manual lc

Guía de administraciónRevisión B

McAfee Logon Collector 2.0

COPYRIGHTCopyright © 2012 McAfee, Inc. Queda prohibida la copia sin autorización previa.

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator,McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab,McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection,TrustedSource, VirusScan, WaveSecure y WormTraq son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filialesen EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.

2 McAfee Logon Collector 2.0 Guía de administración

Contenido

1 Introducción a McAfee® Logon Collector 7Terminología importante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Controladores de dominio y recopilación de inicios de sesión . . . . . . . . . . . . . . . . 7Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Visualización de la ayuda online . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2 Instalación 11Consideraciones clave para la instalación . . . . . . . . . . . . . . . . . . . . . . . . 11Requisitos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Planificación de la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . 12Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Requisitos de resolución DNS . . . . . . . . . . . . . . . . . . . . . . . . . 13

Instalación deLogon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Descarga del software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Instalación del software en Windows Server . . . . . . . . . . . . . . . . . . . . 14Desinstalación del software . . . . . . . . . . . . . . . . . . . . . . . . . . 26Desinstalación de Microsoft SQL Server 2005 Express Edition . . . . . . . . . . . . . 27

Acceso a la interfaz web de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . 27Instalación de Logon Collector como una extensión de McAfee ePO . . . . . . . . . . . . . . 27

Requisitos de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Configuración de Logon Collector como una extensión de McAfee ePO . . . . . . . . . 28Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Instalación de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Instalación de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . . . . 34Desinstalación de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . 35

3 Ampliación 37Consideraciones clave para una ampliación de versión . . . . . . . . . . . . . . . . . . 37Ampliación del software en Windows Server . . . . . . . . . . . . . . . . . . . . . . . 37Verificación de la ampliación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4 Recopilación de identidades 43Acerca de la recopilación de identidades . . . . . . . . . . . . . . . . . . . . . . . . 43Adición de un dominio al monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Adición de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Adición de un certificado de Logon Collector a un monitor Logon Monitor . . . . . . . . 45Adición de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . . . . . 45Eliminación de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . . . . 46

5 Configuración del servidor 47Acerca de la configuración del servidor . . . . . . . . . . . . . . . . . . . . . . . . . 47

Inicio de sesión de usuario de Active Directory . . . . . . . . . . . . . . . . . . 47Paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Servidor de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . 48Certificado de replicación de identidad . . . . . . . . . . . . . . . . . . . . . . 48

McAfee Logon Collector 2.0 Guía de administración 3

Parámetros de Logon Monitor local . . . . . . . . . . . . . . . . . . . . . . . 48Configuración de direcciones IP para la comunicación cliente servidor de Logon Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC) . . . . 53Impresión y exportación . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Certificado del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Acerca de la configuración personal . . . . . . . . . . . . . . . . . . . . . . . . . . 55Configuración de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Ficha Configuration (Configuración) . . . . . . . . . . . . . . . . . . . . . . . 56Ficha Remote (Remoto) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Uso de MMC para administrar certificados de Logon Monitor . . . . . . . . . . . . . 57Uso de NTLMv2 con monitores Logon Monitor . . . . . . . . . . . . . . . . . . . 58

6 Alta disponibilidad (clústeres) 61Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Conceptos básicos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Requisitos para la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . 62Configuración de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . 63Configuración de alta disponibilidad en la instalación de la infraestructura de clave pública (PKI). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Comprobación del estado de formación del clúster . . . . . . . . . . . . . . . . . 68

Replicación de datos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . 70Replicación de eventos de inicio de sesión . . . . . . . . . . . . . . . . . . . . . . . . 70Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Desactivación de un clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Reconfiguración de un clúster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

7 Actualización bajo demanda de grupos y usuarios 73MFS Scheduler 2.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Actualización de grupos bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . . 74

Opciones para actualización de grupos . . . . . . . . . . . . . . . . . . . . . . 74Actualización de usuarios bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 80

Opciones de la actualización de usuarios . . . . . . . . . . . . . . . . . . . . . 80Registro de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

8 Administración de usuarios 87Administración de los usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Adición o modificación de un usuario . . . . . . . . . . . . . . . . . . . . . . 87Eliminación de un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Administración de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . 88Creación de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . 88Eliminación de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . 89Duplicación de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . 89

Administración de contactos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Adición o modificación de un contacto . . . . . . . . . . . . . . . . . . . . . . 90Eliminación de un contacto . . . . . . . . . . . . . . . . . . . . . . . . . . 90

9 Generación de informes 91Acerca de la ventana Status (Estado) . . . . . . . . . . . . . . . . . . . . . . . . . 91Visualización de usuarios conectados . . . . . . . . . . . . . . . . . . . . . . . . . 93

Exportación de informes de usuarios que han iniciado sesión . . . . . . . . . . . . . 93Visualización del registro de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . 94

Exportación del registro de auditoría . . . . . . . . . . . . . . . . . . . . . . . 94Administración de consultas del registro de auditoría . . . . . . . . . . . . . . . . . . . 95

Creación de un grupo de consultas . . . . . . . . . . . . . . . . . . . . . . . 95Eliminación de un grupo de consultas . . . . . . . . . . . . . . . . . . . . . . 95

Contenido


Edición de un grupo de consultas . . . . . . . . . . . . . . . . . . . . . . . . 95Creación de consultas de registro de auditoría . . . . . . . . . . . . . . . . . . . 96Importación de consultas de registro de auditoría . . . . . . . . . . . . . . . . . 96Acciones de consulta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Definición de criterios de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Definición de criterios de exportación . . . . . . . . . . . . . . . . . . . . . . . . . 98Visualización de paneles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

10 Integración con otros productos de McAfee® 101Integración con McAfee® Firewall Enterprise . . . . . . . . . . . . . . . . . . . . . . 101

Requisitos de integración . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Validación de identidad pasiva . . . . . . . . . . . . . . . . . . . . . . . . . 101Configuración de Passive Passport . . . . . . . . . . . . . . . . . . . . . . . 102

Integración con McAfee® Firewall Enterprise Control Center . . . . . . . . . . . . . . . . 103Requisitos de integración . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Administración de la comunicación con Logon Collector . . . . . . . . . . . . . . . 103Configuración de la comunicación con Logon Collector . . . . . . . . . . . . . . . 104Configuración de la autenticación pasiva . . . . . . . . . . . . . . . . . . . . 104

Integración con McAfee® Network Security Manager . . . . . . . . . . . . . . . . . . . 109Ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Términos importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Requisitos de integración . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Funcionamiento de la integración entre Logon Collector y McAfee® Network Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Detalles de configuración para la integración de Logon Collector . . . . . . . . . . . 110Visualización de los detalles de Logon Collector en Threat Analyzer . . . . . . . . . . 113Visualización de los detalles de Logon Collector en los informes de Network Security Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Error de comunicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Integración con McAfee® Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . 123Requisitos de integración . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Uso de elementos de usuario de Active Directory . . . . . . . . . . . . . . . . . 124Uso de McAfee DLP en servidores LDAP remotos . . . . . . . . . . . . . . . . . 124Uso de Logon Collector con McAfee DLP . . . . . . . . . . . . . . . . . . . . . 124Activación de la identificación de usuarios mediante Logon Collector . . . . . . . . . 125Configuración de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . 125Autenticación del administrador de McAfee DLP y Logon Collector . . . . . . . . . . . 126

11 Escalabilidad 129Detalles de la escalabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

12 Opciones de configuración avanzadas 131Configuración avanzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Modo de compatibilidad de Logon Collector 2.0 v1 . . . . . . . . . . . . . . . . . . . . 131Configuración de controllerbackofftime . . . . . . . . . . . . . . . . . . . . . . . . 132Configuración de removeWhiteSpaceFromUniqueName . . . . . . . . . . . . . . . . . . 132Configuración del límite de grupos de usuarios de McAfee ePO . . . . . . . . . . . . . . . 133

13 Solución de problemas 135Verificación de las credenciales de dominio . . . . . . . . . . . . . . . . . . . . . . 135

Conexión a un controlador de dominio . . . . . . . . . . . . . . . . . . . . . 136Ejecución de una consulta de rendimiento de la CPU . . . . . . . . . . . . . . . . 139Ejecución de una consulta del registro anterior . . . . . . . . . . . . . . . . . . 140Ejecución de una consulta de notificación de registro posterior . . . . . . . . . . . . 141

Creación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridaden un controlador de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Creación de una cuenta en Windows Server 2008 . . . . . . . . . . . . . . . . . 143

Contenido


Creación de una cuenta en Windows Server 2003 . . . . . . . . . . . . . . . . . 143Creación de una cuenta en Windows 2000 Server . . . . . . . . . . . . . . . . . 143Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Registros de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Mensajes internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Mensajes generados por las comunicaciones de Logon Collector . . . . . . . . . . . 144Mensajes generados por las comunicaciones de Logon Monitor . . . . . . . . . . . . 145Errores habituales del controlador de dominio . . . . . . . . . . . . . . . . . . 145

Registros de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Entradas de registro de errores de comunicación de Active Directory de Logon Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Solución de problemas de DNS . . . . . . . . . . . . . . . . . . . . . . . . 147Solución de problemas de NSLookup . . . . . . . . . . . . . . . . . . . . . . 147

Error durante la instalación de Logon Collector 2.0 en Windows Server 2008 R2 . . . . . . . . 148Error al desinstalar la instancia de la base de datos SQL para Logon Collector . . . . . . . . . 148Página de configuración de bases de datos para conectar al servidor de SQL . . . . . . . . . 148Puertos utilizados por Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . 149Elevado consumo de memoria de Isass.exe . . . . . . . . . . . . . . . . . . . . . . 149Procedimiento de recuperación para la restricción de 10.000 objetos de directorios de McAfee ePO. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Contenido


1 Introducción a McAfee® Logon Collector

McAfee® Logon Collector es un software que supervisa los dominios de Active Directory y recopilainformación de inicio de sesión. Logon Collector sondea los controladores de dominio de MicrosoftActive Directory en busca de las características de los usuarios y envía esta información a dispositivosde seguridad para correlacionar el tráfico en la red con el comportamiento de los usuarios. LogonCollector se instala en servidores basados en Windows independientes para comunicarse con ActiveDirectory y admite el despliegue distribuido. Este esquema no requiere ninguna modificación en ActiveDirectory o en el esquema de Active Directory, y no necesita agentes.

