HTTP del agente a 82 y el valor de Puerto HTTP de la consola a 83.

Algunos puertos HTTP, en particular los puertos 80 y 81, son utilizados habitualmente por muchas aplicaciones y servicios HTTP. Por esta razón, es posible que el puerto 80 ya esté en uso y por tanto no esté disponible. McAfee recomienda cambiar el número de puerto para evitar este conflicto.

16 Pulse en Siguiente para guardar la información de puerto.

Si aparece un mensaje de advertencia que indica que uno o varios puertos HTTP están en uso, pulse en Aceptar, repita el paso 15 y especifique puertos HTTP que estén libres.

17 En el cuadro de diálogo Definir correo electrónico, especifique la dirección de correo electrónico a la que las reglas de notificación predeterminadas envían los mensajes cuando están activadas.

Esta dirección de correo electrónico es la que utiliza la función Notificaciones de ePolicy Orchestrator. Esta función se explica en esta guía. Utilice una dirección de correo electrónico que reciba mensajes que pueda ver.

Figura 1-1 Cambie los puertos HTTP que utiliza el agente y la consola

si ya están en uso

10


18 En el cuadro de diálogo Listo para la instalación, pulse en Instalar para iniciar la instalación.

La instalación dura aproximadamente 20 minutos y puede ser necesario reiniciar el equipo durante la misma.

19 Pulse en Aceptar cuando se le indique que reinicie y asegúrese de que vuelve a iniciar la sesión tras el reinicio para continuar con la instalación.

20 Cuando termine el proceso, pulse en Finalizar.

Una vez finalizada la instalación, puede abrir la consola de ePolicy Orchestrator para comenzar el despliegue de agentes y productos antivirus en los equipos cliente de su red.

Inicio de la consola de ePolicy Orchestrator por primera vezAhora podemos decir que su servidor está instalado y en funcionamiento. Abra la consola de ePolicy Orchestrator para comenzar a utilizar ePolicy Orchestrator para gestionar las directivas de su red.

Para abrir la consola desde el servidor de ePolicy Orchestrator:

1 Pulse en el botón Inicio y seleccione Programas | Network Associates | Consola de ePolicy Orchestrator 3.5.0.

2 En la Página de inicio, pulse en Iniciar sesión en el servidor.

3 Cuando aparezca el cuadro de diálogo Iniciar sesión en el servidor, asegúrese de que Nombre del servidor muestra el nombre de su servidor de ePolicy Orchestrator y de que el Nombre de usuario es administrator, a continuación, especifique la Contraseña que estableció durante la instalación y, por último, pulse en Aceptar.

4 Si ha instalado una versión de evaluación, pulse en Aceptar en la página de bienvenida de Evaluación.

Espere unos segundos hasta que se inicialice el servidor de ePolicy Orchestrator. Ahora ya está listo para utilizar la consola de ePolicy Orchestrator.

Enhorabuena por la correcta instalación de su servidor, consola y base de datos de ePolicy Orchestrator.

11


P A S O

2 Crear su Directorio de equipos gestionadosEl Directorio está en el árbol de la consola situado a la izquierda de la consola de ePolicy Orchestrator. El Directorio contiene todos los equipos de su red que se gestionan con ePolicy Orchestrator. En otras palabras, el Directorio contiene todos los equipos de su red que tienen agentes de ePolicy Orchestrator activos que informan a este servidor.

Antes de iniciar la gestión de directivas antivirus de cliente para los equipos de su red, debe agregar dichos equipos a su Directorio de ePolicy Orchestrator. Tras la instalación del servidor, dispone en principio de un equipo en el Directorio: el propio servidor de ePolicy Orchestrator.

Para organizar sus equipos, puede agruparlos en conjuntos lógicos llamados sitios y grupos. Puede crear una jerarquía en forma de árbol de sitios y grupos, como lo haría con una jerarquía de carpetas en el Explorador de Windows. La agrupación es útil puesto que ePolicy Orchestrator permite definir directivas a nivel de grupo. Puede agrupar equipos en función de cualquier criterio que funcione para su organización.

En esta guía se utilizan tres niveles genéricos de agrupación:

# Dominio NT. El uso de sus dominios de red NT como sitios facilita y agiliza la creación de su Directorio. Si copia en la estructura de su Directorio la estructura de su red sólo tendrá que recordar una jerarquía en lugar de dos.

# Contenedores de Active Directory. El uso de sus contenedores de Active Directory existentes como sitios facilita y agiliza la creación de su Directorio, o partes del mismo. Si copia en la estructura de su Directorio la estructura de su red sólo tendrá que recordar una jerarquía.

# Servidores y estaciones de trabajo. Puede que desee configurar directivas distintas para productos como VirusScan Enterprise 8.0i, en función de si el software se ejecuta en un servidor o en una estación de trabajo. No es preciso dividir su Directorio en grupos, en especial para realizar pruebas en un entorno de prueba pequeño. Sin embargo, puede experimentar con la configuración de directivas para grupos de equipos o en función de cómo quiera organizar su Directorio.

Otros métodos típicos de agrupación incluyen, entre otros:

# Divisiones geográficas. Si tiene centros en distintas partes del mundo, o en zonas horarias diferentes, tal vez desee dividir su Directorio de ePolicy Orchestrator en función de esas divisiones. La coordinación de directivas y tareas en varias zonas horarias es mucho más fácil si sitúa los equipos en esos sitios.

# Divisiones de seguridad. Si los usuarios tienen varios niveles de acceso de seguridad en su entorno, copiar la estructura del Directorio para que sea idéntica a esos niveles hará mucho más sencilla la aplicación de las directivas.

12


1 Agregar equipos al directorioEl primer paso en la creación del Directorio es agregar los equipos de su red. Pruebe con uno de estos tres métodos:

# Opción A: Agregar automáticamente dominios NT existentes completos a su Directorio. Muy fácil y rápido. Resulta muy útil si piensa desplegar agentes en todos los equipos de ese dominio. Utilice este método si ha organizado los equipos cliente de prueba en dominios dentro de la red de prueba, como en los ejemplos que se utilizan en esta guía de evaluación.

# Opción B: Agregar automáticamente contenedores de Active Directory completos a su Directorio. Muy fácil y rápido. Muy útil si todo o parte de su entorno está controlado por Active Directory y si desea que partes de su Directorio de ePolicy Orchestrator reflejen partes de su Active Directory.

# Opción C: Agregar de forma manual equipos individuales a su Directorio. Aunque este método puede resultar demasiado lento para el despliegue de ePolicy Orchestrator en una red activa, es lo suficientemente rápido para agregar unos cuantos equipos a su red de prueba.

Opción A: Agregar automáticamente dominios NT existentes completos a su DirectorioePolicy Orchestrator permite importar todos los equipos de un dominio NT a su Directorio con sólo unas acciones del ratón. Utilice esta función si ha organizado los equipos cliente de prueba en dominios, en la red de prueba.

Los ejemplos que se incluyen en esta guía utilizan este método para crear sitios del Directorio a partir de un dominio NT de la red de prueba, Domain1.

Para agregar dominios NT completos a su Directorio:

1 Pulse con el botón derecho del ratón en Directorio y seleccione Nuevo | Sitio.

2 En el cuadro de diálogo Agregar sitios, pulse en Agregar.

3 En el cuadro de diálogo Nuevo sitio, especifique un nombre para el sitio. Asegúrese de que el nombre coincide exactamente con el nombre de su dominio NT.

4 En Tipo, seleccione Dominio e Incluir equipos como nodos secundarios.

5 Pulse en Agregar en Gestión IP para especificar una intervalo de direcciones IP para el sitio.

6 En el cuadro de diálogo Gestión IP, especifique una máscara de subred IP o intervalo IP para especificar los intervalos de direcciones IP de los equipos que pertenecen a este sitio.

7 Pulse en Aceptar para guardar la configuración IP.

8 Pulse en Aceptar para guardar el nuevo sitio y cerrar el cuadro de diálogo Nuevo sitio.

13


9 En el cuadro de diálogo Agregar sitios, asegúrese de que Enviar paquete del agente NO está seleccionada y pulse en Aceptar para crear e incluir los sitios en el Directorio. Aunque puede desplegar agentes en este punto, lo hará más adelante una vez que haya modificado las directivas de agente.

Transcurridos unos segundos, los equipos se agregan a su Directorio. Una vez finalizado el proceso, puede observar que ePolicy Orchestrator creó primero un sitio en el Directorio con el nombre de su dominio de red de prueba y agregó todos los equipos a ese dominio como secundarios del mismo.

Opción B: Agregar automáticamente contenedores de Active Directory completos a su DirectorioePolicy Orchestrator permite importar todos los equipos de un contenedor de Active Directory, y sus contenedores secundarios, a su Directorio de forma muy fácil con el ratón. Utilice esta función si ha organizado los equipos cliente de prueba en contenedores de Active Directory en su red de prueba.

Los ejemplos de esta guía utilizan este método para crear sitios del Directorio de un contenedor de Active Directory, con dos contenedores secundarios.

El Asistente de importación de Active Directory se utiliza como herramienta para importar equipos de Active Directory por primera vez, mientras crea todo el Directorio completo o sólo un sitio específico del mismo. Utilizará la tarea Descubrimiento de equipos de Active Directory para sondear regularmente los contenedores de Active Directory en busca de nuevos equipos.

Figura 1-2 Cuadro de diálogo Agregar sitios

Nota

Para utilizar las herramientas de Active Directory del software ePolicy Orchestrator es importante que tanto el servidor de ePolicy Orchestrator como el equipo que ejecuta la consola remota, en su caso, tengan acceso al servidor de Active Directory.

14


Para agregar contenedores y contenedores secundarios de Active Directory a su Directorio:

1 Pulse con el botón derecho del ratón en el Directorio y seleccione Nuevo | Sitio.


3 En el cuadro de diálogo Nuevo sitio, especifique un nombre para el sitio, por ejemplo, Container1 y, a continuación, pulse en Aceptar.

4 Asegúrese de que Enviar paquete del agente NO está seleccionada y pulse en Aceptar.

5 Pulse con el botón derecho del ratón en Directorio y seleccione Todas las tareas | Importar equipos de Active Directory.

6 Pulse en Siguiente cuando aparezca el Asistente de importación de Active Directory.

7 En el panel Grupo de destino de ePolicy Orchestrator del asistente puede seleccionar la raíz del Directorio o un sitio del Directorio para importar los equipos de Active Directory.

Para esta guía, seleccione el sitio que acaba de crear en la lista desplegable Importar a esta ubicación de ePO y, a continuación, pulse en Siguiente.

8 En el panel Autenticación de Active Directory, especifique las credenciales de usuario de Active Directory con derechos de gestión sobre el servidor de Active Directory.

9 En el cuadro de diálogo Contenedor origen de Active Directory, pulse en Examinar para seleccionar el contenedor de origen deseado en el cuadro de diálogo Explorador de Active Directory y, a continuación, pulse en Aceptar.

Figura 1-3 Asistente de importación de Active Directory

Nota

Si desea importar su estructura de Active Directory completa, menos las excepciones, para utilizarla como su Directorio de ePolicy Orchestrator, seleccione la raíz de esta lista. De esta forma se importará la estructura de Active Directory, sin las excepciones, al grupo Lost&Found de la raíz del Directorio.

15


10 Si desea excluir contenedores secundarios específicos del contenedor seleccionado, pulse en Agregar en Excluir los siguientes contenedores secundarios y, a continuación, seleccione el contenedor secundario que desea excluir y pulse en Aceptar.

11 Pulse en Siguiente y examine el registro activo para ver los nuevos equipos que se han importado. Verifique en el árbol de ePolicy Orchestrator que se importaron esos equipos.

12 Pulse en Finalizar.

Los equipos de Active Directory han sido importados al directorio Lost&Found situado debajo del sitio al que los importó. Si su contenedor de Active Directory incluía contenedores secundarios, el directorio Lost&Found mantiene la jerarquía de Active Directory.

13 Pulse en la parte superior de esta estructura y arrástrela desde Lost&Found al sitio inmediatamente superior. (El sitio que seleccionó en el asistente. Por ejemplo Container1.)

Enhorabuena. Ha importado sus equipos de Active Directory a un sitio del Directorio de ePolicy Orchestrator.