Los monitores Logon Monitor pueden utilizarse para sondear los controladores de dominio cercanos yreenviar la información recopilada a Logon Collector, reduciendo así la distancia que debe recorrer lacomunicación del controlador de dominio.

Contenido

Terminología importante Controladores de dominio y recopilación de inicios de sesión Despliegue Visualización de la ayuda online

Terminología importanteUn dominio es un grupo lógico de recursos identificados en una red, ya sean éstos usuarios, equipos oservicios de aplicación en red. Estos recursos se recopilan para el dominio en un directorio distribuido,que se comparte en un grupo de controladores de dominio. Los miembros de un dominio solo tienenque autenticarse una vez ante el controlador de dominio más cercano. Todos los demás recursos deldominio quedan accesibles en función de sus privilegios en el dominio.

Una identidad es un conjunto de características que identifican a un usuario de forma única. Laidentidad de un usuario incluye el nombre de usuario, el estado de autenticación, la pertenencia agrupos y una dirección IP actual.

Controladores de dominio y recopilación de inicios de sesiónLas aplicaciones Logon Collector y Logon Monitor permiten a los otros productos McAfee, como FirewallEnterprise y McAfee® Network Security Platform interactuar con los controladores de dominio a fin derecopilar constantemente información de identidad. Esta información sirve para asignar lastransacciones de red a las identidades reales.

Cada vez que un usuario inicia sesión en la red o requiere el acceso a cualquiera de los recursoscontrolados por el dominio, por ejemplo, una impresora, un servidor o un recurso compartido dearchivos, el controlador de dominio crea una entrada de registro de eventos en un archivo de registro

1


especial y protegido, que se denomina registro de eventos de seguridad. Este archivo de registro estádisponible para sistemas remotos, como Logon Collector y Logon Monitor, por medio de una interfazde Microsoft llamada Instrumental de administración de Windows (WMI).

Para minimizar la carga que suponen las consultas del registro de eventos de seguridad (medianteWMI) para un controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con elcontrolador de dominio en nombre de los dispositivos McAfee que requieren información del registrode eventos de seguridad. Cada controlador de dominio solo tiene que dar cabida a una única conexiónen lugar de a varias conexiones para cada dispositivo McAfee.

Debido a que los gastos adicionales que representa el uso de WMI pueden ser elevados, puededesplegar los monitores Logon Monitor cerca de los controladores de dominio en la red. Si lo hace, lamayor parte del tráfico (la comunicación WMI entre los controladores de dominio y Logon Monitor) seenruta a lo largo de una distancia relativamente corta. Los gastos adicionales de la comunicación entreun monitor Logon Monitor y un recopilador Logon Collector son bajos, lo cual permite optimizar eldespliegue de la recopilación de inicios de sesión.

Véase también Instalación de Logon Monitor en la página 34

DespliegueLogon Collector y Logon Monitor pueden conectarse a varios controladores de dominio a través devarios dominios y bosques. Cada Logon Collector puede contactarse desde múltiples clientes y puedetener varios monitores Logon Monitor. Cuando se desplieguen Logon Collector y Logon Monitor deberátener en cuenta lo siguiente:

• Los costes generales de red de la comunicación WMI pueden ser elevados. La comunicación WMI seproduce entre el controlador de dominio y Logon Monitor. McAfee recomienda que utilice un únicomonitor Logon Monitor para todos sus dispositivos de seguridad McAfee, de modo que solo seanecesaria una sesión WMI en cada controlador de dominio.

• McAfee recomienda que sitúe un recopilador Logon Collector o un monitor Logon Monitor local paralos controladores de dominio que está supervisando. La comunicación entre un monitor LogonMonitor y Logon Collector en un enlace WAN es a menudo más rápida que la comunicación delcontrolador de dominio y Logon Collector en el mismo enlace WAN. Cuanto más rápido recibeLogon Collector esta información, más rápido puede el cliente asociar una dirección IP con laidentidad coincidente.

• Conecte con controladores de dominio que agreguen valor a la estrategia de supervisión. LogonMonitor debe conectarse al controlador de dominio desde el que inician sesión los usuarios que vana ser supervisados. Por ejemplo, si está supervisando en un área de la red como Nueva York, ynunca ve usuarios de San Francisco, no necesitaría supervisar a los usuarios que inicien sesión enun controlador de dominio en San Francisco. Por el contrario, si los usuarios de San Franciscoutilizan servicios en el centro de datos de Nueva York que está supervisando, se beneficiaráenormemente si vigila el registro de eventos de seguridad del controlador de dominio de SanFrancisco y determina la identidad de estos usuarios.

• Aprovéchese de la infraestructura de soporte de TI. Si su infraestructura está administrada pordiferentes grupos de administradores de sistema que se corresponden con la arquitectura deWindows ya existente, probablemente querrá colaborar con ellos. Logon Collector y los monitoresLogon Monitor se instalan como servicios en Windows Server 2003 o Windows Server 2008. Laadministración de estos servidores puede formar ya parte de una estrategia de administración desistemas más amplia y puede que quiera acogerse a ella.

1 Introducción a McAfee® Logon CollectorDespliegue


• En función de sus requisitos de seguridad, puede que quiera dedicar un Windows Server 2003 oWindows Server 2008 para ejecutar Logon Collector o un par de servidores en modo de altadisponibilidad. Si el servidor en el que Logon Collector está instalado está expuesto a riesgo, podríacausar una gran pérdida de funcionalidad para su arquitectura de seguridad.

• Es importante mantener actualizado el servidor en el que está instalado Logon Collector o LogonMonitor y para ello aplicar los parches de seguridad de Microsoft de manera puntual. Es igualmenteimportante seguir las mejores prácticas de seguridad de Microsoft para fortalecer este servidor.

• Si es posible, el acceso remoto y local al servidor de Logon Collector o Logon Monitor deberíalimitarse solo a sus administradores.

• Siga las instrucciones de la sección Uso de NTLMv2 con Logon Collector para proteger con eficacialas credenciales en el servidor y utilizar solo protocolos de autenticación seguros.

• Es posible configurar controladores de dominio para permitir el acceso de Logon Monitor al registrode eventos de seguridad sin utilizar credenciales de inicio de sesión de administrador. Este es elenfoque recomendado.

Figura 1-1 Despliegue de Logon Collector

Véase también Uso de NTLMv2 con monitores Logon Monitor en la página 58Acerca de la recopilación de identidades en la página 43

Visualización de la ayuda onlinePuede consultar la ayuda online para Logon Collector 2.0 de cualquiera de los siguientes modos:

• Par ver la ayuda online, incluida la tabla de contenidos, índice y búsqueda de texto completo, hagaclic en el signo de interrogación (?) de la barra de menús.

• Para obtener ayuda sobre la acción que se muestra en una página de configuración específica, hagaclic en el botón de interrogación (?) de la esquina superior derecha del panel Configuration(Configuración). Se muestra la página de Ayuda correspondiente.

Introducción a McAfee® Logon CollectorVisualización de la ayuda online 1


1 Introducción a McAfee® Logon CollectorVisualización de la ayuda online


2 Instalación

En esta sección se incluye el proceso de instalación de McAfee® Logon Collector y Logon Monitor.

Contenido

Consideraciones clave para la instalación Requisitos previos Instalación deLogon Collector Acceso a la interfaz web de Logon Collector Instalación de Logon Collector como una extensión de McAfee ePO Instalación de Logon Monitor

Consideraciones clave para la instalaciónEn esta sección se ofrecen los detalles de las consideraciones clave para la instalación.

Cuando instala Logon Collector en Windows Server 2008 R2 por primera vez, puede que reciba unmensaje como el siguiente: “The Windows registry entry NtfsDisable8dot3NameCreation value willbe changed to 0” (El valor de la entrada del registro de Windows NtfsDisable8dot3NameCreationcambiará a 0).

Recibirá este mensaje solo si el valor de la entrada del registro de Windows no se ha modificado.

Puede realizar este cambio en el registro y continuar, o continuar sin el cambio.