En un entorno de producción, una vez que han sido importados los contenedores de Active Directory, debe crear una tarea de Descubrimiento de equipos de Active Directory. Esta tarea sondea de forma regular los contenedores de Active Directory especificados por el gestor en busca de nuevos equipos. Consulte la Guía del producto de ePolicy Orchestrator 3.5 para obtener instrucciones. Esta tarea no se explica en esta guía.

Opción C: Agregar de forma manual equipos individuales a su DirectorioCuando despliega ePolicy Orchestrator en la red de producción, lo más probable es que desee llenar el Directorio de forma automática importando dominios NT como se indicaba en la sección anterior. Sin embargo, en un entorno de prueba pequeño, también puede agregar sitios y equipos a su Directorio de forma manual. El primer paso es, por lo tanto, crear el sitio manualmente. A continuación, puede agregar equipos al mismo también de forma manual.

Crear un nuevo sitio donde agrupar los equipos1 Pulse con el botón derecho del ratón en el nodo Directorio del árbol de la consola y

seleccione Nuevo | Sitio.


3 Especifique un nombre para el sitio, como Domain1 en el ejemplo, en el campo Nombre del cuadro de diálogo Nuevo sitio.

4 Especifique una máscara de IP o intervalo de direcciones IP para el sitio, si es necesario. Consulte la sección anterior más obtener más detalles.

5 Pulse en Aceptar. El sitio Domain1 se agrega a la lista Sitios que agregar del cuadro de diálogo Agregar sitios.

6 Repita los pasos anteriores para crear otros sitios, en su caso.

7 Pulse en Aceptar. ePolicy Orchestrator agrega los nuevos sitios vacíos al Directorio.

16


Agregar de forma manual equipos a su sitioAhora que ya ha creado uno o varios sitios nuevos, lo siguiente es agregar manualmente los nuevos equipos al sitio. Para ello:

1 En el Directorio, pulse con el botón derecho del ratón en el sitio y seleccione Nuevo | Equipo.

2 En el cuadro de diálogo Agregar equipos, agregue nuevos equipos pulsando en Examinar para localizarlos en su entorno de red NT o en Agregar y especifique el nombre NetBIOS de los equipos.

3 Pulse en Aceptar cuando haya agregado los nombres de todos los equipos.

ePolicy Orchestrator agrega los nuevos equipos al Directorio debajo del sitio.

2 Organizar los equipos en grupos para servidores y estaciones de trabajo

Cuando haya creado los sitios y agregado los equipos a su Directorio, es aconsejable que los organice en grupos. Los grupos que cree dependerán de las necesidades de su red. Puede agrupar los grupos por áreas funcionales, como Ventas, Marketing o Desarrollo. También puede crear grupos por unidades geográficas, como las ubicaciones de las oficinas. O tal vez desee agrupar los equipos por sistema operativo.

En el ejemplo de esta guía se crean grupos en cada sitio por servidores y estaciones de trabajo. Utilice estos grupos más adelante cuando configure las distintas directivas de VirusScan Enterprise para servidores y estaciones de trabajo.

Para agregar grupos a los sitios del Directorio y agregar equipos a ellos:

1 Pulse con el botón derecho del ratón en un sitio que haya agregado al Directorio y seleccione Nuevo | Grupo.

2 En el cuadro de diálogo Agregar grupos, pulse en Agregar.

3 En el cuadro de diálogo Nuevo grupo, escriba el nombre Estaciones de trabajo en el cuadro de texto Nombre.

4 Si su red está diseñada para permitir que se asignen direcciones IP específicas a servidores y estaciones de trabajo, cree un intervalo IP para el grupo. Por ejemplo, en la red de prueba que se utiliza en este guía, los servidores de Domain1 tienen direcciones IP entre 192.168.14.200 y 255; las estaciones de trabajo de Domain1 tienen direcciones entre 192.168.14.1 y 199.

Nota

Las páginas de directivas de VirusScan Enterprise 8.0i para ePolicy Orchestrator 3.5.0 le permiten crear directivas distintas para servidores y estaciones de trabajo sin necesidad de crear estos grupos. Sin embargo, agrupar equipos por sistema operativo es una forma sencilla de ilustrar cómo el uso de grupos en el Directorio puede facilitar la gestión de las directivas. No dude en crear otros tipos de grupos, si éstos se ajustan de mejor forma a su red de prueba o a sus necesidades de gestión de directivas.

Nota

Tenga en cuenta que también debe definir una máscara IP en el sitio principal. La máscara IP o intervalo IP que defina para el grupo debe ser coherente con el intervalo IP especificado a nivel de sitio. En los ejemplos utilizados en esta guía, las estaciones de trabajo y servidores de Domain1 están todos dentro de la subred 192.168.14.0/2.

Tenga en cuenta también que no es necesaria la gestión IP para los equipos de Active Directory.

17


Para definir un intervalo IP para un grupo:

a En Gestión IP en el cuadro de diálogo Nuevo grupo, pulse en Agregar.

b En el cuadro de diálogo Gestión IP, especifique una máscara de subred IP o un intervalo IP para especificar los intervalos de direcciones IP de los equipos que pertenecen a este sitio.

c Pulse en Aceptar para guardar la configuración IP y cerrar el cuadro de diálogo Gestión IP.

5 Pulse en Aceptar para cerrar el cuadro de diálogo Nuevo grupo. El grupo se agrega a la lista Grupos que deben agregarse.

6 Pulse en Aceptar en el cuadro de diálogo Agregar grupos para agregar el grupo a su Directorio.

Agregar equipos a los nuevos grupos creadosCuando los nuevos grupos aparezcan en el Directorio, arrástrelos del sitio al grupo apropiado como lo haría con los archivos en el Explorador de Windows. Debe arrastrar los equipos hasta el Directorio de uno en uno; no es posible seleccionar varios equipos. Otra opción es utilizar la función de búsqueda del Directorio (pulse con el botón derecho del ratón en el Directorio y seleccione Buscar) para mover varios sistemas a la vez.

Cuando arrastre los equipos a los grupos, ignore el mensaje de aviso de integridad IP, si aparece, pulsando en Aceptar.

Crear grupos y grupos secundarios adicionales según convengaRepita todos estos pasos para crear un grupo de servidores para su sitio, así como otros grupos de servidores y estaciones de trabajo para otros sitios, si los tiene. También puede crear grupos dentro de otros grupos. Por ejemplo, la red de prueba utilizada en esta guía tiene equipos que tienen instalado Windows 2000 y Windows 98. Debido a las limitaciones existentes en versiones anteriores de Windows, es necesario definir directivas distintas para los equipos que utilizan Windows 98. La creación de grupos secundarios para Win98 y Win2000 dentro del grupo de estaciones de trabajo facilita la definición de dichas directivas.

Ha concluido la creación de su Directorio de prueba. Ha creado sitios y agregado equipos, tanto de forma manual como importando dominios NT existentes en su red Además, ha distribuido los equipos de cada sitio en grupos diferentes para servidores y distintos tipos de sistemas operativos de estaciones de trabajo. Está preparado para el siguiente paso: el despliegue de agentes.

18


P A S O

3 Insertar agentes en los clientes de su DirectorioAntes de que pueda avanzar más en la gestión de los equipos cliente de su Directorio, debe instalar un agente de ePolicy Orchestrator en dichos equipos. El agente es una pequeña aplicación que reside en el equipo cliente y que comprueba periódicamente las actualizaciones y nuevas instrucciones del servidor de ePolicy Orchestrator.

Para desplegar el agente desde el servidor de ePolicy Orchestrator se necesita lo siguiente:

# Una cuenta de red con privilegios de gestor. Si especificó credenciales de gestor al instalar su servicio de servidor de ePolicy Orchestrator, podrá desplegar agentes automáticamente; de lo contrario, tendrá que especificar las credenciales apropiadas al realizar el despliegue.

# Una relación de confianza para otros dominios NT, si es necesario. Para desplegar agentes fuera del dominio NT local que alberga su servidor de ePolicy Orchestrator, debe disponer de una relación de confianza de dominios configurada entre el dominio local y el de destino.

# Para equipos con Windows 95 y Windows 98, instale las actualizaciones de Microsoft adicionales. Windows 95 y Windows 98 primera edición requieren la instalación de actualizaciones de Microsoft adicionales para poder ejecutar el agente de ePolicy Orchestrator. Consulte la Guía de instalación de ePolicy Orchestrator para obtener información sobre la búsqueda e instalación de las mencionadas actualizaciones. Debe instalar estas actualizaciones para poder ejecutar el agente en esos sistemas, incluso si no utiliza ePolicy Orchestrator para desplegarlo.

# Para los equipos con Windows 95 y Windows 98, active la opción para compartir archivos e impresoras. Active Compartir archivos e impresora en cada uno de los clientes en los que va a insertar (instalar) el agente. Tenga en cuenta que este requisito es necesario solamente para insertar el agente desde el servidor de ePolicy Orchestrator, no para gestionar las directivas. Cuando haya desplegado el agente en un equipo con Windows 95 o Windows 98, puede desactivar la opción para compartir archivos e impresoras.

En el Directorio de la consola de ePolicy Orchestrator, puede instalar simultáneamente el agente en todos los equipos de un sitio. Para ello, envíe un comando de instalación de agente a nivel de sitio. Gracias al concepto de herencia, puede especificar una instalación de agente a nivel de sitio principal (o grupo), y todos los secundarios, ya sean grupos o equipos, heredan el comando.

En nuestro ejemplo, el Directorio contiene dos sitios e iniciará instalaciones del agente por separado en cada uno de ellos. Estos dos comandos de instalación del agente instalan el agente en todos los equipos de esos sitios.

Para desplegar agentes en un sitio:

1 Configure las directivas del agente antes de realizar el despliegue.

2 Inicie la instalación del agente en los equipos de su sitio.

Como alternativa, si no va a utilizar ePolicy Orchestrator para insertar el agente, puede instalarlo de forma manual desde el equipo cliente. Consulte Instalar manualmente el agente en los equipos cliente en la página 22.

19


1 Configure las directivas del agente antes de realizar el desplieguePuede desplegar los agentes con la configuración de directivas predeterminada. Sin embargo, para esta prueba, modificará la directiva para que el icono de la bandeja del agente aparezca en la bandeja del sistema de Windows del equipo cliente. Al tiempo que le permitirá practicar con la configuración de directivas de agente, hará más fácil saber cuándo se ha instalado el agente en sus clientes. Cuando realice este cambio de directiva a nivel de sitio, se aplicará a todos los equipos de prueba que funcionen como secundarios en ese sitio. Esto le permite cambiar la configuración de directivas una vez y luego desplegarla en todos los equipos de un sitio.

Para cambiar la directiva del agente de manera que el icono del agente aparezca en la bandeja del sistema tras la instalación:

1 Seleccione su sitio (Domain1 en este ejemplo) pulsando una vez en el árbol del Directorio.

2 En el panel de detalles de la derecha, pulse en la ficha Directivas y seleccione Agente de ePolicy Orchestrator | Configuración.

3 En la página Agente de ePolicy Orchestrator, desactive Heredar para activar las opciones de configuración.

4 En la ficha General, seleccione Mostrar icono de la bandeja del Agente y pulse en Aplicar todos para guardar el cambio.

5 Repita estos pasos para realizar el mismo cambio de directiva del agente en otros sitios (Container1 en este ejemplo).

Sus directivas ya están definidas y sus agentes desplegados. El siguiente paso es comenzar la instalación de un agente.

Figura 1-4 Ficha General

20


2 Inicie la instalación del agente en los equipos de su sitioUtilice la función Instalar agente para que ePolicy Orchestrator inserte los agentes en sus equipos cliente. Inserte agentes en todos los equipos de prueba de un sitio con una sola operación. Para ello, inicie la instalación del agente a nivel de sitio en el Directorio.

Para iniciar la instalación de un agente en todos los equipos de un sitio:

1 Pulse con el botón derecho del ratón en el sitio de su Directorio y seleccione Instalar agente.

2 Pulse en Aceptar en el cuadro de diálogo Instalar agente para aceptar todos los valores predeterminados y comenzar la instalación del agente.

3 Repita estos pasos para otros sitios de su Directorio.

Las instalaciones del agente comienzan de forma inmediata.

Acerca del despliegue de agentes en equipos con Windows 95, Windows 98 o Windows MECuando inserte agentes en equipos que tengan instalado Windows 95, Windows 98 o Windows ME tal vez no pueda saber que el agente ha sido desplegado correctamente hasta que cierre la sesión del equipo cliente. Esto puede incluir que el icono del agente no aparezca en la bandeja del sistema o que el equipo no aparezca como gestionado en el Directorio de la consola de ePolicy Orchestrator. Si, tras cerrar la sesión y volver a iniciarla en los clientes con Windows 95, Windows 98 o Windows ME, el agente sigue sin aparecer, insértelo de nuevo. Si aún así no funciona, puede instalar el agente de forma manual desde el cliente (consulte Instalar manualmente el agente en los equipos cliente en la página 22).

Acerca del despliegue en equipos fuera del dominio NT localSi el resto de sitios contienen equipos que residen en un dominio NT distinto del servidor de ePolicy Orchestrator, tal vez tenga que especificar otras credenciales de gestor de dominio para el dominio de destino.

Antes de iniciar la inserción del agente, desactive Usar credenciales del servidor ePO en el cuadro de diálogo Instalar agente y especifique un nombre de usuario y una contraseña adecuados con derechos de gestor de dominio sobre el dominio de destino.

¿Qué puedo hacer mientras espero a que se instalen los agentes?La instalación de todos los agentes en todos los equipos de sus sitios y la actualización del árbol del Directorio con los nuevos estados puede llevar hasta diez minutos. Mientras tanto, puede comprobar los eventos del servidor de ePolicy Orchestrator, que le avisan de instalaciones de agentes fallidas. Para ver los eventos del servidor:

1 En el árbol de la consola de ePolicy Orchestrator, pulse con el botón derecho del ratón en el servidor y seleccione Eventos del servidor.

2 Consulte los eventos en el Visor de eventos del servidor. Las instalaciones de los agentes que se realizaron correctamente no se muestran ahí, pero las que no funcionaron sí.

Nota

Si instaló el servidor de ePolicy Orchestrator para utilizar la cuenta del sistema local, tiene que desactivar Usar credenciales del servidor ePO y especificar una cuenta de usuario y una contraseña con derechos de gestor de dominio.

21


Una vez finalizado el despliegue del agente, y cuando los agentes han intentado conectarse al servidor por primera vez, junto a los equipos del Directorio aparece una marca de verificación verde.

Si se han instalado los agentes y el Directorio no refleja esta situación, actualice de forma manual el Directorio. Para ello pulse con el botón derecho del ratón en el Directorio y seleccione Actualizar. Tenga en cuenta que el Directorio no muestra los equipos como gestionados hasta que se comunican con el servidor, normalmente en unos diez minutos. Esto es así aunque se haya instalado el agente y esté en ejecución en los clientes.

También puede ver la instalación desde cualquiera de sus equipos cliente. La directiva predeterminada suprime la interfaz de instalación (que no cambiamos cuando definimos las directivas en este ejemplo). Por tanto, no puede ver la interfaz de instalación. Sin embargo, puede abrir el Administrador de tareas en el equipo cliente y observar brevemente el pico del uso de la CPU cuando comience la instalación. Cuando el agente esté instalado y en funcionamiento, aparecen dos nuevos servicios en la ventana Procesos: UPDATERUI.EXE y FRAMEWORKSERVICE.EXE. Asimismo, debido a la modificación de las directivas de agente antes del despliegue, el icono del agente aparece en la bandeja del sistema tras la instalación y posterior comunicación al servidor por primera vez.

Instalar manualmente el agente en los equipos clienteEn lugar de utilizar ePolicy Orchestrator para insertar el agente, puede optar por instalarlo de forma manual desde el cliente. Es posible que algunas organizaciones prefieran instalar el software en los clientes de forma manual y utilizar ePolicy Orchestrator sólo para gestionar directivas. También puede ser que tenga muchos clientes Windows 95 o Windows 98 y no desee activar la opción para compartir archivos e impresoras en ellos. En estos casos, puede instalar el agente desde el cliente.

Utilice el archivo FRAMEPKG.EXE situado en su servidor de ePolicy Orchestrator para instalar el agente. El archivo FRAMEPKG.EXE se crea automáticamente al instalar el servidor de ePolicy Orchestrator. Contiene información de direcciones de su servidor de ePolicy Orchestrator para permitir que el nuevo agente se comunique con el servidor de forma inmediata.

De forma predeterminada, FRAMEPKG.EXE se encuentra en la siguiente carpeta del servidor de ePolicy Orchestrator:

C:\Archivos de programa\Network Associates\ePO\3.5.0\DB\Software\Current\ EPOAGENT3000\Install\0409

Para instalar el agente manualmente:

1 Copie el archivo FRAMEPKG.EXE en la carpeta del cliente local o de red accesible desde el cliente.

2 Pulse dos veces en FRAMEPKG.EXE para ejecutarlo. Espere unos instantes mientras se instala el agente.

22


En un intervalo aleatorio de diez minutos como máximo, el agente volverá a contactar con el servidor de ePolicy Orchestrator por primera vez. En este punto, el equipo se agrega al Directorio como equipo gestionado. Si ha especificado el filtrado por direcciones IP para sus sitios y grupos del Directorio, el cliente se agregará al sitio o grupo adecuado según su dirección IP. En caso contrario, el equipo se agrega a la carpeta Lost&Found. Una vez que el equipo se ha agregado al Directorio, puede gestionar sus directivas a través de la consola de ePolicy Orchestrator.

Puede omitir el intervalo de llamada de devolución de diez minutos y forzar al nuevo agente a llamar inmediatamente al servidor. Esto puede hacerlo desde cualquier equipo en el que se acabe de instalar un agente.

Para forzar manualmente la llamada de devolución del agente inicial:

1 Desde el equipo cliente en el que acaba de instalar el agente, abra una ventana de comandos DOS seleccionando Inicio | Ejecutar, escriba command y pulse Intro.

2 En la ventana de comandos, abra la carpeta de instalación del agente que contiene el archivo CMDAGENT.EXE.

3 Escriba el siguiente comando (no olvide los espacios entre las opciones de línea de comandos):

CMDAGENT /p /e /c

4 Pulse Intro. El agente intenta conectarse al servidor de ePolicy Orchestrator inmediatamente.

5 Desde la consola de ePolicy Orchestrator en el servidor, actualice el Directorio pulsando F5. El nuevo equipo cliente en el que acaba de instalar el agente debe aparecer en el Directorio.

P A S O

4 Definir repositorios principales y distribuidosYa ha instalado los agentes en los clientes pero, ¿qué pueden hacer? El agente le permite gestionar las directivas del software de seguridad del cliente de forma centralizada a través de ePolicy Orchestrator. No obstante, hasta que tenga instalado el software antivirus en los equipos cliente, los agentes no podrán hacer absolutamente nada. El siguiente paso es utilizar ePolicy Orchestrator para desplegar el software antivirus VirusScan Enterprise 8.0i en sus equipos cliente.

El software que va a desplegarse con ePolicy Orchestrator se almacena en los repositorios de software. Hay muchas formas de definir los repositorios. En esta guía se ilustra un ejemplo típico que puede utilizar en su entorno de prueba.

Consulte las siguientes secciones para obtener más información sobre este procedimiento. Los pasos que se explican aquí son:

1 Agregar VirusScan Enterprise al repositorio principal.

2 Extraer actualizaciones del repositorio de origen de McAfee.

3 Crear un repositorio distribuido.

23


Acerca del uso de los repositorios principal y distribuido en su red de pruebaePolicy Orchestrator utiliza repositorios para almacenar el software que despliega. En esta guía se describe el uso de los repositorios principal y distribuido para desplegar software y actualizaciones. Los repositorios almacenan el software, como el agente o los archivos de instalación de VirusScan, y las actualizaciones, como nuevos archivos DAT que piensa desplegar en los clientes. El repositorio principal está situado en el servidor de ePolicy Orchestrator, y es el almacén principal para el software y las actualizaciones. Los repositorios distribuidos son copias del principal que pueden residir en otras partes de la red, como en otros dominios NT de red u otros contenedores de Active Directory. Los equipos situados en esas otras partes de la red pueden actualizarse más rápidamente desde servidores locales que a través de una red WAN hasta su servidor de ePolicy Orchestrator.

Los dominios y contenedores de Active Directory pueden estar separados geográficamente y conectados a través de una WAN. En este caso, cree un repositorio distribuido, que no es sino una copia del repositorio principal, en un equipo de una ubicación remota. Los equipos de esa ubicación, Container1 en nuestro ejemplo, pueden actualizarse desde el repositorio distribuido en lugar de tener que copiar las actualizaciones a través de la WAN.

Los equipos incluidos en el sitio Domain1 reciben actualizaciones y despliegues de productos directamente desde el repositorio principal, ubicado en el servidor de ePolicy Orchestrator (ePOServer). Sin embargo, los equipos situados en el sitio Container1 las obtienen de un repositorio distribuido situado en un servidor.

El archivo NAP de VirusScan Enterprise 8.0iLas páginas de directivas, o archivos NAP, se utilizan para configurar software desde la consola de ePolicy Orchestrator. ePolicy Orchestrator 3.5 se instala con varios archivos NAP, incluido el archivo NAP de VirusScan Enterprise 8.0.

1 Agregar VirusScan Enterprise al repositorio principalLas páginas de directivas de VirusScan Enterprise 8.0i, o archivo NAP, permiten gestionar directivas de VirusScan Enterprise 8.0i una vez que el software está instalado en los equipos cliente de la red. Sin embargo, para poder utilizar primero ePolicy Orchestrator para insertar, o desplegar, VirusScan Enterprise 8.0i en esos equipos cliente, también tiene que incorporar el paquete de despliegue, o instalación, de VirusScan Enterprise al repositorio de software principal. El archivo del paquete de despliegue se llama PkgCatalog.z y está incluido en el archivo VSE80iEVAL.ZIP que descargó de McAfee (consulte Obtener archivos de instalación de McAfee en la página 7).

Para incorporar el paquete de VirusScan Enterprise al repositorio principal:

1 En el árbol de la consola de ePolicy Orchestrator, seleccione Repositorio.

2 Seleccione Incorporar paquete en el panel de detalles derecho del Repositorio.

3 Cuando se abra el Asistente Incorporar paquete, pulse en Siguiente.

24


4 En la segunda página del asistente, seleccione Productos o actualizaciones y pulse en Siguiente.

5 Examine la carpeta temporal que contiene sus archivos de instalación de VirusScan Enterprise 8.0i.

6 Localice y seleccione el archivo de paquete PkgCatalog.z en la carpeta temporal de VirusScan Enterprise.

7 Pulse en Siguiente para continuar.

8 En la última página del asistente, pulse en Finalizar para comenzar la incorporación del paquete.

Espere unos segundos mientras ePolicy Orchestrator carga el paquete en el repositorio.

Incorpore el paquete de VirusScan 4.5.1 si tiene clientes Windows 95, Windows 98 o Windows MEVirusScan Enterprise 8.0i no funciona en Windows 95, Windows 98 o Windows ME. Si tiene clientes en su entorno de prueba con esas versiones de Windows, como en los ejemplos de esta guía, debe desplegar VirusScan 4.5.1 en estos sistemas. Para ello, repita el mismo procedimiento descrito para incorporar el paquete de despliegue de VirusScan 4.5.1 en el repositorio de software. El paquete 4.5.1 se denomina también PkgCatalog.z y se encuentra en la carpeta temporal en la que ha extraído los archivos de instalación de VirusScan 4.5.1.

Figura 1-5 Asistente Incorporar paquete

25


2 Extraer actualizaciones del repositorio de origen de McAfeeUtilice el sitio HTTP o FTP de McAfee como su repositorio de origen, desde el que puede actualizar el repositorio principal con los últimos DAT, motor u otras actualizaciones. Inicie una extracción desde el repositorio de origen al repositorio principal para:

# Probar que su servidor de ePolicy Orchestrator puede conectarse por Internet al repositorio de origen.

# Actualizar el repositorio principal con los últimos DAT.

Los archivos DAT se actualizan con frecuencia y los archivos DAT incluidos en los archivos de instalación de VirusScan Enterprise no son los últimos. Extraiga los últimos archivos DAT del repositorio de origen antes de desplegar VirusScan Enterprise en la red.