Si acepta el cambio en el registro y continúa, puede tener espacios en la ubicación de la instalación. Sino acepta el cambio en el registro, debe asegurarse de que la ruta de acceso de la ubicación de lainstalación no contenga ninguna carpeta con espacios en blanco en el nombre. También debeasegurarse de que el nombre de la carpeta no supera los 8 caracteres.

Escenario Efecto sobre Logon Collector

Logon Collector se ejecuta en Windows Server 2003 y elcontrolador de dominio se ejecuta en Windows Server 2003.

Logon Collector supervisa loseventos de inicio de sesión.

Logon Collector se ejecuta en Windows Server 2003 y elcontrolador de dominio se ejecuta en Windows Server 2008 conWindows Server 2003 en el nivel funcional.

Logon Collector supervisa loseventos de inicio de sesión.

Logon Collector se ejecuta en Windows Server 2003 y elcontrolador de dominio se ejecuta en Windows Server 2008 R2 enel nivel funcional máximo (esto es Windows Server 2008 R2).

Logon Collector no podrásupervisar los eventos de iniciode sesión.

2


Requisitos previosRevise los requisitos previos de instalación para Logon Collector y Logon Monitor antes de instalar elsoftware.

Planificación de la instalaciónAntes de la instalación, asegúrese de cumplir lo siguiente:

• Debe haber iniciado sesión en el servidor como administrador del equipo local.

• Asegúrese de que el hardware cumpla o supere los requisitos mínimos.

• No necesita ninguna frase de contraseña ni clave de licencia especiales para instalar el softwareLogon Collector o Logon Monitor. Puede instalar tantas instancias de Logon Collector o LogonMonitor (cada una en su propio servidor) como sean necesarias para proporcionar la coberturaadecuada a los controladores de dominio en el dominio supervisado.

Requisitos del sistemaLogon Collector y Logon Monitor se ejecutan como servicios de Microsoft Windows en un servidorWindows y requieren de un sistema que cumpla con los siguientes requisitos mínimos:

Componente Requisito mínimo

Sistema operativo Cualquiera de las siguientes opciones:

• Windows Server 2003 SP2 (32 o 64 bits)

• Windows Server 2003 R2 SP2 (32 o 64 bits)

• Windows Server 2008 (32 o 64 bits)

• Windows Server 2008 R2 (64 bits)

Sistema Operativo -Controladores dedominio

Cualquiera de los siguientes servidores de Microsoft:

• Windows Server 2003


• Windows Server 2008 R2

RAM (memoria) 4 GB

Espacio en disco 20 GB de espacio libre

Procesador Pentium IV a 2 GHz o superior

Marco de software Microsoft .NET Framework 2.0

Navegador • Microsoft Internet Explorer 8.x y 9.x

• Mozilla Firefox 3.x y posterior

Conectividad en la red Desde los servidores de Logon Collector a los controladores de dominio deldominio de Microsoft Active Directory que supervisa Logon Collector oLogon Monitor.

2 InstalaciónRequisitos previos


Componente Requisito mínimo

Resolución Pantalla con una resolución de 1024x768 o superior.

Pertenencia de dominio Pertenencia de dominio o derechos de acceso a los registros de eventos deseguridad en cada controlador de dominio al que Logon Collector o LogonMonitor accedan.

Considere la posibilidad de instalar Logon Monitor en una máquina virtual ya que se trata de unaaplicación con menos requisitos y no transmite tanta información como Logon Collector.

El consumo de memoria de Logon Monitor depende del número de usuarios y grupos en la base de datos.

Requisitos de resolución DNSLa resolución adecuada del sistema de nombres de dominio (DNS) es un requisito fundamental para larecopilación de identidades. Los equipos donde se instalan Logon Collector o Logon Monitor, y elcliente configurado para recopilar identidades deben estar configurados para referir a un servidor DNSque sea capaz de:

• Resolver cualquier dominio desde el cual se recopilan los inicios de sesión.

• Proporcionar una resolución de reenvío para todos los controladores de dominio desde donde serecopilan los inicios de sesión.

• Proporcionar una resolución inversa para todos los controladores de dominio desde donde serecopilan los inicios de sesión.

• Proporcionar registros de SRV para uno o varios controladores de dominio desde donde serecopilan los inicios de sesión.

Véase también Solución de problemas de DNS en la página 147

Instalación deLogon CollectorCuando se instala Logon Collector, también se instala un monitor Logon Monitor localmente en elmismo servidor. Este Logon Monitor aparece en la interfaz de usuario referenciado como localhost.

Puede instalarlo independientemente si necesita un monitor Logon Monitor remoto.

Si ya está ejecutando una aplicación basada en McAfee Foundation Services (MFS), como McAfee®

ePolicy Orchestrator, el servicio Logon Collector será incompatible con esta.

Véase también Desinstalación del software en la página 26Desinstalación de Logon Monitor en la página 35

Descarga del softwareDescargue el paquete de software Logon Collector y Logon Monitor del sitio web de McAfee.

InstalaciónInstalación deLogon Collector 2


Procedimiento

1 En un navegador web, vaya a https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us.

2 Indique su número de concesión y seleccione la categoría de productos pertinente (por ejemplo, eldispositivo McAfee® Firewall Enterprise).

3 Seleccione McAfee Logon Collector 2.0.

4 Descargue el archivo zip para la instalación de Logon Collector. Extraiga los archivos al directoriolocal.

5 Busque el programa de instalación de Logon Collector y descárguelo en el directorio local.

Logon Monitor forma parte del paquete de Logon Collector que se descarga.

Si desea tener una instalación de Logon Monitor remoto independiente, seleccione la carpetaMcAfee Logon Monitor y busque el programa de instalación.

Si desea instalar Logon Collector como una extensión de McAfee ePO, descargue el archivoMLC20_ePOextension.zip desde la misma ubicación.

Véase también Instalación de un monitor Logon Monitor en la página 34

Instalación del software en Windows ServerEl asistente de instalación de Logon Collector instalará Logon Collector, Logon Monitor local y MicrosoftSQL Server 2005 Express en cualquiera de los siguientes sistemas operativos:





Si ya dispone de una instancia de Microsoft SQL Server en el servidor, puede omitir esta parte de lainstalación.

En cualquier punto de la instalación, puede hacer clic en Back (Atrás) o en Cancel (Cancelar) para volveral paso anterior o cancelar la instalación respectivamente.

2 InstalaciónInstalación deLogon Collector


https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us

https://secure.mcafee.com/apps/downloads/my-products/login.aspx?region=us

Procedimiento

1 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local.

2 Haga doble clic en Setup.exe.

Se abre el asistente de instalación de Logon Collector. Si su sistema tiene menos de 4 GB de RAM,aparecerá el siguiente mensaje de error.

Figura 2-1 Mensaje de error durante la instalación

Haga clic en Yes (Sí) para continuar con la instalación con la memoria disponible actualmente.

Puede hacer clic en No para cancelar la instalación y continuar con ella posteriormente, una vez quese haya asegurado de disponer de un mínimo de 4 GB de RAM.



Si está instalando el software en Windows 2008 R2, aparecerá la ventana Security Warning(Advertencia de seguridad) siguiente.

Figura 2-2 Ventana Security Warning (Advertencia de seguridad)

Haga clic en Run (Ejecutar) para continuar.

Es posible que aparezca una ventana emergente para activar la convención de denominación dearchivos de Windows 8.3. Haga clic en Yes (Sí) para continuar la instalación.

Si activa esta opción, se genera un nombre corto según la convención de denominación de archivosde Windows 8.3 para los nombres de archivo largos.

Figura 2-3 Opción para activar la convención de denominación de archivos de Windows 8.3



3 Se abre el asistente de instalación de Logon Collector.

Figura 2-4 Asistente de instalación de Logon Collector

Haga clic en Next (Siguiente) para continuar.

Se abre la ventana McAfee End User Licensing Agreement (Acuerdo de licencia de usuario final de McAfee).

Figura 2-5 Ventana McAfee Licensing (Licencias de McAfee)



4 Seleccione cualquiera de las siguientes licencias en la lista desplegable de la opción License expire type(Tipo de caducidad de la licencia):

• 1 Year Subscription (Suscripción de 1 año): la licencia caduca al cabo de un año

• 2 Year Subscription (Suscripción de 2 años): la licencia caduca al cabo de dos años

• Perpetual License (Licencia permanente): la licencia no caduca

Lea el acuerdo de licencia, seleccione la opción I accept the terms in the license agreement (Acepto lostérminos del acuerdo de licencia) y haga clic en OK (Aceptar) para continuar.

5 De forma predeterminada, la carpeta de destino de la instalación se establece en C:\Archivos deprograma\McAfee\McAfee Logon Collector\. Haga clic en Change (Cambiar) para seleccionar unaubicación nueva.

Figura 2-6 Carpeta de destino

El proceso de desinstalación puede quitar la carpeta que contiene la instalación de Logon Collectorjunto con cualquier otra carpeta que haya en la ruta de acceso. McAfee recomienda seleccionar unacarpeta vacía o aceptar la ubicación predeterminada de la instalación para evitar este problema.

Haga clic en Next (Siguiente) para continuar. Se abre la ventana Global Administrator Information(Información del administrador global).



6 Escriba el Username (Nombre de usuario) y la Password (Contraseña) del administrador de la interfazweb de Logon Collector. Vuelva a escribir la contraseña a modo de verificación.

Figura 2-7 Ventana Global Administrator Information (Información del administrador global)

Haga clic en Next (Siguiente). Se abre la ventana HTTP Port Information (Información de puerto HTTP).



7 Deje los puertos de Logon Collector con los valores predeterminados, a no ser que uno de dichospuertos ya esté en uso.

Figura 2-8 Ventana HTTP Port Information (Información de puerto HTTP)

Necesitará el puerto Web Server (Servidor web) para abrir la interfaz web de Logon Collector.

8 Haga clic en Next (Siguiente).

Se abre la ventana SQL Express Option (Opción de SQL Express).



En ella puede aparecer cualquiera de los siguientes resultados:

• Resultado 1: opciones activadas en la ventana SQL Express Option (Opción de SQLExpress):

Se abre una ventana emergente. Haga clic en Yes (Sí) para continuar la instalación de MicrosoftSQL 2005 Express.

Figura 2-9 Ventana emergente de la instalación de Microsoft SQL 2005 Express



• Resultado 2: opciones desactivadas en la ventana SQL Express Option (Opción de SQLExpress):

Durante el proceso de instalación, puede ser que encuentre ambas opciones desactivadas en laventana SQL Express Option (Opción de SQL Express).

Figura 2-10 Ventana Microsoft SQL Express Option (Opción de Microsoft SQL Express): opcionesdesactivadas

Haga clic en la opción Why are the above options disabled? (¿Por qué están desactivadas las opcionesanteriores?) para ver los motivos de esta acción.

Figura 2-11 Motivos de desactivación de las opciones

Haga clic en OK (Aceptar) para continuar.

Escenario adicional



Si instala Microsoft SQL 2005 Express en Windows Server 2003 (64 bits) o Windows Server 2008(64 bits) por primera vez, aparecerá el siguiente mensaje de advertencia

Figura 2-12 Mensaje de advertencia de SQL

Haga clic en Yes (Sí) para abrir la ventana Program Compatibility (Compatibilidad de programas). Hagaclic en Run Program (Ejecutar programa) para continuar.

Figura 2-13 Ventana Program Compatibility Assistant (Asistente de compatibilidad de programas)

9 Cuando está en curso la instalación de Microsoft SQL 2005 Express, aparece la siguiente ventana.

Figura 2-14 Instalación de Microsoft SQL Server

Se abre la ventana Database Information (Información de base de datos).

10 Seleccione las siguientes opciones en la ventana Database Information (Información de base dedatos):

• Windows authentication (Autenticación de Windows): márquela para especificar el dominio y lascredenciales de inicio de sesión del servidor que alojará la base de datos de Logon Collector. Losdetalles de SQL server TCP port (Puerto TCP del servidor SQL) se establecen de forma predeterminada.

• SQL authentication (Autenticación de SQL): márquela solo si tiene una instalación de Microsoft SQLServer independiente anterior a la instalación de Logon Collector. Si fuera así, escriba el nombrede usuario y la contraseña del servidor Microsoft SQL Server que se haya utilizado durante lainstalación de Microsoft SQL Server.



Figura 2-15 Ventana Database Information (Información de base de datos)


Se abre la ventana Ready to Install the Program (Listo para instalar el programa).



12 Haga clic en Install (Instalar) para continuar.

Figura 2-16 Ventana Ready to Install the Program (Listo para instalar el programa)

Se abre la ventana Installing McAfee® Logon Collector (Instalando McAfee Logon Collector).

Figura 2-17 Ventana Installing McAfee® Logon Collector (Instalando McAfee Logon Collector)



13 Haga clic en Finish (Finalizar) para terminar la instalación.

Figura 2-18 Ventana de finalización de la instalación de Logon Collector

Desinstalación del softwareSiga estos pasos para desinstalar Logon Collector.

Procedimiento

1 En Windows Server, en el menú Inicio seleccione Panel de control y haga clic en Agregar o quitar programas.

2 Seleccione Logon Collector, haga clic en Quitar y siga las instrucciones que aparecen en pantalla.

3 Si quiere quitar la base de datos de Logon Collector, deje activada la casilla de verificación y hagaclic en Siguiente para continuar.

La información de configuración, como los dominios que se supervisan y los monitores LogonMonitor que están conectados, no se guarda. Si tiene numerosos usuarios configurados paraadministrar Logon Collector, es posible que quiera conservar la base de datos.

4 Cuando se le pida la contraseña de la base de datos, haga clic en Siguiente para continuar.

5 En la ventana Agregar o quitar programas, seleccione Logon Collector y haga clic en Quitar.

6 Haga clic en Sí cuando se le pida quitar Logon Collector.

7 Cierre Agregar o quitar programas.

Véase también Instalación deLogon Collector en la página 13Instalación de Logon Monitor en la página 34



Desinstalación de Microsoft SQL Server 2005 Express EditionSi ha instalado Microsoft SQL Server 2005 Express Edition como parte de la instalación de LogonCollector, posiblemente quiera desinstalarlo cuando quite Logon Collector de su equipo. Si prevé lareinstalación de Logon Collector, debe dejar Microsoft SQL Server 2005 Express Edition en el equipo.

Siga estos pasos para desinstalar Microsoft SQL Server 2005 Express Edition.

Procedimiento

1 En Windows Server, en el menú Inicio seleccione Panel de control y haga clic en Agregar o quitar programas.

2 Seleccione Microsoft SQL Server 2005 y haga clic en Quitar.

3 En la ventana Selección de componentes, seleccione MLCSERVER: Database Engine (Motor de base de datos) yWorkstation Components (Componentes de la estación de trabajo) y, a continuación, haga clic enSiguiente.

4 Haga clic en Finalizar.

5 En la ventana Agregar o quitar programas, seleccione Microsoft SQL Server Native Client y haga clic en Quitar.

6 Haga clic en Sí cuando se le solicite quitar Microsoft SQL Server Native Client.

7 Cierre Agregar o quitar programas.

Acceso a la interfaz web de Logon CollectorUtilice la interfaz web de Logon Collector para supervisar dominios y monitores de inicio de sesiónLogon Monitor, generar informes y llevar a cabo tareas administrativas.

Procedimiento

1 Abra un navegador y escriba la URL de Logon Collector.

Por ejemplo, si ha aceptado los puertos predeterminados, podría escribir https://127.0.0.1:8443/.

El valor 8443 en la URL puede variar según la instalación.

Cuando se conecte por primera vez a la interfaz web por medio de una conexión HTTPS, apareceráuna advertencia de certificado no válida. Haga clic en Continue to this website (Vaya a este sitio web) (oel texto equivalente en cada caso) para continuar.

Aparece la ventana Log On (Iniciar sesión).

2 Escriba el nombre de usuario y la contraseña que ha configurado durante la instalación y haga clicen Log On (Iniciar sesión).

Aparece la ventana Main Status (Estado principal) de la interfaz web.

Instalación de Logon Collector como una extensión de McAfeeePO

Logon Collector también puede instalarse en el servidor de McAfee® ePolicy Orchestrator (McAfee ePO)4.6 como una extensión. McAfee ePO™ es una plataforma escalable de administración centralizada dedirectivas y de implementación de los productos de seguridad de los sistemas, como las aplicacionesantivirus, antispyware y firewall personal.

InstalaciónAcceso a la interfaz web de Logon Collector 2


Logon Monitor realiza sondeos del dominio de Active Directory para recuperar información de usuario,como nombres de usuario y comportamientos de usuario, por medio de eventos de inicio de sesión.

Debido a la carga que representa para el sistema, Logon Collector solo puede ejecutarse en McAfee ePOpara supervisar dominios de Active Directory de tamaño reducido.

Requisitos de instalaciónA continuación se proporcionan los detalles de los requisitos mínimos para la instalación de LogonCollector como una extensión de McAfee ePO:

• Versión de Logon Collector: 2.0

• Versión de McAfee ePO™: 4.6, 4.6.2

Configuración de Logon Collector como una extensión deMcAfee ePOPara configurar Logon Collector como una extensión de McAfee ePO:

Procedimiento

1 Descargue el archivo MLC20_ePOextension.zip en su directorio local.

2 Seleccione Menu | Software | Extensions (Menú, Software, Extensiones).

Figura 2-19 Opción de extensiones

Se abre la página Extensions (Extensiones).

2 InstalaciónInstalación de Logon Collector como una extensión de McAfee ePO


3 Haga clic en Install Extension (Instalar extensión) en la esquina inferior izquierda para comenzar lainstalación.

Figura 2-20 Opción Install Extension (Instalación de extensión)

InstalaciónInstalación de Logon Collector como una extensión de McAfee ePO 2


4 Haga clic en Browse (Explorar) para seleccionar el archivo MLC20_ePOextension.zip que va ainstalarse desde su directorio local. Haga clic en OK (Aceptar).

Descargue el archivo zip como se describe en la sección Descarga del software de esta guía.

Figura 2-21 Ventana Install Extension (Instalación de extensión)

Se abre la ventana Install Package (Instalar paquete).