Establezca la configuración de proxy en Internet Explorer o en ePolicy OrchestratorSu servidor de ePolicy Orchestrator debe ser capaz de acceder a Internet para extraer actualizaciones del repositorio de origen de McAfee. Los demás equipos de la red no necesitan acceso a Internet; éstos extraen las actualizaciones del repositorio principal o de un repositorio distribuido de la red (que configuraremos en el siguiente paso).

ePolicy Orchestrator utiliza de forma predeterminada la configuración proxy de Internet Explorer. Si aún no lo ha hecho, configure la conexión de red local para Internet Explorer. No olvide seleccionar las opciones Usar el mismo servidor proxy para todos los protocolos (FTP y HTTP) y No usar servidor proxy para direcciones locales.

También puede especificar de forma manual la información del servidor proxy mediante la opción Configurar proxy. Consulte la Guía del producto de ePolicy Orchestrator 3.5 para obtener información sobre cómo hacerlo.

Inicie una extracción manual del repositorio de origen de McAfeePara extraer actualizaciones de forma manual desde el repositorio de origen al repositorio principal:

1 En el árbol de la consola, pulse en Repositorio.

2 Seleccione Extraer ahora en el panel de detalles derecho Repositorio.

3 Cuando se abra el asistente Extraer ahora, pulse en Siguiente en la primera página del asistente.

26


4 En la página siguiente, seleccione NAIHttp y pulse en Siguiente. También puede seleccionar el valor NAIFtp predeterminado, pero HTTP es más fiable.

5 Si gestiona productos más antiguos, como VirusScan 4.5.1 para Windows 95 o 98, no olvide seleccionar Admitir actualización de productos antiguos.

6 Pulse en Finalizar en la última página para aceptar todos los valores predeterminados de esta página e iniciar la extracción.

Espere algunos minutos mientras se ejecuta la tarea de extracción.

7 Pulse en Cerrar cuando haya concluido la extracción.

Ahora ha incorporado VirusScan Enterprise al repositorio principal y ha actualizado dicho repositorio con los últimos DAT y archivos de motor desde el repositorio de origen de McAfee. Los equipos situados en el mismo dominio que su servidor de ePolicy Orchestrator, los equipos de su sitio Domain1 en el Directorio de este ejemplo, obtienen VirusScan Enterprise del repositorio principal.

¿Pero de dónde obtienen los demás equipos el software y las actualizaciones? Si estos equipos se encuentran en otras subredes o en una ubicación conectada a través de una red WAN, es posible que sea más eficaz crear un repositorio distribuido o una copia del repositorio principal, a la que sea más fácil acceder desde estos equipos.

Figura 1-6 Asistente Extraer ahora

27


3 Crear un repositorio distribuidoAhora debemos crear un repositorio distribuido en Container1, para que esos equipos puedan obtener de él las actualizaciones. Su red de prueba, con sólo algunos clientes y un servidor de ePolicy Orchestrator, es pequeña por lo que no necesita una estructura de repositorios distribuidos complicada. Sin embargo, puede utilizar los ejemplos de repositorios distribuidos de esta guía para simular un caso probable en el mundo real. Este caso podría incluir equipos en dominios remotos que no pueden actualizarse de forma eficaz desde un repositorio principal en el servidor de ePolicy Orchestrator, conectado a través de una red WAN.

Puede utilizar FTP, HTTP o UNC para replicar datos desde el repositorio principal en los repositorios distribuidos. En esta guía se describe cómo crear un repositorio distribuido en un recurso compartido UNC en uno de los equipos del sitio Container1.

Para ello:

1 Cree una carpeta compartida en un equipo para un repositorio.

2 Agregue el repositorio distribuido al servidor de ePolicy Orchestrator.

3 Replique datos del repositorio principal en el repositorio distribuido.

4 Configure sitios remotos para utilizar el repositorio distribuido.

1 Cree una carpeta compartida en un equipo para un repositorioAntes de agregar el repositorio distribuido UNC a ePolicy Orchestrator, debe crear la carpeta que va a utilizar. Además, debe definir la carpeta para que pueda compartirse a través de la red, de manera que el servidor de ePolicy Orchestrator pueda copiar archivos en ella.

Para crear una carpeta compartida para un repositorio distribuido UNC:

1 En el equipo en el que piensa albergar el repositorio distribuido, cree una carpeta mediante el Explorador de Windows.

2 Pulse con el botón derecho del ratón en la carpeta y seleccione Compartir.

3 En la ficha Compartir, seleccione Compartir esta carpeta.

4 Pulse en Aceptar para aceptar los demás valores predeterminados y poder compartir esta carpeta.

Atención

La creación de un recurso compartido UNC podría producir un problema de seguridad en un entorno de producción, ya que permite a cualquier persona de la red acceder al recurso compartido. Si va a crear una carpeta compartida UNC en un entorno de producción, o si no sabe con certeza si su entorno de prueba de red es seguro, tome las precauciones de seguridad necesarias para controlar el acceso a la carpeta compartida. Los equipos cliente sólo necesitan acceso de lectura para recuperar actualizaciones del repositorio UNC, pero las cuentas de administradores, incluida la que utiliza ePolicy Orchestrator para replicar datos, requieren acceso de escritura. Consulte la documentación de Microsoft Windows sobre cómo configurar la opciones de seguridad apropiadas para carpetas compartidas.

28


2 Agregue el repositorio distribuido al servidor de ePolicy Orchestrator

Una vez haya creado la carpeta para utilizarla como recurso compartido UNC, agregue un repositorio distribuido a la lista de repositorios de ePolicy Orchestrator y configúrelo para utilizar la carpeta.

Para agregar el repositorio distribuido:

1 En el árbol de la consola, pulse en Repositorio.

2 Seleccione Agregar repositorio distribuido en el panel de detalles Repositorio.

3 Pulse en Siguiente en la primera página del asistente.

4 Escriba un nombre en el campo Nombre. Tenga en cuenta que ésta es la manera en la que el nombre del repositorio distribuido aparece en la lista de repositorios de la consola de ePolicy Orchestrator. No tiene que ser el nombre de la carpeta compartida que alberga realmente el repositorio.

5 Seleccione Repositorio distribuido en la lista desplegable Tipo.

6 Seleccione UNC como configuración de repositorio y pulse en Siguiente.

Figura 1-7 Explorador de Microsoft

Figura 1-8 Asistente Agregar repositorio

29


7 Escriba la ruta de la carpeta compartida que ha creado. Debe utilizar una ruta UNC válida. El ejemplo en esta guía sería: \\BU06\ePOShare donde BU06 es el nombre de un equipo en Container1 y ePOShare es el nombre de la carpeta compartida UNC.


9 En la página de credenciales de descarga, anule la selección de Utilizar cuenta de inicio de sesión.

10 Escriba las credenciales de dominio, nombre de usuario y contraseña adecuadas para descargar actualizaciones de este repositorio distribuido.

11 Pulse en Verificar para comprobar las credenciales de descarga. Tras unos segundos, debe aparecer un cuadro de diálogo de confirmación que confirma que los clientes pueden acceder al recurso compartido.

Si no se ha verificado su sitio, compruebe que ha escrito la ruta UNC correctamente en la página anterior del asistente y que ha configurado el uso compartido de la carpeta de forma adecuada.


13 Especifique la información de credenciales de réplica indicando un dominio, nombre de usuario y contraseña en los cuadros de texto correspondientes.

El servidor de ePolicy Orchestrator utiliza esas credenciales cuando copia o replica archivos DAT o de motor, u otras actualizaciones de productos del repositorio principal en el repositorio distribuido. Estas credenciales deben disponer de derechos de administrador en el dominio en el que está ubicado el repositorio distribuido. En nuestros ejemplos, pueden ser las mismas credenciales empleadas para desplegar el agente. Consulte Inicie la instalación del agente en los equipos de su sitio en la página 21.

14 Pulse en Verificar para comprobar que el servidor de ePolicy Orchestrator puede escribir en la carpeta compartida del equipo remoto. Tras unos segundos, debe aparecer un cuadro de diálogo de confirmación que confirma que el servidor puede hacerlo.

15 Pulse en Finalizar para agregar el repositorio. Espere unos momentos mientras ePolicy Orchestrator agrega el nuevo repositorio distribuido a su base de datos.

16 Pulse en Cerrar.

Figura 1-9 Cuadro de diálogo de verificación

30


3 Replique datos del repositorio principal en el repositorio distribuido

Ya ha creado un recurso UNC compartido en un equipo para el repositorio distribuido y ha agregado la ubicación del repositorio a su base de datos de ePolicy Orchestrator. Ahora sólo falta incluir los datos en el nuevo repositorio. Si busca en la carpeta compartida que acaba de crear, observará que sigue vacía.

Utilice la función Replicar ahora para actualizar manualmente sus repositorios distribuidos con el contenido más reciente de su repositorio principal. Más adelante, planificaremos una tarea de réplica para que esto se produzca de forma automática.

Para iniciar la réplica de forma manual:

1 Desde la consola, pulse en Repositorio.

2 En la página Repositorio, pulse en Replicar ahora para abrir el asistente Replicar ahora.

3 Pulse en Siguiente en la primera página del asistente.

4 En la lista de repositorios distribuidos disponibles, seleccione el que acaba de crear y pulse en Siguiente.

5 Seleccione Réplica incremental.

Se trata de un nuevo repositorio distribuido y ésta es la primera vez que replica datos en él, por lo que puede seleccionar Réplica completa. Sin embargo, en réplicas futuras, se recomienda utilizar la réplica incremental para ahorrar tiempo y ancho de banda.

6 Pulse en Finalizar para comenzar la réplica. Espere unos minutos a que finalice la réplica.

7 Pulse en Cerrar para cerrar la ventana del asistente.

Si examina ahora su carpeta ePOShare, verá que contiene subcarpetas de agentes y software.

4 Configure sitios remotos para utilizar el repositorio distribuidoYa que ha creado un repositorio distribuido, ¿por qué no asegurarse de que se va a utilizar? Como se indicó anteriormente, la red de prueba es pequeña y por lo tanto no se necesitan repositorios distribuidos. Sin embargo, para simular su funcionamiento, podemos configurar la actualización de forma que los equipos de un sitio de su Directorio sólo puedan actualizar desde el repositorio distribuido, en lugar de utilizar el principal.

Para simular esto en su prueba, vamos a configurar las directivas de agente para uno de los sitios de su Directorio para que utilicen únicamente el nuevo repositorio distribuido. En nuestra red de ejemplo utilizada en esta guía, será el sitio Container1, que es donde reside el equipo Win2KServer que alberga el nuevo repositorio distribuido.

Para configurar la directiva de agente de ePolicy Orchestrator para el sitio Container1 con objeto de utilizar el repositorio distribuido para la actualización:

1 En el Directorio en el árbol de la consola, seleccione el sitio que debe utilizar el repositorio distribuido.

2 En el panel de directivas superior derecho, seleccione la ficha Directivas.

3 Amplíe el Agente de ePolicy Orchestrator y seleccione Configuración.

31


4 Pulse en la ficha Repositorios de la página de directivas del agente de ePolicy Orchestrator.

5 Anule la selección de Heredar para activar las opciones del repositorio.

6 En Selección de repositorio, seleccione Lista definida de usuarios.

7 En la Lista de repositorios, anule la selección de todos los repositorios hasta que sólo quede su repositorio distribuido seleccionado.

8 Pulse en Aplicar todos en la parte superior de la página para guardar todos los cambios.

Ahora, cuando los equipos de este sitio necesiten actualizaciones, las recuperarán del repositorio distribuido.

De nuevo, forzar las actualizaciones desde determinados repositorios sólo se incluye con fines de simulación del funcionamiento de los repositorios distribuidos en una red de prueba. No es algo que se haría en un entorno de producción, en el que debe contar con repositorios redundantes para protección en caso de fallo. Debido a la mayor velocidad de las conexiones de red locales, posiblemente los equipos cliente actualizarán desde un repositorio distribuido local, en lugar de conectar con el repositorio principal a través de una red WAN, aunque no se hayan configurado especialmente para esto. Por otro lado, si el repositorio distribuido no estuviera disponible por algún motivo, el cliente podría actualizar desde otros repositorios de la red, si fuera necesario.

P A S O

5 Definir directivas de VirusScan Enterprise 8.0i antes del despliegueAhora que ha creado los repositorios y agregado el paquete de despliegue de VirusScan Enterprise, casi está listo para desplegar VirusScan Enterprise en sus clientes. Antes de desplegar VirusScan Enterprise, sin embargo, vamos realizar algunas modificaciones en las directivas. ¿Recuerda el archivo NAP que incorporó? Podemos utilizarlo para configurar cómo funciona VirusScan Enterprise una vez que está instalado en el equipo cliente. Para ello se utilizará un sencillo ejemplo: modificar las directivas de las estaciones de trabajo para instalar VirusScan Enterprise 8.0i con una interfaz mínima de usuario. Los servidores conservarán la directiva predeterminada, que es mostrar toda la interfaz.

Esta implementación podría resultar útil en su red real, para ocultar la bandeja del sistema en las estaciones de trabajo con el fin de impedir que los usuarios finales puedan cambiar las directivas o desactivar funciones.

Para definir estas directivas, utilizaremos los grupos Estaciones de trabajo creados al crear el Directorio. Puede cambiar la directiva una vez para cada grupo de estaciones de trabajo (en Domain1 y Container1) para que la hereden todos los equipos de esos grupos. En los servidores, podemos dejar la directiva predeterminada que instala VirusScan Enterprise con todas las opciones de menú disponibles en la bandeja del sistema.

32


Para cambiar las directivas de VirusScan Enterprise para las estaciones de trabajo:

1 En el árbol de la consola, pulse en el grupo Estaciones de trabajo en un sitio.

2 En el panel de detalles, pulse en la ficha Directivas y, a continuación, seleccione VirusScan Enterprise 8.0i.

3 Seleccione Directivas de la interfaz de usuario.

4 Seleccione Estación de trabajo en la lista desplegable Parámetros para en la parte superior de la página.

5 Desactive Heredar para activar las opciones de directivas de interfaz de usuario.

6 Seleccione Mostrar el icono de la bandeja del sistema con las opciones de menú mínimas.

7 Pulse en Aplicar para guardar los cambios.

8 Repita estos pasos para los demás grupos de Estaciones de trabajo del Directorio.

Figura 1-10 Directivas de la interfaz de usuario

Nota

La lista desplegable Parámetros para permite definir diferentes directivas para los servidores y las estaciones de trabajo sin tener que utilizar grupos del Directorio. ePolicy Orchestrator detecta el sistema operativo del equipo cliente y aplica la directiva adecuada. Sin embargo, para la prueba, puede resultar útil crear grupos de servidores y estaciones de trabajo.

33


P A S O

6 Desplegar VirusScan Enterprise en los clientesYa ha creado el repositorio principal y los repositorios distribuidos, y ha agregado el archivo de VirusScan Enterprise 8.0i PKGCATALOG.Z al repositorio principal y lo ha replicado en un nuevo repositorio distribuido. Ha agregado los equipos al Directorio y todos tienen agentes de ePolicy Orchestrator instalados. Ha definido directivas de VirusScan Enterprise para servidores y estaciones de trabajo. Ya está listo para que ePolicy Orchestrator despliegue VirusScan Enterprise en todos los clientes de su red de prueba.

A diferencia de lo que ocurre con los agentes, que deben desplegarse a nivel de sitio, grupo o equipo, VirusScan Enterprise puede desplegarse desde el Directorio para instalarlo en todos los equipos del Directorio de forma simultánea. Tenga en cuenta que las directivas que haya definido para sitios o grupos concretos del Directorio, como los grupos Servidores y Estaciones de trabajo en este ejemplo, se seguirán aplicando cuando VirusScan Enterprise esté instalado en los clientes de esos grupos. También puede desplegar VirusScan Enterprise en sitios, grupos o equipos individuales; puede utilizar los pasos descritos en esta sección para desplegar a cualquier nivel del Directorio.

Para desplegar VirusScan Enterprise 8.0i en todos los equipos de su Directorio:

1 En el árbol de la consola, seleccione Directorio.

2 En el panel de detalles, seleccione la ficha Tareas y pulse dos veces en la tarea Deployment en la lista de tareas.

3 Tras la apertura del Planificador de ePolicy Orchestrator, pulse en la ficha Tareas y anule la selección de Heredar bajo Configuración de la planificación.

4 En el área Configuración de la planificación, seleccione Habilitar (la tarea planificada se ejecuta a la hora especificada).

5 Pulse en el botón Configuración.

6 En la ficha Despliegue, anule la selección de Heredar para que se activen las opciones de despliegue de productos.

7 Para la tarea de despliegue de VirusScan Enterprise 8.0i, elija Instalar en Acción.

8 Pulse en Aceptar para guardar las opciones de despliegue de producto y volver al cuadro de diálogo Planificador de ePolicy Orchestrator.

Figura 1-11 Cuadro de diálogo Planificador de ePolicy Orchestrator

34


9 En el cuadro de diálogo Planificador de ePolicy Orchestrator, pulse en la ficha Planificación.

10 Anule la selección de Heredar para activar las opciones de planificación.

11 En la lista desplegable Tipo de planificación, seleccione Ejecutar inmediatamente.

12 Pulse en Aceptar para guardar los cambios.

En la lista de tareas de la ficha Tareas del panel de detalles, la columna Habilitado de la tarea de despliegue debe estar definida como Verdadero.

Ya ha configurado la tarea de despliegue predeterminada para instalar VirusScan Enterprise en todos los equipos cliente del sitio de prueba. El despliegue se producirá la próxima vez que los agentes soliciten nuevas instrucciones al servidor de ePolicy Orchestrator. También es posible iniciar una llamada de activación de agente para que el despliegue se realice inmediatamente. Consulte Enviar una llamada de activación del agente para forzar a los agentes a devolver la llamada inmediatamente en la página 35.

Desplegar VirusScan 4.5.1 en equipos Windows 95, Windows 98 o Windows MESi tiene algún equipo con Windows 95, 98 o ME en su red de prueba, como ocurre en este ejemplo, puede repetir los pasos de esta sección para desplegar VirusScan 4.5.1 solamente en dichos equipos. Compruebe que ha incorporado el paquete de despliegue de VirusScan 4.5.1 al repositorio (consulte Incorpore el paquete de VirusScan 4.5.1 si tiene clientes Windows 95, Windows 98 o Windows ME en la página 25). El despliegue de VirusScan 4.5.1 en varios equipos resulta más sencillo si ha organizado los equipos con Windows 95, Windows 98 o Windows ME en un grupo en el Directorio, pero también puede ejecutar la tarea de despliegue para equipos individuales.

Para desplegar VirusScan 4.5.1:

1 En el árbol de la consola, seleccione su grupo o equipo en el Directorio.

2 En el panel de detalles, pulse en la ficha Tareas. Siga los pasos de la sección anterior para configurar el despliegue como lo haría para VirusScan Enterprise 8.0i.

3 Cuando llegue a la página de configuración de despliegue, elija Instalar para VirusScan 4.5.1.

También puede elegir Ignorar para VirusScan Enterprise 8.0i, pero no es necesario. VirusScan Enterprise puede detectar que estos equipos están utilizando una versión anterior de Windows y no se instalará.

4 Realice los pasos para configurar el despliegue. ePolicy Orchestrator despliega VirusScan 4.5.1 la próxima vez que los agentes de estos equipos se pongan en contacto con el servidor.

Enviar una llamada de activación del agente para forzar a los agentes a devolver la llamada inmediatamente Si lo desea, puede enviar a los agentes una llamada de activación inmediata. De esta forma, los agentes contactan inmediatamente con el servidor de ePolicy Orchestrator, en lugar de esperar a la próxima llamada de agente planificada, que de forma predeterminada podría tardar hasta 60 minutos. Cuando se conectan los agentes, ven que el despliegue de VirusScan Enterprise está definido para instalarse, en lugar de para omitirse. Los agentes extraen entonces el archivo PkgCatalog.z de VirusScan

35


Enterprise del repositorio e instalan el software VirusScan Enterprise. Tenga en cuenta que cada agente extrae el archivo PkgCatalog.z desde el repositorio que se haya configurado para el caso. En nuestra red de prueba del ejemplo, los equipos del sitio Domain1 realizan la extracción del repositorio principal y los equipos de Container1 utilizan el repositorio distribuido que hemos creado.

Puede enviar una llamada de activación del agente manual a cualquier sitio, grupo o equipo del Directorio. Puesto que queremos activar todos los equipos del Directorio, iniciaremos una llamada de activación para cada sitio, que heredarán los grupos y equipos de ese sitio.

Para enviar una llamada de activación del agente para comenzar inmediatamente el despliegue de VirusScan Enterprise:

1 Pulse con el botón derecho en el árbol de la consola y seleccione Llamada de activación del agente.

2 Cambie el Intervalo de ejecución aleatoria del agente a 0.

3 Pulse en Aceptar para aceptar los demás valores predeterminados y enviar la llamada de activación.

4 Repita estos pasos para otros sitios de su Directorio.

Los agentes se conectan inmediatamente, recuperan los nuevos cambios de directivas de despliegue y comienzan la instalación de VirusScan Enterprise. Espere unos minutos mientras VirusScan Enterprise 8.0i se despliega y se instala.

Puede comprobar que se ha instalado correctamente en los clientes de varias maneras. En el equipo cliente, compruebe que:

# El proceso MCSHIELD.EXE está en ejecución y visible en la ficha Procesos del Administrador de tareas de Windows.

# Se ha agregado la carpeta VirusScan a la carpeta Archivos de programa/Network Associates.

Figura 1-12 Cuadro de diálogo Llamada de activación del agente

36


# El icono de VShield aparece en la bandeja del sistema junto al icono del agente, siempre que no cambiara la directiva para ocultarlo. Es posible que tenga que reiniciar para ver el icono de la bandeja del sistema. Tenga en cuenta que VirusScan está activo y en ejecución aunque el icono de VShield no haya aparecido en la bandeja de sistema.

P A S O

7 Ejecutar un informe para confirmar la coberturaOtra forma de confirmar que el despliegue de VirusScan Enterprise se ha realizado correctamente es utilizar uno de los informes que vienen con ePolicy Orchestrator. Ejecute un informe Resumen de protección del producto para confirmar que el despliegue de VirusScan Enterprise se ha realizado correctamente. Tenga en cuenta que tal vez tenga que esperar una hora para que la base de datos se actualice con el nuevo estado.

Para generar un informe Resumen de protección del producto:

1 En el árbol de la consola del panel izquierdo, seleccione Reporting | Bases de datos de ePO | ePO_ePOServer. ePOServer es el nombre de la base de datos de ePolicy Orchestrator utilizada en este ejemplo.

2 Si debe iniciar un sesión en la base de datos, escriba el nombre de usuario sa de MSDE y la contraseña que creó durante la instalación de la consola y la base datos.

3 Seleccione Informes | Antivirus | Cobertura | Resumen de protección del producto.

4 Seleccione No cuando el sistema le pregunte si desea definir un filtro de datos. Espere unos instantes mientras ePolicy Orchestrator genera el informe.

Cuando se haya generado el informe, los resultados deben mostrar el número de servidores y estaciones de trabajo en los que está instalado actualmente VirusScan 4.5.1 y VirusScan Enterprise 8.0i. Si posteriormente despliega otros productos, como McAfee Desktop Firewall, también aparecerán en este informe. En nuestro ejemplo, puede observar que VirusScan Enterprise 8.0i y VirusScan 4.5.1 se han instalado en todos los equipos de nuestra red de prueba.

P A S O

8 Actualizar archivos DAT mediante una tarea de actualización de clienteUna de las tareas más habituales que realizará con ePolicy Orchestrator es actualizar los archivos de definición de virus (DAT). VirusScan Enterprise realiza de forma predeterminada una tarea de actualización inmediatamente después de la instalación. Por lo tanto, si ha seguido los pasos de esta guía de evaluación para configurar sus repositorios y ha extraído los últimos archivos DAT a su repositorio principal antes de realizar el despliegue, VirusScan Enterprise estará actualizado poco después haber sido desplegado.