Figura 2-22 Ventana Install Package (Instalar paquete)



5 Haga clic en OK (Aceptar) para volver a la ventana Extensions (Extensiones). Compruebe que LogonCollector aparece en la lista como una extensión en el panel izquierdo.

Figura 2-23 Instalación correcta

Si desea quitar la extensión Logon Collector, haga clic en Remove (Quitar) del panel derecho.

6 Seleccione la ventana Status (Estado) y haga clic en Id Replication Manager (Administrador dereplicaciones de ID) para confirmar la instalación.

Figura 2-24 Ventana Estado (Estado) tras la confirmación de la instalación



Procedimientos

• Instalación de Logon Collector desde la ficha Software Manager (Administrador desoftware) de McAfee ePO en la página 32

Instalación de Logon Collector desde la ficha Software Manager(Administrador de software) de McAfee ePOSiga estos pasos para instalar Logon Collector desde la ficha Software Manager (Administrador desoftware) de la interfaz de usuario de McAfee ePO.

Procedimiento

1 Seleccione Menu | Software | Software Manager (Menú, Software, Administrador de software).

2 Haga clic en Refresh (Actualizar) desde el panel de la izquierda.

3 En la sección Product Categories (Categorías de producto), haga clic en Firewall Related Software (Softwarerelacionado con el firewall) en la opción Software (by Label) (Software (por etiqueta)).

4 En el panel de la derecha aparece la opción Software (by Label) > Firewall Related Software (Software (poretiqueta) -> Software relacionado con el firewall). Haga clic en McAfee Logon Collector 2.0.

5 Haga clic en Check-in MLC (Incorporar MLC)

6 En la ventana McAfee Logon Collector Check In Software Summary (Resumen de incorporación de software),lea y seleccione la opción I accept the terms in the license agreement (Acepto los términos del acuerdo delicencia).

7 Haga clic en OK (Aceptar) para ver la ventana Activity In Progress (Actividad en curso).

En ella puede ver el progreso de la instalación. Espere hasta ver el estado Complete (Finalizado) (sila instalación ha sido correcta) o el estado Failed (Error) (si la instalación no ha sido correcta).

8 Para verificar la instalación correcta de la extensión de Logon Collector, compruebe si aparecen laspáginas Status (Estado) y Logon Report (Informe de inicio de sesión) en Menu | Reporting (Menú,Reporting, Generación de informes).



LimitacionesEn esta sección se ofrece información detallada sobre las limitaciones de Logon Collector cuando seejecuta como una extensión de McAfee ePO:

• High Availability (Alta disponibilidad): esta función está desactivada si Logon Collector se ejecutacomo una extensión de McAfee ePO.

• Identity Data Store (IDDS): se trata de la base de datos en memoria específica de LogonCollector. De forma predeterminada se establece un límite de tamaño para el almacén de datosIDDS de Logon Collector mientras se ejecuta en McAfee ePO. Ello significa que el número total deobjetos del directorio (usuarios y grupos) debe ser siempre inferior a 10.000. Asegúrese de que eldominio que añada a Logon Collector no supere este límite. Asimismo, compruebe el número deusuarios y grupos existentes en el IDDS antes de añadir un dominio nuevo. Si se supera el límitede tamaño, Logon Collector dejará de supervisar todos los dominios y los clientes perderán laconexión con Logon Collector.

El servidor de Logon Collector tendrá un comportamiento fuera de lo normal una vez superado ellímite de tamaño. No se recomienda realizar ningún cambio de configuración en esta situación.

Solución: si se alcanza el límite de 10.000 objetos en McAfee ePO, es posible que tenga queejecutar Logon Collector en un servidor independiente (que no sea McAfee ePO). Aunque consigaencontrar una combinación de dominios que supervisar que cumpla el límite de objetos, tendrá quedesinstalar y reinstalar la extensión si Logon Collector alcanza dicho límite. Asegúrese de noagregar ningún dominio que tenga más de 10.000 objetos. Este proceso de recuperación solopodrá utilizarse cuando Logon Collector haya alcanzado el límite de 10.000 objetos y haya detenidoel funcionamiento normal.

Si alcanza el límite aparecerá el siguiente mensaje de error:

Figura 2-25 Mensaje de error para la restricción de McAfee ePO



También aparecerá un mensaje de error en la página Status (Estado) de la sección del almacén dedatos ID Data Store {idds}.

Figura 2-26 Mensaje de error en la página Status (Estado)

Instalación de Logon MonitorLa instalación de Logon Collector incluye un monitor Logon Monitor local. No es necesaria una frase decontraseña especial ni clave de licencia para instalar Logon Monitor. Puede instalar tantas instancias deLogon Monitor (cada una en su propio servidor) como necesite para proporcionar la coberturaadecuada a los controladores de dominio en el dominio supervisado.

Debe instalar un monitor Logon Monitor lo más cerca posible de los controladores de dominio con losque va a comunicarse. De este modo se minimiza el impacto del tráfico resultante de la comunicación.

Logon Monitor forma parte del paquete de descarga de Logon Collector.

Requisitos previos:

• Deben haberse desinstalado las versiones anteriores de Logon Collector o Logon Monitor antes deinstalar esta versión del software.

• Debe haber iniciado la sesión en el servidor como administrador.

Véase también Controladores de dominio y recopilación de inicios de sesión en la página 7Desinstalación del software en la página 26Desinstalación de Logon Monitor en la página 35

Instalación de un monitor Logon Monitor

Procedimiento

1 Con el Explorador de Windows, busque la carpeta Logon Monitor.

Descargue el software que se describe en la sección Descarga del software de esta guía.

2 Haga doble clic en Setup.exe.

2 InstalaciónInstalación de Logon Monitor


3 Para una instalación nueva de Logon Monitor, haga clic en Generate Self Signed Certificate (Generarcertificado autofirmado) en la ficha Configuration (Configuración) de la ventana McAfee Logon MonitorConfiguration (Configuración de McAfee Logon Monitor).

El certificado es necesario para comunicar con Logon Collector. Si se trata de una reinstalación deLogon Monitor, el certificado de la instalación anterior permanece en el almacén y puede continuarutilizándolo.

4 Finalice los cambios de configuración y haga clic en OK (Aceptar).

Véase también Configuración de Logon Monitor en la página 55Descarga del software en la página 13

Desinstalación de Logon MonitorSiga los pasos que se indican a continuación para desinstalar Logon Monitor.

Asegúrese de que el monitor Logon Monitor que desea desinstalar no se esté utilizando para supervisaralgún controlador de dominio para algún Logon Collector.

Procedimiento

1 En el servidor de Windows, en el menú Inicio, seleccione el menú Panel de control y haga clic en Agregaro quitar programas.

2 Haga clic en McAfee Logon Monitor y, a continuación, en Quitar.

3 Cuando aparezca el mensaje del asistente InstallShield para McAfee Logon Monitor, haga clic en Siguientepara comenzar el proceso de desinstalación.

4 En la ventana Mantenimiento del programa, haga clic en Quitar y, a continuación, en Siguiente.

5 Haga clic en Quitar.

6 Haga clic en Finalizar.

Si tiene pensado reinstalar Logon Monitor, tenga en cuenta que el certificado de la instalaciónanterior permanece en el almacén y puede continuar utilizándolo.

Véase también Instalación deLogon Collector en la página 13Instalación de Logon Monitor en la página 34

InstalaciónInstalación de Logon Monitor 2


2 InstalaciónInstalación de Logon Monitor


3 Ampliación

En esta sección se analiza la ampliación de Logon Collector 1.0 o bien 1.0.1 a Logon Collector 2.0.

Contenido

Consideraciones clave para una ampliación de versión Ampliación del software en Windows Server Verificación de la ampliación

Consideraciones clave para una ampliación de versiónPuede realizar una instalación de Logon Collector 2.0 desde cero o bien puede ampliar la versión deLogon Collector 1.0 o 1.0.1 a Logon Collector 2.0.

Cuando se realiza una ampliación de versión, toda la configuración de Logon Collector junto con lasiguiente información se mantiene en el servidor de Logon Collector:

• Dominios configurados

• Certificados agregados

• Configuración de Logon Monitor local

• Monitores Logon Monitor remotos

Como en cualquier ampliación de versión, McAfee recomienda encarecidamente que realice siempreprimero una prueba de la ampliación en un entorno de prueba.

La ampliación de versión no es compatible con Windows Server 2008 R2. Debe desinstalar y volver ainstalar para ampliar de la versión de Logon Collector 1.0 o 1.0.1 a Logon Collector 2.0.

Ampliación del software en Windows Server

Antes de empezar

Puede ampliar el software en cualquiera de los siguientes sistemas operativos:




3


Procedimiento

1 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. Haga doble clic enSetup.exe e inicie el programa de instalación de Logon Collector 2.0.

Figura 3-1 Programa de instalación de Logon Collector 2.0

2 Lea y acepte la licencia, y continúe con la instalación.

3 Confirme la carpeta de destino. Haga clic en Next (Siguiente).

Debe ser la misma que la de la instalación anterior (Logon Collector 1.0 o bien 1.0.1).

Figura 3-2 Ventana Destination Folder (Carpeta de destino)

3 AmpliaciónAmpliación del software en Windows Server


4 Introduzca la información del administrador en Username (Nombre de usuario) y Password(Contraseña). Verifique la contraseña.

Debe ser la misma que la de la instalación anterior (Logon Collector 1.0 o bien 1.0.1).

Figura 3-3 Ventana Global Administrator Information (Información del administrador global)

AmpliaciónAmpliación del software en Windows Server 3


5 Confirme los números de puerto.

Puesto que ya tiene una base de datos, las opciones de Microsoft SQL Server se desactivarán.

Figura 3-4 Opciones desactivadas en la ventana SQL Express Option (Opción de SQL Express)

6 La opción Database Server (Servidor de base de datos) de la ventana Database Information (Información debase de datos) debe conservar la misma información que la de la instalación de Logon Collector 1.0o bien 1.0.1.

Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar elprograma).

7 Haga clic en Install (Instalar) para empezar el proceso de ampliación.

3 AmpliaciónAmpliación del software en Windows Server


Obtendrá uno de los siguientes resultados:

• Resultado 1: si se trata de la ampliación de Logon Collector en Windows Server 2003,Windows Server 2003 R2 o Windows Server 2008 (64 bits):

Se abre la ventana Installing McAfee® Logon Collector (Instalando McAfee Logon Collector).

• Resultado 2: si se trata de la ampliación de Logon Collector en Windows Server 2008(32 bits):

Aparece la siguiente ventana si amplía el software en Windows Server 2008 (32 bits).

Figura 3-5 Ventana de instalación para la ampliación en Windows 2008 (32 bits)

Seleccione la opción Automatically close and attempt to restart applications (Cerrar automáticamente eintentar reiniciar las aplicaciones) y haga clic en OK (Aceptar) para continuar.

8 Haga clic en Finish (Finalizar) para terminar el proceso de ampliación.

Véase también Instalación del software en Windows Server en la página 14

AmpliaciónAmpliación del software en Windows Server 3


Verificación de la ampliaciónSeleccione Menu | Configuration | About (Menú, Configuración, Acerca de) para verificar que la ampliaciónse haya realizado de manera correcta.

Figura 3-6 Verificación del éxito de la ampliación

3 AmpliaciónVerificación de la ampliación


4 Recopilación de identidades

En esta sección se ofrecen los detalles de la recopilación de identidades.

Contenido

Acerca de la recopilación de identidades Adición de un dominio al monitor Adición de Logon Monitor

Acerca de la recopilación de identidadesLas identidades pueden recopilarse mediante uno de los siguientes modos:

• Supervisar un dominio con un monitor Logon Monitor local: Todas las instalaciones de LogonCollector contienen Logon Monitor. Debe agregar un dominio desde el que Logon Collector recopilela información.

• Supervisar un dominio con un monitor Logon Monitor remoto: Debe agregar monitores LogonMonitor remotos a Logon Collector.

Consulte la sección Despliegue para obtener información sobre cuándo utilizar los monitores LogonMonitor para controlar un dominio.

Véase también Adición de un dominio al monitor en la página 43Adición de un certificado de Logon Collector a un monitor Logon Monitor en la página 45Despliegue en la página 8

Adición de un dominio al monitor

Antes de empezar

Introduzca las credenciales para los dominios que se controlarán directamente medianteLogon Collector.

• Obtenga acceso de administración al cliente que sondea las identidades de un dominiodeterminado.

• Instale y configure Logon Collector.

• Adquiera las credenciales del dominio adecuado de su administrador de dominio deWindows.

4


La cuenta de administrador que pretende utilizar para acceder al controlador de dominiodebe estar en el mismo dominio desde donde quiere obtener las identidades.

Si desea utilizar una cuenta distinta a la del administrador, consulte la sección Creación deuna cuenta de usuario no administrador para acceder al registro de eventos de seguridaden una sección del controlador de dominio.

Siga los pasos que se indican a continuación para agregar un dominio supervisado:

Procedimiento

1 Seleccione Menu | Configuration | Monitored Domains (Menú, Configuración, Dominios supervisados).

2 Haga clic en New Domain (Dominio nuevo).

3 Escriba el nombre del dominio y las credenciales necesarias en los campos pertinentes.


Se realizan las conexiones con cada controlador de dominio perteneciente a este dominio enparticular. Si la conexión no es correcta con alguno de los controladores de dominio, se muestra unmensaje de error con los detalles del fallo.

5 Para cada uno de los controladores de dominio de la lista, seleccione un monitor Logon Monitorprincipal y, opcionalmente, otro de copia de seguridad.

Para agregar un monitor Logon Monitor como copia de seguridad a la lista desplegable, haga clic enNew Logon Monitor (Nuevo Logon Monitor).

a Haga clic en la lista desplegable en Primary (Principal) y seleccione un monitor Logon Monitor.

b [Opcional] Haga clic en la lista desplegable bajo Backup (Copia de seguridad) y seleccione unmonitor Logon Monitor que entrará en funcionamiento en caso de que el principal no esté disponible.

c Haga clic en Next (Siguiente).

6 Solo se mostrarán en esta pantalla los controladores de dominio para los que se haya seleccionadoLogon Collector. Especifique el orden en que se realizan las consultas de LDAP a los controladoresde dominio para obtener la información de usuario y grupo.

En general los controladores de dominio más cercanos se situarán en la parte superior de la listapara aumentar los tiempos de respuesta y reducir el ancho de banda de la red.

Haga clic en las flechas arriba y abajo para desplazar los controladores de dominio por la lista.

7 Haga clic en Save (Guardar).

Procedimientos

• Adición de un monitor Logon Monitor en la página 45

Véase también Acerca de la recopilación de identidades en la página 43

Adición de Logon MonitorEn esta sección se describe cómo agregar el monitor Logon Monitor remoto a Logon Collector.

Contenido

Adición de un certificado de Logon Collector a un monitor Logon Monitor Adición de un monitor Logon Monitor

4 Recopilación de identidadesAdición de Logon Monitor


Eliminación de un monitor Logon Monitor

Adición de un certificado de Logon Collector a un monitorLogon MonitorAntes de agregar un monitor Logon Monitor remoto a un dominio supervisado en Logon Collector,debe proporcionar la información de certificado de Logon Collector a Logon Monitor.

Procedimiento

1 Instale Logon Monitor y ejecute la aplicación de McAfee Logon Monitor Configuration (Configuración delmonitor Logon Monitor).

2 En el equipo donde ha instalado Logon Monitor, abra un navegador web.

Va a intercambiar información entre Logon Monitor y Logon Collector. Tener un navegador webabierto con la interfaz web de Logon Collector facilita la realización de esta tarea.

3 Inicie sesión en la interfaz web de Logon Collector y haga clic en Menu | Configuration | Server Settings(Menú, Configuración, Configuración del servidor).

4 Haga clic en Identity Replication Certificate (Certificado de Identity Replication) de la lista Setting Categories(Configuración de categorías).

5 En la aplicación McAfee Logon Monitor Configuration, haga clic en la ficha Remote (Remoto).

6 En caso necesario, haga clic en New (Nuevo) para agregar un certificado nuevo a Logon Monitor.

7 Copie el valor del nombre común (CN) en Logon Collector al campo Common Name (Nombre común)de Logon Monitor.

8 En la interfaz web de Logon Collector, desplácese hasta el campo Logon Monitor Fingerprint (Huella digitalde Logon Monitor).

9 Copie el valor de Logon Monitor Fingerprint (Huella digital de Logon Monitor) de Logon Collector en elcampo Certificate Hash (Hash de certificado) de Logon Monitor.

10 Haga clic en OK (Aceptar).

11 Repita estos pasos en todas las instancias de Logon Collector con las que se comunicará LogonMonitor.

Con los certificados de Logon Collector en Logon Monitor, puede agregar Logon Monitor a cualquierinstancia de Logon Collector para recopilar los inicios de sesión de un dominio supervisado.

Véase también Acerca de la recopilación de identidades en la página 43Ficha Remote (Remoto) en la página 56

Adición de un monitor Logon Monitor

Procedimiento

1 Seleccione Menu | Configuration | Logon Monitors (Menú, Configuración, Logon Monitors).

2 Haga clic en New Logon Monitor (Nuevo Logon Monitor).

3 Escriba un nombre para Logon Monitor remoto.

El nombre es una etiqueta arbitraria que se utiliza en Logon Collector para identificar Logon Monitor.

Recopilación de identidadesAdición de Logon Monitor 4


4 Escriba el nombre del host o la dirección IP del Logon Monitor remoto.

5 Escriba el número de puerto, o acepte el valor predeterminado de 50443.

6 Haga clic en Next (Siguiente) o en OK (Aceptar) en función del modo en que está agregando LogonMonitor.

Se intenta establecer una conexión con Logon Monitor.

• Si la conexión es correcta, se muestra el certificado. Para aceptar el certificado, haga clic en Save(Guardar) o en OK (Aceptar) en función del modo en que está agregando Logon Monitor.

• Si la conexión no es correcta, se muestra un mensaje de error.

Eliminación de un monitor Logon MonitorSi desea quitar un monitor Logon Monitor remoto, debe asegurarse de que no esté supervisandoningún controlador de dominio.