37


Sin embargo, una vez que VirusScan Enterprise esté instalado, debe actualizar los archivos DAT con frecuencia. Su software antivirus sólo será eficaz si está actualizado con los últimos archivos DAT, por lo que resulta esencial mantenerlos al día. En una sección posterior de esta guía de evaluación conocerá la manera de planificar una tarea automática de actualización del cliente para que se lleve a cabo de forma regular, por ejemplo, a diario o una vez a la semana. Por el momento, vamos a asumir que desea iniciar una actualización de archivos DAT inmediata. Probablemente se le pedirá hacer esto en algún momento; por ejemplo, si McAfee publica archivos DAT actualizados en respuesta a nuevos descubrimientos de virus y desea que sus clientes se actualicen sin esperar a las tareas de planificación que tengan programadas de forma regular.

Para ello, cree y ejecute una tarea de actualización de cliente desde su consola de ePolicy Orchestrator. Esta tarea obliga a todo su software antivirus de cliente a realizar una tarea de actualización.

Para crear y ejecutar una tarea de actualización de cliente:

1 En el árbol de la consola, pulse con el botón derecho del ratón en Directorio y seleccione Planificar tarea.

2 En el cuadro de diálogo Planificar tarea, escriba un nombre en el campo Nombre de la nueva tarea, como Actualizar DAT de clientes.

3 En la lista de software, seleccione Agente de ePolicy Orchestrator | Actualizar para el tipo de tarea.

4 Pulse en Aceptar.

5 Pulse F5 para actualizar la consola y que la tarea nueva aparezca en la lista de la ficha Tareas.

Observe que está planificada para que se ejecute todos los días, el día y a la hora actual. Asimismo observe que el valor de la etiqueta Habilitada es Falso; ahora necesitamos cambiar el valor a Verdadero y ejecutarla inmediatamente.

6 Pulse con el botón derecho del ratón en la nueva tarea de la lista y seleccione Editar tarea.

Nota

Antes de ejecutar una tarea de actualización de cliente, asegúrese de que ha extraído primero los archivos DAT o de motor actualizados, a sus repositorios principales y distribuidos, si los tiene. Consulte Definir repositorios principales y distribuidos en la página 23.

38


7 Anule la selección de Heredar en la sección Configuración de planificación del cuadro de diálogo Planificador de ePolicy Orchestrator.

8 Seleccione Habilitar.

9 Pulse en Configuración y desactive Heredar en la ficha Actualizar.

10 Asegúrese de que Esta tarea sólo actualiza los siguientes componentes está seleccionada. Estas selecciones le permiten especificar qué componentes desea actualizar. Además le permiten ahorrar recursos de red limitando las actualizaciones que se distribuyen en su entorno.

11 Deje los valores predeterminados en Firmas y motores.

12 En Parches y Service Packs, seleccione VirusScan Enterprise 8.0 y pulse en Aceptar.

13 Pulse en la ficha Planificar y, a continuación, anule la selección de Heredar.

14 Defina la opción Planificar tarea como Ejecutar inmediatamente y pulse en Aceptar.

15 Inicie llamadas de activación del agente para todos los sitios de su Directorio para que los agentes se conecten inmediatamente para recoger la tarea de actualización del agente. Consulte Enviar una llamada de activación del agente para forzar a los agentes a devolver la llamada inmediatamente en la página 35.

¿Cómo puedo saber si VirusScan Enterprise se ha actualizado realmente con los últimos archivos DAT?En primer lugar, compruebe la versión de DAT incorporada al repositorio principal. Estos son los DAT que deben estar en los equipos cliente, tras la actualización. Para ello:

1 En el árbol de la consola, seleccione Repositorio | Repositorios de software | Principal. En el panel de detalles aparece la lista de paquetes incorporados al repositorio principal.

2 Desplácese al final de la lista Paquetes y localice la Versión de DAT actual, que será un número de cuadro dígitos, como 4306.

Figura 1-13 Cuadro de diálogo Planificador de ePolicy Orchestrator

39


A continuación, compruebe las versiones de DAT que utiliza el software cliente, como VirusScan Enterprise, en la consola de ePolicy Orchestrator. Tenga en cuenta que la consola no mostrará el estado actualizado hasta la próxima vez que el agente se conecte con el servidor, en el proceso de comunicación agente-servidor habitual. Para ello:

1 En la consola de ePolicy Orchestrator, seleccione un equipo del Directorio que se haya actualizado hace poco tiempo.

2 En el panel de detalles, seleccione la ficha Propiedades.

3 En la página Propiedades, seleccione VirusScan Enterprise 8.0i | General para ampliar la lista de propiedades generales.

4 Compruebe el número de Versión de DAT. Debe coincidir con la última versión de DAT en el repositorio de software principal.

P A S O

9 Planificar la sincronización automática de repositoriosPodemos decir que ya ha llegado muy lejos. En sólo unas horas, ya dispone de una instalación totalmente funcional de ePolicy Orchestrator desplegada en su red de prueba. Tiene agentes desplegados en sus equipos cliente, y estos agentes están activos y se conectan al servidor de forma regular para recuperar instrucciones actualizadas. Asimismo, ha utilizado ePolicy Orchestrator para desplegar VirusScan Enterprise en sus equipos cliente y ha creado un pequeño repositorio de software que puede utilizar para insertar actualizaciones y software adicional en sus equipos cliente.

El siguiente paso es planificar tareas regulares de extracción y replicación para sincronizar sus repositorios de origen, principal y distribuidos para que estén todos actualizados. A partir de ahí, cree una tarea planificada de actualización de clientes para asegurarse de que el software cliente, como VirusScan Enterprise, comprueba de forma regular si hay archivos de DAT y de motor actualizados.

Para ello:

1 Planifique una tarea de extracción para actualizar el repositorio principal a diario.

2 Planifique una tarea de réplica para actualizar su repositorio distribuido.

3 Planifique una tarea de actualización de cliente para actualizar los archivos DAT a diario.

40


1 Planifique una tarea de extracción para actualizar el repositorio principal a diario

Las tareas de extracción actualizan su repositorio de software principal con los últimos archivos DAT y del motor desde el repositorio de origen. De forma predeterminada, su repositorio de origen es el sitio Web de McAfee. Vamos a crear una tarea planificada para extraer las últimas actualizaciones del sitio Web de McAfee una vez al día.

Para planificar una tarea de extracción:

1 En el árbol de la consola, seleccione Repositorio.

2 En la página Repositorio, seleccione Planificar tareas de extracción para abrir la página Configurar tareas de servidor.

3 Pulse en Crear tarea para abrir la página Configurar nueva tarea.

4 Especifique un nombre en el campo Nombre, como Tarea diaria de extracción del repositorio.

5 Seleccione Extracción del repositorio en el menú desplegable Tipo de tarea.

6 Asegúrese de que el valor de Activar tarea es Sí.

7 Seleccione A diario en la lista desplegable Tipo de planificación.

8 Amplíe Opciones avanzadas de planificación y planifique el día y la hora de ejecución de la tarea.

9 Pulse en Siguiente en la parte superior de la página.

10 Seleccione NAIHttp en la lista desplegable Repositorio de origen.

11 Deje la rama de destino como Actual.

Figura 1-14 Página Configurar nueva tarea

41


12 Si tiene versiones anteriores de productos de McAfee, como VirusScan 4.5.1, en su red de prueba, seleccione Admitir actualización de productos antiguos.

13 Pulse en Finalizar. Espere un momento mientras se crea la tarea.

La nueva tarea de extracción se agrega a la página Configurar tareas de servidor.

2 Planifique una tarea de réplica para actualizar su repositorio distribuido

Gracias a su nueva tarea de extracción, el servidor de ePolicy Orchestrator está configurado para actualizar automáticamente el repositorio principal con las últimas actualizaciones del repositorio de origen del sitio Web de McAfee. La tarea se ejecuta una vez al día y mantiene actualizado su repositorio principal.

Pero un repositorio actualizado no será en absoluto útil para los equipos cliente de su red que obtengan sus actualizaciones de un repositorio distribuido, como los equipos del sitio Container1 de nuestra red de prueba del ejemplo. El siguiente paso es, por tanto, asegurarse de que las actualizaciones agregadas a su repositorio principal se replican en el repositorio distribuido. Para ello, cree una tarea de réplica automática y planifíquela para que se lleve a cabo todos los días una hora después de la tarea planificada de extracción ya creada.

Para planificar una tarea de réplica automática.

1 En el árbol de la consola, seleccione Repositorio.

2 En la página Repositorio, seleccione Planificar tareas de extracción para abrir la página Configurar tareas de servidor.

3 Pulse en Crear tarea para abrir la página Configurar nueva tarea. Se trata de la misma página que utilizó para planificar su tarea de extracción automática.

4 Especifique un nombre en el campo Nombre, como Tarea diaria de réplica de repositorio distribuido.

5 Seleccione Réplica de repositorios en el menú desplegable Tipo de tarea.

6 Asegúrese de que el valor de Activar tarea es Sí.

7 Seleccione A diario en la lista desplegable Tipo de planificación.

8 Amplíe Opciones avanzadas de planificación y planifique el día y la hora de ejecución de la tarea. Defina la planificación de la réplica para que se ejecute una hora después de que comience la tarea de extracción planificada. De esta forma, habrá tiempo para que finalice la tarea de extracción. Dependiendo de sus conexiones de red y de Internet, su tarea de extracción tardará más o menos tiempo, por lo tanto defina la hora de inicio de su tarea de réplica en consecuencia.

9 Pulse en Siguiente en la parte superior de la página.

10 Seleccione Réplica incremental y pulse en Finalizar. Espere un momento mientras se crea la tarea.

La nueva tarea de réplica aparece en la tabla Configurar tareas de servidor junto con su tarea de extracción planificada.

42


3 Planifique una tarea de actualización de cliente para actualizar los archivos DAT a diario

Cuando se hayan actualizado todos los repositorios, planifique una tarea de actualización de cliente para asegurarse de que VirusScan Enterprise obtiene las últimas actualizaciones de archivos DAT y de motor tan pronto como llegan a sus repositorios.

Puede utilizar la tarea de actualización de cliente que creó anteriormente tras desplegar VirusScan Enterprise (consulte Actualizar archivos DAT mediante una tarea de actualización de cliente en la página 37). Sólo tiene que cambiar la planificación de esta tarea de Ejecutar inmediatamente a A diario y definir la hora de inicio para que se ejecute una hora después de que comience la tarea de réplica.

P A S O

10 Probar la actualización global con SuperAgentsLa actualización global es una nueva función de ePolicy Orchestrator 3.5 que permite actualizar de forma automática los equipos cliente cada vez que se incorporan nuevas actualizaciones al repositorio principal. Cada vez que se modifica el repositorio principal, ePolicy Orchestrator replica automáticamente el contenido en todos los repositorios distribuidos que tenga. A continuación, alerta a todos los agentes desplegados en la red que tengan productos gestionados, como VirusScan Enterprise 8.0i, para que realicen una tarea de actualización.

La función de actualización global puede ser muy útil en situaciones de brotes de virus. Imaginemos que el equipo AVERT de McAfee ha publicado DAT actualizados en respuesta a nuevos virus descubiertos no controlados. Con la actualización global activada, sólo tiene que iniciar una tarea de extracción desde la consola de ePolicy Orchestrator para actualizar el repositorio principal con los nuevos archivos DAT. La función de actualización global de ePolicy Orchestrator se encarga del resto: actualizar en el plazo de una hora los archivos DAT en todos los equipos que tengan agentes activos y comunicándose en la red.

Utilizar SuperAgents para activar todos los agentes de la redePolicy Orchestrator utiliza los denominados SuperAgents para iniciar la actualización global. Los SuperAgents son agentes de ePolicy Orchestrator que también pueden activar otros agentes situados en la misma subred de la red. Cuando tenga un SuperAgent instalado en cada subred de la red, envíe una llamada de activación a sus SuperAgents y, a continuación, los SuperAgents enviarán llamadas de activación a los agentes de ePolicy Orchestrator de la misma subred. Los agentes normales pueden entonces conectar con el servidor de ePolicy Orchestrator para obtener instrucciones de directivas y actualizar el software cliente.

Nota

Los SuperAgents también pueden actuar como repositorios distribuidos. Estos repositorios de SuperAgent utilizan un protocolo de réplica propiedad de McAfee llamado SPIPE, y pueden sustituir o aumentar otros repositorios distribuidos HTTP, FTP o de recursos compartidos UNC que haya creado. Sin embargo, los repositorios de SuperAgent no se tratan en esta guía. Para obtener más información sobre los repositorios de SuperAgents, consulte la Guía del producto de ePolicy Orchestrator 3.5.