Siga estos pasos para quitar un monitor Logon Monitor.

Procedimiento

1 Seleccione Menu | Configuration | Monitored Domains (Menú, Configuración, Dominios supervisados).

2 Seleccione un dominio y haga clic en Manage Domain Controllers (Administrar controladores de dominio).

3 Para cada controlador de dominio, asegúrese de que el monitor Logon Monitor que vaya a eliminarno conste como Logon Monitor Primary (Principal) ni Backup (Copia de seguridad).

Si el monitor Logon Monitor consta en la lista, haga clic en la lista desplegable y seleccione unodiferente.

4 Repita los pasos 2 y 3 hasta que esté seguro de que el monitor Logon Monitor que va a eliminar nose esté utilizando.

5 Seleccione Menu | Configuration | Logon Monitors (Menú, Configuración, Logon Monitors).

6 Seleccione el monitor Logon Monitor que va a eliminar y haga clic en Delete Logon Monitor (EliminarLogon Monitor).

7 Haga clic en OK (Aceptar) para confirmar la eliminación.

4 Recopilación de identidadesAdición de Logon Monitor


5 Configuración del servidor

En esta sección se ofrece información detallada sobre la configuración y las distintas funciones de laventana Server Settings (Configuración del servidor).

Contenido

Acerca de la configuración del servidor Acerca de la configuración personal Configuración de Logon Monitor

Acerca de la configuración del servidorUtilice la ventana Server Settings (Configuración del servidor) para configurar diversos parámetros. Paraeditar un parámetro en concreto:

Procedimiento

1 Seleccione Configuration | Server Settings (Configuración, Configuración del servidor).

2 Seleccione una categoría de configuración y haga clic en Edit (Editar) en la esquina inferior derechade la ventana.

3 Agregue información o actualícela y haga clic en Save (Guardar).

Véase también Inicio de sesión de usuario de Active Directory en la página 47Paneles en la página 47Servidor de correo electrónico en la página 48Certificado de replicación de identidad en la página 48Parámetros de Logon Monitor local en la página 48Impresión y exportación en la página 54Certificado del servidor en la página 55

Inicio de sesión de usuario de Active DirectorySeleccione esta opción para permitir que los usuarios de Active Directory se conecten al LogonCollector si tienen establecido al menos un permiso.

Véase también Acerca de la configuración del servidor en la página 47Administración de conjuntos de permisos en la página 88

PanelesLa opción de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0.

5


Véase también Acerca de la configuración del servidor en la página 47

Servidor de correo electrónicoEspecifique el servidor de correo electrónico (SMTP) que se utilizará para enviar informes por correoelectrónico.

Opción Definición

SMTP server name (Nombre delservidor SMTP)

Nombre del servidor SMTP

SMTP server port (Puerto delservidor SMTP)

Número de puerto del servidor SMTP, suele ser el puerto 125

Authentication (Autenticación) El método de autenticación, si lo hay, para el servidor SMTP

Seleccione Authenticate (Autenticar) y especifique las credencialesnecesarias en caso de que el servidor SMTP requieraautenticación.

From address (Dirección delremitente)

La dirección de correo electrónico que se incluirá en el campoFrom (De)

Véase también Acerca de la configuración del servidor en la página 47Exportación del registro de auditoría en la página 94Definición de criterios de exportación en la página 98

Certificado de replicación de identidadEl certificado de replicación de identidad identifica Logon Collector con relación a las demás entidadescon las que se comunica y establece una conexión de confianza. Por ejemplo:

• Se proporciona el valor de la identificación por huellas digitales de Logon Monitor a uno de losmonitores Logon Monitor.

• Se proporciona el valor Base 64 a los clientes, por ejemplo, a McAfee® Firewall Enterprise ControlCenter.

Puede generar un certificado con firma automática nuevo o utilizar un certificado y la clave privadaproporcionados desplazándose a sus ubicaciones. También tendrá que facilitar la frase de contraseña(si la hay) si utiliza un certificado proporcionado.

El cambio del certificado puede conllevar cualquiera de los siguientes problemas:

• Es posible que un cliente actual no pueda volver a conectarse.

• El clúster de alta disponibilidad puede romperse.


Parámetros de Logon Monitor localConfigure los parámetros de Logon Monitor local.

5 Configuración del servidorAcerca de la configuración del servidor


Opción Definición

DistinguishedName (Nombredistintivo)

El nombre distintivo contiene el nombre común y otros atributos necesarios paraque Logon Monitor local pueda identificar el certificado que se encuentra en sualmacén (consulte la opción Store Name (Nombre de almacén) más adelante) yque debe utilizarse para la autenticación en el servidor de Logon Collector.

Por ejemplo, cn=dlc.centserv.org,o=centserv,c=us puede ser el nombredistintivo, compuesto por el nombre común (cn), nombre de la organización (o)y país de origen (c) del certificado. Para utilizar un certificado con firmaautomática, solo necesita usar el nombre común (agregándole el prefijo cn=)como identificación.

Store Name(Nombre dealmacén)

El nombre del almacén o el nombre del almacén de certificados es el lugar en elque Logon Monitor local busca sus certificados. La configuración predeterminadadel nombre de almacén es McAfeeLogonMonitor\MY. Utiliza el tipo de almacénCERT_SYSTEM_STORE_SERVICES.

Store Type (Tipo dealmacén)

Los almacenes de certificados están organizados por tipo. El tipopredeterminado (CERT_SYSTEM_STORE_SERVICES) debería ser suficiente en lamayoría de los casos.

Server Port (Puertode servidor)

El puerto en el que escucha el servicio de Logon Monitor local. Siempre que nohaya ningún otro servicio escuchando en el puerto especificado, puede utilizar elpuerto que desee. El valor predeterminado del puerto es 50443. Los númerosde puerto válidos están comprendidos entre 1 y 65535.

CertificateChecking(Comprobación decertificado)

Especifica el tipo de comprobación que debe llevarse a cabo para cualquiera delos certificados remotos aceptados.

• Certificate Hash (Hash del certificado): [Recomendado] verifica que el hashconfigurado para el nombre común proporcionado coincida con el hashalmacenado.

• Certificate Store (Almacén de certificados): la comprobación del almacén decertificados es donde una autoridad de certificación firma el certificadoencontrado en el almacén de certificados.

• Certified Not Required (No se requiere certificado): no se comprueba ningúncertificado. Esta opción no ofrece comunicaciones seguras para acceder aLogon Collector.

McAfee recomienda utilizar el hash de certificado como método más seguro.

Connection Type(Tipo de conexión)

Especifica si la conexión de Logon Collector está cifrada o no. Esta opción soloestá diseñada para solucionar problemas. Dicha opción debe estar configurada asu valor predeterminado (Encrypted (TLS) (Cifrado (TLS)) o es posible queLogon Collector no funcione correctamente.

Debug Level (Nivelde depuración)

La cantidad de información escrita en el archivo de registro. El nivel de detalleaumenta con el nivel de depuración. El valor predeterminado es cero (0), que noregistra ningún tipo de información detallada adicional.

File Location(Ubicación dearchivo)

El lugar en el sistema donde se guarda el archivo de registro. De formapredeterminada, la ubicación de la instalación de Logon Collector es C:\ProgramFiles\McAfee\McAfee Logon Collector\Logon Collector.

File Size (Tamañode archivo)

El tamaño máximo en kilobytes que puede alcanzar el archivo de registro antesde que se produzca una rotación. El sistema conserva un máximo de cincoarchivos de registro en la ubicación seleccionada. LoginMonitor.log es elarchivo más reciente; le siguen cronológicamente los archivos LoginMonitor.log.1 a LoginMonitor.log.4.

AuthenticationType (Tipo deautenticación)

El tipo de autenticación para la conexión entre el servicio Logon Monitor local ylos controladores de dominio. Se admiten la autenticación de Kerberos y la deNTLM; Kerberos es la predeterminada.

Configuración del servidorAcerca de la configuración del servidor 5


Opción Definición

CPU DisconnectThreshold (Umbralde desconexión dela CPU)

Especifica el momento en el que Logon Monitor local introduce una limitación deflujos de tráfico si los servicios en un controlador de dominio supervisadoconsumen demasiada CPU con excesiva rapidez. Si se supera el umbral de laCPU, Logon Monitor local deja de realizar el sondeo del dominio en cuestióndurante veinte minutos. Transcurrido el período de veinte minutos, tiempo quedebería ser suficiente para que la CPU procese su carga, Logon Monitor localvuelve a conectarse. Si observa que Logon Monitor local recurre con frecuenciaa la limitación de flujos de tráfico, intente desactivar la opción Allow BacklogQueries (Permitir consultas del registro anterior).

Maximum BacklogRecords (Entradasmáximas delregistro anterior)

El número máximo de entradas de registro para el que se ejecutará unaconsulta del registro anterior.

Allow BacklogQueries (Permitirconsultas delregistro anterior)

Especifica si Logon Monitor local comprueba los registros de eventos deseguridad del controlador de dominio para eventos relativos a la identidad quepuedan haberse producido mientras no estaba conectado. Si esta opción estáactivada, Logon Monitor local puede hacer consultas retroactivas para el períodode tiempo durante el que ha estado desconectado en lugar de tan sólo reanudarsu labor en el momento en que vuelve a conectarse. Tenga en cuenta que lasconsultas del registro anterior no pueden tener lugar si Logon Monitor local seconecta primero al controlador de dominio. La consulta se realiza hasta alcanzarel valor de la opción Maximum Backlog Records (Entradas máximas del registroanterior) o bien hasta el momento de la última conexión, aquello que ocurra antes.