43


Para activar la actualización global:

1 Despliegue un SuperAgent en cada subred.

2 Active la actualización global en el servidor de ePolicy Orchestrator.

1 Despliegue un SuperAgent en cada subredPuede desplegar un SuperAgent en cualquier equipo de su Directorio de ePolicy Orchestrator. También puede convertir cualquier agente normal de ePolicy Orchestrator en un SuperAgent. Para ello, utilice las páginas de directivas del agente de ePolicy Orchestrator de la consola de ePolicy Orchestrator. Puesto que sólo necesita un SuperAgent por subred, asegúrese de que configura SuperAgents para equipos individuales de su Directorio y no para grupos o sitios enteros, como hizo al desplegar agentes normales o VirusScan Enterprise.

Por ejemplo, en la red de prueba utilizada en esta guía, desplegaríamos un SuperAgent en el sitio Domain1.

Puede desplegar un SuperAgent en un equipo que actualmente no tenga ningún agente o bien convertir los agentes normales existentes en SuperAgents. En nuestro ejemplo, podemos hacerlo cambiando las directivas para un agente para un equipo. Para ello:

1 Seleccione un equipo concreto del Directorio.

2 En la página Directivas, pulse en Agente de ePolicy Orchestrator | Configuración para abrir la página de directivas del agente.

3 En la ficha General, desactive Heredar.

4 Seleccione Activar funcionalidad del Super Agente.

También puede crear un repositorio de SuperAgent en el equipo, pero no son necesarios para la actualización global y no se describen en esta guía. Para obtener más información sobre los repositorios de SuperAgent, consulte la Guía del producto de ePolicy Orchestrator 3.5.

5 Pulse en Aplicar todos para guardar los cambios.

Figura 1-15 Ficha General

44


6 Pulse con el botón derecho del ratón en el Directorio y seleccione Llamada de activación del agente.

7 Defina como 0 el Intervalo de ejecución aleatoria del agente y pulse en Aceptar.

8 Repita esos pasos si tiene equipos en otras subredes de la red.

Espere un momento mientras se crea el SuperAgent. Cuando está activado, el icono de la bandeja del sistema del equipo que alberga el SuperAgent tiene un aspecto ligeramente distinto.

Puede utilizar estos SuperAgents para activar otros agentes en la subred local. Esto permite ahorrar ancho de banda, en especial en redes de gran tamaño con un gran número de sitios conectados a través de WAN. Envíe llamadas de activación a unos cuantos SuperAgents y deje que ellos activen los demás agentes en la red local. Los SuperAgents también son esenciales para la nueva función de actualización global.

2 Active la actualización global en el servidor de ePolicy OrchestratorLa actualización global es una función que se puede activar o desactivar desde la consola de ePolicy Orchestrator. Cuando está activada, los cambios realizados en el repositorio principal inician una réplica automática en los repositorios distribuidos, si los hay, seguida por una llamada de activación de SuperAgent al Directorio completo. Los SuperAgents activan a su vez los agentes de sus subredes locales.

Para activar la actualización global:

1 En el árbol de la consola, seleccione su servidor de ePolicy Orchestrator.

2 En el panel de detalles, seleccione la ficha Configuración.

3 En la parte inferior de la página Configuración del servidor, defina Activar actualización global como Sí.

4 Para esta guía de evaluación, cambie el valor de Intervalo global de actualización aleatoria a 1 minuto.

5 Deje los valores predeterminados en Firmas y motores.

6 En Parches y Service Packs, seleccione VirusScan Enterprise 8.0.

7 Pulse en Aplicar configuración para guardar los cambios.

Ahora que ha desplegado los SuperAgents en las subredes de su red y que la actualización global está activada, cada vez que cambie su repositorio principal, los cambios se replican automáticamente en sus repositorios. Cuando haya finalizado la réplica, el servidor de ePolicy Orchestrator envía una llamada de activación de SuperAgents. Los SuperAgents envían a su vez una llamada a todos los agentes de la subred local. Esos agentes se incorporan con el servidor y descargan los cambios de directivas. Desde la incorporación de los cambios al repositorio principal hasta que el último equipo cliente haya recibido la actualización no habrá transcurrido más de una hora.

45


P A S O

11 ¿Y ahora qué?Hasta ahora ha tenido la oportunidad de explorar la mayoría de las funciones principales de ePolicy Orchestrator 3.5.0. Pero hay mucho más que puede hacer con ePolicy Orchestrator y VirusScan Enterprise. Consulte la Guía del producto de ePolicy Orchestrator 3.5, la Guía del producto de VirusScan Enterprise 8.0i y la Guía de configuración de VirusScan Enterprise 8.0i para ePolicy Orchestrator 3.5 para obtener información detallada sobre las funciones avanzadas del producto. Estos y otros recursos útiles se encuentran disponibles para descarga en el sitio Web de McAfee.

46

Evaluación de funciones

En esta sección de la Guía de evaluación se muestra cómo puede configurar y utilizar dos de las nuevas funciones que no se tratan en la sección anterior:

# Notificaciones de ePolicy Orchestrator.

# Detección de sistemas no fiables en la página 53.

Notificaciones de ePolicy OrchestratorLa información en tiempo real acerca de actividad de amenazas y conformidad en la red es esencial para su éxito.

Puede configurar reglas en ePolicy Orchestrator para que le avisen cuando el servidor de ePolicy Orchestrator reciba y procese eventos de amenazas y conformidad especificados por el usuario. La posibilidad de establecer controles de agregación y regulación para cada regla permite definir cuándo se enviarán mensajes de notificación y cuándo no.

Aunque puede crear tantas reglas como desee para recibir notificaciones de casi cualquier tipo de evento de amenaza o conformidad enviado por sus programas de seguridad, esta guía se centra específicamente en mensajes de notificación de correo electrónico en respuesta a un evento de virus detectado.

En esta sección de esta guía hará lo siguiente:

1 Configurar directivas del agente para cargar eventos de forma inmediata.

2 Configurar las notificaciones.

3 Crear una regla para un evento de VirusScan Enterprise.

4 Proporcionar una muestra de detección de virus.

47

ePolicy Orchestrator® 3.5 - Guía de evaluación Evaluación de funcionesNotificaciones de ePolicy Orchestrator

P A S O

1 Configurar directivas del agente para cargar eventos de forma inmediataEl agente entrega los eventos desde los sistemas gestionados al servidor de ePolicy Orchestrator, debe configurar las directivas del agente para que se entreguen los eventos inmediatamente. En caso contrario, el servidor de ePolicy Orchestrator no recibe eventos hasta que transcurre el intervalo de comunicación agente- servidor (ASCI).

1 Pulse en Directorio en el árbol de la consola y, a continuación, en la ficha Directiva en el panel de detalles superior.

2 Seleccione Agente de ePolicy Orchestrator | Configuración en el panel de detalles superior.

3 Seleccione la ficha Eventos en el panel de detalles inferior y, a continuación, desactive Heredar.

4 Seleccione Activar la carga inmediata de eventos y pulse en Aplicar todos.

Ya ha configurado los agentes para cargar eventos en el servidor de ePolicy Orchestrator inmediatamente y está listo para configurar Notificaciones de ePolicy Orchestrator.

Figura 2-1 Ficha Eventos

48


P A S O

2 Configurar las notificacionesAntes de establecer reglas, debe definir quién va a recibir el mensaje de notificación, en qué formato y lo que comunicará el mensaje:

1 Pulse en Notificaciones en el árbol de la consola y, a continuación, seleccione la ficha Configuración | Configuración básica en el panel de detalles superior.

2 En Servidor de correo electrónico, escriba el nombre de un servidor de correo electrónico al que pueda dirigirse el servidor de ePolicy Orchestrator y la dirección de correo electrónico que debe aparecer en la línea De del mensaje.

3 Pulse en Aplicar y, a continuación, en Contactos de correo electrónico en la parte superior de la ficha. Esta página permite especificar todas las direcciones que va a incluir en la libreta de direcciones desde la que seleccionará los destinatarios durante la creación de reglas.

Debe haber ya un contacto en la lista, el gestor. La dirección de correo electrónico proporcionada para el gestor es la dirección que especificó en el panel Definir correo electrónico del asistente de instalación. Si no modificó la dirección predeterminada en el asistente, la dirección es [email protected]. Si la dirección del gestor no permite ver a quién se ha enviado el mensaje, pulse en ella y cámbiela por una en la que pueda recibir y ver mensajes de correo electrónico.

Figura 2-2 Configuración básica

Nota

Cuando decida la dirección de correo electrónico que va a utilizar, tenga en cuenta el número de gestores que pueden recibir mensajes de notificación y si desea que estos gestores puedan enviar mensajes de respuesta.

Nota

En la ficha Configuración, puede definir también los servidores SNMP en los que desea recibir capturas SNMP y comandos externos que ejecutará cuando se reciban determinados eventos. Estas tareas no se incluyen en esta guía de evaluación. Para obtener más información, consulte la Guía del producto de ePolicy Orchestrator 3.5.

49


Ahora que ha especificado un servidor de correo electrónico que se va a utilizar para enviar el mensaje y una dirección para recibir el mensaje, ya está listo para crear una regla que active un evento de VirusScan Enterprise.

P A S O

3 Crear una regla para un evento de VirusScan EnterprisePuede crear distintas reglas para gestionar casi cualquier categoría de eventos que se reciban desde sus productos de seguridad gestionada. Para obtener más información, consulte el Capítulo 12: Notificaciones de ePolicy Orchestrator en la Guía del producto de ePolicy Orchestrator 3.5.

1 Pulse en la ficha Reglas y, a continuación, en Agregar regla para iniciar el asistente Agregar o editar regla de notificación.

2 En la página Describir regla, deje el valor predeterminado en el cuadro de texto Definido en (Directorio). Puede definir reglas para el Directorio o cualquier sitio en el Directorio.

3 Escriba un nombre para la regla en el cuadro de texto Nombre de la regla. Por ejemplo, Virus detectado.

4 Escriba una descripción para la regla en el cuadro de texto Descripción. Por ejemplo, Virus detectados por VirusScan Enterprise y pulse en Siguiente.

5 En la página Definir filtros:

a Deje seleccionadas todas las casillas de Sistemas operativos.

b En Productos, seleccione VirusScan.

c En Categorías, seleccione Cualquier categoría al principio de la lista y, a continuación, pulse en Siguiente.

50


Hasta el momento, las configuraciones realizadas especifican la regla que se va a aplicar a cualquier evento de VirusScan que se produzca en un sistema gestionado del Directorio.

6 Aunque para esta tarea dejará los valores predeterminados en esta página, la página Definir umbrales permite limitar el número de mensajes de notificación que recibirá para la regla. Por ejemplo, puede definir una regla para que le envíe mensajes sólo cuando el número de eventos o el número de equipos afectados alcance un número determinado en un espacio de tiempo específico (Agregación). Puede limitar aún más el número de mensajes que se envían especificando el tiempo que debe transcurrir antes de recibir otro mensaje (Regulación). McAfee recomienda casi siempre la regulación para evitar una inundación de mensajes durante situaciones de brote.

Deje seleccionada Enviar una notificación para cada evento y pulse en Siguiente.

7 En la página Crear notificaciones, pulse en Agregar mensaje de correo electrónico.

Figura 2-3 Página Definir filtros

Figura 2-4 Página Definir umbrales

51


8 Pulse en la cuenta del gestor en el cuadro situado a la izquierda de la página y, a continuación, en Para de forma que el gestor se sitúe en el cuadro Destinatarios de la notificación.

De esta forma especifica que el mensaje de notificación que va a configurar se envíe a la dirección de correo electrónico que configuró en el paso 2: Configurar las notificaciones en la página 49 (para el contacto del gestor).

9 Escriba un Asunto para el mensaje que se enviará al gestor cuando se active esta regla. Por ejemplo, Amenaza detectada por VirusScan.

10 Escriba un Cuerpo para el mensaje que se enviará cuando se active esta regla. Por ejemplo, VirusScan ha detectado una amenaza.

11 Si inserta distintas variables en el cuerpo del mensaje, puede utilizar información descriptiva de archivos de eventos en el mensaje de notificación.

Para esta sección de la guía, seleccione Nombres de equipos afectados y pulse en Cuerpo. De esta forma incluirá el nombre del equipo afectado, si está disponible en el archivo de eventos, en el cuerpo del mensaje de correo electrónico. Pulse en Guardar.

Puede crear varios mensajes en distintos formatos para enviárselos a destinatarios diferentes, así como elegir comandos externos, en la página Crear notificaciones. Esta información no se incluye en este documento. Consulte la Guía del producto para ePolicy Orchestrator 3.5 para obtener más información.

12 Pulse en Siguiente y verifique las configuraciones realizadas en la regla creada en la página Ver resumen y pulse en Finalizar.

P A S O

4 Proporcionar una muestra de detección de virusAhora que ha configurado la función y ha creado una regla para que se active en archivos de eventos de VirusScan Enterprise, está preparado para proporcionar un archivo de eventos que active la regla.

1 Descargue EICAR.COM en una de las estaciones de trabajo de prueba. Cada vez que descarga este archivo, crea una detección de muestra. En el momento de publicación de este documento, este archivo estaba disponible en el sitio Web EICAR.ORG:

http://www.eicar.org/anti_virus_test_file.htm

2 El analizador en tiempo real detecta y pone en cuarentena el virus de prueba EICAR al mismo tiempo que se descarga EICAR.COM y se envía un archivo de evento con esta información al servidor de ePolicy Orchestrator.

Nota

Este archivo no es un virus.

52

ePolicy Orchestrator® 3.5 - Guía de evaluación Evaluación de funcionesDetección de sistemas no fiables

3 En sólo unos minutos se crea un mensaje de notificación y se envía a la bandeja de entrada del destinatario del mensaje especificado anteriormente.

¡Enhorabuena! Ha configurado correctamente el producto para enviar mensajes a una persona concreta, ha creado una regla para enviar un mensaje de notificación basado en eventos de VirusScan Enterprise y ha probado la regla para garantizar que funciona.

Detección de sistemas no fiablesEn cualquier red gestionada, hay inevitablemente un pequeño número de equipos que no tienen un agente de ePolicy Orchestrator instalado en un momento dado. Pueden ser equipos que se conectan y desconectan de la red con frecuencia, como servidores de prueba, portátiles o dispositivos inalámbricos. Los usuarios finales pueden desinstalar o desactivar los agentes de sus propias estaciones de trabajo. Estos equipos desprotegidos son el tendón de Aquiles de la estrategia antivirus y de seguridad, y constituyen los puntos de entrada por los que pueden alcanzar su red virus y otros programas potencialmente no deseados.

Detección de sistemas no fiables le ayuda a supervisar todos los equipos de su red, no sólo los que ya gestiona ePolicy Orchestrator, sino también los que no son fiables. Un sistema no fiable es todo aquél que no está gestionado actualmente por un agente de ePolicy Orchestrator, pero que debería estarlo. Detección de sistemas no fiables se integra con su servidor de ePolicy Orchestrator para proporcionar detección en tiempo real de equipos no fiables por medio de un sensor situado en cada segmento de difusión de la red. El sensor escucha los mensajes de difusión de la red y detecta los nuevos equipos que se conectan a la misma.

Cuando el sensor detecta un nuevo equipo en la red, envía un mensaje al servidor de Detección de sistemas no fiables. Este servidor comprueba entonces con el servidor de ePolicy Orchestrator si el equipo identificado tiene un agente activo instalado y si está gestionado por ePolicy Orchestrator. Si el nuevo equipo es desconocido para ePolicy Orchestrator, Detección de sistemas no fiables permite al usuario adoptar una serie de medidas que incluyen alertas para los gestores de red y antivirus o bien la instalación automática de un agente de ePolicy Orchestrator en el equipo.

En esta sección de la Guía de evaluación hará lo siguiente:

1 Configurar directivas de sensores de Detección de sistemas no fiables.

2 Desplegar el sensor de Detección de sistemas no fiables.

3 Configurar una respuesta automática.

4 Detectar un sistema no fiable y solucionar el problema.

53


P A S O

1 Configurar directivas de sensores de Detección de sistemas no fiablesAntes de desplegar el sensor de Detección de sistemas no fiables, debe configurar la directiva del sensor.

Una vez que el sensor esté desplegado en un sistema de su entorno, requiere una comunicación agente-servidor y un intervalo de aplicación de directivas antes de que funcione en el entorno. La comunicación agente-servidor instala el sensor en el sistema en un estado desactivado. A continuación, al aplicar las directivas, se recupera la directiva, incluidos los certificados de seguridad. El sensor necesita estos certificados para comunicarse directamente con el servidor.

Los siguientes cambios de configuración en la directiva del sensor agilizan este proceso para esta guía.

1 Pulse en Directorio en el árbol de la consola y seleccione Sensor de sistemas no fiables | Configuración en la ficha Directiva del panel de detalles.

2 Anule la selección de Heredar y, a continuación, en Intervalos de comunicación realice los siguientes cambios:

a Defina el Intervalo mínimo de información sobre cada host detectado como 120 segundos.

b Defina el Intervalo mínimo de comunicación sensor-servidor para sensores principales como 5 segundos.

3 Pulse en Aplicar todos.

Nota

Estas configuraciones específicas para la directiva del sensor sólo se realizan en la evaluación. No se recomiendan para el despliegue del sensor en un entorno de producción.

Figura 2-5 Sensor de sistemas no fiables | Configuración

54


P A S O

2 Desplegar el sensor de Detección de sistemas no fiablesEl sensor es la parte distribuida de la arquitectura de Detección de sistemas no fiables. Los sensores detectan los equipos, enrutadores, impresoras y otros dispositivos de red conectados a la red. Los sensores recopilan información acerca de los dispositivos que detectan y envían dicha información al servidor de Detección de sistemas no fiables.

El sensor es una pequeña aplicación de ejecutable nativo Win32. Al igual que el SuperAgent de ePolicy Orchestrator, debe desplegar al menos un sensor para cada segmento de difusión, que normalmente coincide con una subred, de su red. El sensor se ejecuta en los sistemas operativos de Windows basados en NT, como Windows 2000, Windows XP o Windows 2003.

Para obtener más información acerca del sensor y su funcionamiento, consulte el Capítulo 11: Detección de sistemas no fiables en la Guía del producto de ePolicy Orchestrator 3.5.

Según cómo tenga configurado su entorno de prueba, puede tener más de una subred representada. Pero tendrá al menos una.

Para desplegar el sensor:

1 Pulse en Detección de sistemas no fiables en el árbol de la consola y seleccione la ficha Subredes en el panel de detalles para mostrar la Lista de subredes.

2 Seleccione las subredes en las que desea desplegar sensores pulsando una vez en la casilla de verificación y, a continuación, en Desplegar sensores.

3 Cuando aparezca la página Despliegue de sensor: definir preferencias, compruebe que esté seleccionado Seleccionar los equipos manualmente.

Figura 2-6 Página Lista de subredes

55


4 Aunque no estamos definiendo los criterios para que ePolicy Orchestrator despliegue los sensores de forma automática, la disponibilidad de dichos criterios permite ahorrar tiempo al decidir los sistemas en los que se van a instalar los sensores. De esta forma, ePolicy Orchestrator localiza en cada subred los mejores sistemas para instalar los sensores.

5 Pulse en Siguiente y seleccione la casilla de verificación situada junto al sistema en el que desea desplegar un sensor. Pulse en Marcar para despliegue y, a continuación, en Cerrar.

6 Cuando aparezca la página Despliegue de sensor: revisar y aprobar, pulse en Desplegar ahora.

Aparece la página Progreso de la acción de la ficha Eventos, que indica el progreso del despliegue de cada sensor.

7 Recuerde que debe esperar a que se produzca una comunicación agente-servidor y un intervalo de aplicación de directivas antes de que el sensor contacte con el servidor y entre en funcionamiento. Esto se puede acelerar enviando llamadas de activación del agente.

a Pulse con el botón derecho del ratón en el equipo en el que ha instalado el sensor en el Directorio del árbol de la consola y seleccione Llamada de activación del agente.

b Defina el valor de Intervalo de ejecución aleatoria del agente como 0 y pulse en Aceptar.

c Espere dos minutos y repita el proceso.

8 Cuando el Estado de acción sea Terminada sin errores, el sensor ha vuelto a llamar al servidor y está en funcionamiento.

9 Seleccione la ficha Equipos y, a continuación, Resumen para ver un resumen de los sistemas detectados.

Ahora que el sensor está desplegado e instalado, ya puede configurar una respuesta para cuando se detecte un sistema no fiable.

P A S O

3 Configurar una respuesta automáticaPuede configurar respuestas automáticas para que ePolicy Orchestrator las ejecute en los sistemas no fiables que detecte. El nivel de concreción que se puede elegir para definir las acciones que se deben realizar y las condiciones que se le pueden agregar son muy flexibles. Para obtener más información, consulte el Capítulo 11: Detección de sistemas no fiables en la Guía del producto de ePolicy Orchestrator 3.5.

Hay muchas situaciones en las que es posible que no desee que se aplique una respuesta automática. También puede definir condiciones acerca de los tipos de sistemas no fiables en los que no se realiza ninguna acción o cuando los sistemas detectados sólo están marcados para acción.

Para esta guía, configurará una respuesta que inserta un agente en el sistema no fiable, una vez que se ha descubierto.

56


1 Seleccione Detección de sistemas no fiables en el árbol de la consola y, a continuación, la ficha Respuestas en el panel de detalles.

2 Seleccione la casilla de verificación situada junto a la respuesta Consultar agente de ePO, seleccione Desactivar en la lista desplegable Respuestas marcadas y pulse en Aplicar.

Esta respuesta comprueba si en el sistema detectado hay un agente de otro servidor de ePolicy Orchestrator.

3 Pulse en Agregar respuesta automática para mostrar la página Agregar o editar respuesta automática.

4 Escriba un nombre para la respuesta. Por ejemplo, Inserción de agente.

5 En Condiciones, pulse en Agregar condición y seleccione Tipo de no fiable en la lista Propiedades.

6 Seleccione es en Comparación, y Sin agente como Valor.

7 En Acciones, cambie la acción predeterminada Enviar mensaje a Inserción de agente de ePO como el Método y acepte los Parámetros predeterminados.

8 Pulse en Aceptar.

Figura 2-7 Página Respuestas automáticas

Figura 2-8 Página Agregar o editar respuesta automática

57


9 Seleccione la casilla de verificación situada junto a la respuesta automática Insertar agente cuando aparezca la página Respuestas automáticas. Seleccione Activar en la lista desplegable Respuestas marcadas y pulse en Aplicar.

Ahora que se ha desplegado el sensor y se ha creado y activado una respuesta para gestionar los sistemas no fiables que no tienen agente, ya puede introducir este sistema no fiable.

P A S O

4 Detectar un sistema no fiable y solucionar el problemaAhora debe introducir un sistema que no tenga un agente en el entorno de prueba. Puede utilizar varios métodos, como incorporar un portátil a la red de prueba o cambiar un equipo de un dominio exterior al dominio de prueba que ha creado.

1 Agregue un equipo que no tenga un agente de ePolicy Orchestrator a la red de prueba.

2 Vaya a la ficha Equipo y pulse en Lista. Una vez que el sensor haya detectado un sistema no fiable, se lo comunica al servidor y lo incluye en la Lista de equipos.

3 Cuando el equipo aparezca en esta lista, deje pasar cinco minutos para que se instale el agente.

4 Cuando haya finalizado la instalación del agente, el sistema tiene un Tipo de no fiable Gestionado.

Aún no ha terminado. Todavía tiene que situar el nuevo sistema gestionado en su lugar adecuado en el Directorio.

5 Cuando el Tipo de no fiable del sistema cambia a Gestionado, se sitúa en Directorio | Lost&Found | Sistemas no fiables del árbol de la consola.

El directorio Lost&Found alberga sistemas que ePolicy Orchestrator ha descubierto, pero que no sabe dónde colocar en el Directorio.

6 Pulse y arrastre el sistema hasta el sitio o grupo adecuado en el Directorio de ePolicy Orchestrator.

¡Enhorabuena! Ha configurado y desplegado el sensor, configurado una respuesta automática que se ha aplicado al sistema no fiable introducido y ha colocado este sistema en el sitio adecuado en el Directorio.

58

epolicy orchestrator -...

Documents