Es muy probable que las consultas del registro anterior repercutan en elrendimiento de equipos heredados o que soportan mucha carga y, porconsiguiente, no se recomiendan. Si observa que Logon Monitor local recurrecon frecuencia a la limitación de flujos de tráfico, intente desactivar esta función.

Accepted RemoteCertificates(Certificadosremotosaceptados)

Los certificados de servicios de Logon Collector remotos aceptados por esteservicio de Logon Collector. Los certificados deben cumplir los criterios definidosen la opción Certificate Checking (Comprobación de certificado).

Véase también Acerca de la configuración del servidor en la página 47Configuración de Logon Monitor en la página 55

Configuración de direcciones IP para la comunicación clienteservidor de Logon CollectorCuando existen varias direcciones IP en el servidor de Logon Collector, este las escucha todas.

Durante una conmutación en caso de error de alta disponibilidad, cuando el servidor principal estáinactivo o inaccesible, el secundario cambia del modo en espera a activo. Este último continúaestableciendo comunicación con el principal. Una vez que el servidor principal está activo, elsecundario cambia su estado a en espera (o pasivo) y el primer servidor retoma su estado activo.

Cuando el servidor principal está inaccesible, los clientes de Logon Collector tienen que reintentartodas las direcciones IP del servidor principal antes de cambiar al secundario. Esto retrasa el procesode conmutación en caso de error para el cliente.

Para solucionar este problema, Logon Collector le permite seleccionar las direcciones IP paracomunicarse. El puerto HTTPS de Logon Collector continuará escuchando todas las direcciones IP. Lacomunicación de los clientes y de alta disponibilidad tendrá lugar a través de la dirección IPseleccionada. Cuando el servidor principal está inaccesible, los clientes de Logon Collector tienen quereintentar solo la dirección IP principal configurada antes de cambiar al secundario.



Configuración de MLC communication IP Address (Dirección IP para lacomunicación de MLC)Para configurar la MLC communication IP Address (Dirección IP para la comunicación de MLC):

Procedimiento

1 Seleccione Menu | Configuration | Server Settings (Menú, Configuración, Configuración del servidor).

Figura 5-1 Opción Server Settings (Configuración del servidor)



2 Haga clic en MLC communication IP Address (Dirección IP para la comunicación de MLC).

Figura 5-2 MLC communication IP Address (Dirección IP para la comunicación de MLC)

3 Haga clic en Edit (Editar) en la esquina inferior derecha para seleccionar una dirección IP en la listadesplegable.

Figura 5-3 Edit MLC communication IP Address (Edición de la dirección IP para la comunicación deMLC)




MLC User Login Timeout (Tiempo de espera de inicio de sesiónde usuario en MLC)Logon Collector proporciona una opción para modificar la duración del evento de inicio de sesión en elservidor de Logon Collector. Este evento de inicio de sesión se ha almacenado en el servidor de LogonCollector durante 6 horas de manera predeterminada.

Configuración de MLC User Login Timeout (Tiempo de espera de inicio desesión de usuario en MLC)Para configurar MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC):

Procedimiento

1 Seleccione Menu | Configuration | Server Settings (Menú, Configuración, Configuración del servidor).

2 Haga clic en MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC).

Figura 5-4 MLC User Login Timeout (Tiempo de espera de inicio de sesión de usuario en MLC)



3 Haga clic en Edit (Editar) en la esquina inferior derecha para modificar el tiempo. El evento de iniciode sesión se guardará en el servidor de Logon Collector conforme al tiempo configurado.

Figura 5-5 Edit MLC User Login Timeout (Edición del tiempo de espera de inicio de sesión de usuarioen MLC)


Impresión y exportaciónDefina la configuración para los documentos exportados.

Figura 5-6 Opción Printing and Exporting (Impresión y exportación)




Certificado del servidorEn esta sección se explica cómo configurar el certificado que utiliza Logon Monitor para autenticarseen Logon Collector.

Asegúrese de que posee un certificado para Logon Monitor, ya sea un certificado con firma automáticade nueva generación (por Logon Monitor) o uno generado por una autoridad de certificación. LogonMonitor no operará sin un certificado. Sin embargo, en el caso de un monitor Logon Monitor local no esnecesario un certificado con firma automática.

• Distinguished Name (Nombre distintivo): el nombre distintivo contiene el nombre común y otrosatributos necesarios para que Logon Monitor pueda identificar el certificado que se encuentra en sualmacén (consulte la opción Store Name (Nombre de almacén) más adelante) que debe utilizarsepara autenticar el servidor.

Por ejemplo, la cadena cn=dlc.centserv.org,o=centserv,c=us podría ser el Nombre distintivo,compuesto por el nombre común (cn), nombre de la organización (o) y país de origen (c) delcertificado. Para utilizar un certificado con firma automática, solo necesita usar el nombre común(agregándole el prefijo cn=) como identificación.

• Store Name (Nombre de almacén): el nombre del almacén o el nombre del almacén decertificados es el lugar en el que Logon Monitor busca sus certificados. La configuraciónpredeterminada del nombre de almacén es McAfeeLogonMonitor\MY. Utiliza el tipo de almacénCERT_SYSTEM_STORE_SERVICES. Si Logon Monitor se ejecuta en modo independiente, utilice el nombrede almacén MY. Este utiliza el tipo de almacén CERT_SYSTEM_STORE_CURRENT_USER.

• Generate Self-Signed Certificate (Generar certificado con firma automática): solo disponiblecuando el campo de nombre distintivo no está en blanco, el botón Generate Self-Signed Certificate(Generar certificado con firma automática) genera un certificado con firma automática y lo colocaen el almacén de certificados identificado por el nombre de almacén.

Si Logon Monitor se instala de forma independiente, debe generar un certificado a fin de poderconectar Logon Monitor a Logon Collector.

• View Certificate (Ver certificado): solo disponible cuando el campo de nombre distintivo no estáen blanco, el botón View Certificate (Ver certificado) muestra un visor de certificados estándar deWindows en el que aparece el certificado que coincide con el nombre distintivo, en caso de queexista alguno en el almacén.


Acerca de la configuración personalUtilice la ventana Personal Settings (Configuración personal) para editar la contraseña del usuario que seencuentre conectado y el periodo en minutos para que se actualicen las tablas no pertenecientes apaneles si se han configurado para que se actualicen automáticamente. Seleccione Menu | Configuration |Personal Settings (Menú, Configuración, Configuración personal).

Configuración de Logon MonitorLogon Monitor se ejecuta como un servicio de Windows y se inicia automáticamente después de cadaciclo de energía (apagado y encendido). En esta sección se describe la configuración del softwareLogon Monitor.

Configuración del servidorAcerca de la configuración personal 5


Logon Monitor se configura con una aplicación denominada Logon Monitor Configuration en el equipocon Windows en el que se haya instalado el software Logon Monitor. Si la configuración de LogonMonitor no se lleva a cabo como parte de la instalación, vaya al menú Start (Inicio) y seleccione LogonMonitor Configuration (Configuración de Logon Monitor) (por ejemplo, de forma predeterminada en Start |Programs | McAfee Logon Monitor | Logon Monitor Configuration (Inicio, Programas, McAfee Logon Monitor,Configuración de Logon Monitor)) para que aparezca la ventana McAfee Logon Monitor Configuration(Configuración de McAfee Logon Monitor).

No es necesario reiniciar el servicio Logon Monitor cuando se hacen cambios de configuración. Loscambios surten efecto tras hacer clic en OK (Aceptar). La información de configuración de Logon Monitorse guarda en el Registro de Windows.

Véase también Instalación de un monitor Logon Monitor en la página 34Parámetros de Logon Monitor local en la página 48

Ficha Configuration (Configuración)La ficha Configuration (Configuración) contiene la configuración de Logon Monitor.

Figura 5-7 Ficha Configuration (Configuración)

Ficha Remote (Remoto)La ficha Remote (Remoto) contiene el nombre común del certificado y el hash de certificado decualquier Logon Collector al que se conecte este monitor Logon Monitor.

5 Configuración del servidorConfiguración de Logon Monitor


Logon Monitor acepta cualquier número de certificados en la ficha Remote (Remoto).

Figura 5-8 Ficha Remote (Remoto)

Véase también Adición de un certificado de Logon Collector a un monitor Logon Monitor en la página 45

Uso de MMC para administrar certificados de Logon MonitorLogon Monitor utiliza el almacén de certificados de Microsoft para administrar los certificados quegenera. Después de instalar Logon Monitor, el modo más sencillo de ver los certificados es utilizarMicrosoft Management Console (MMC) para visualizar el almacén de certificados para el servicio deLogon Monitor.

Para utilizar MMC:

Procedimiento

1 Inicie MMC (Inicio | Ejecutar | MMC).

2 Vaya a Archivo | Agregar o quitar complementopara mostrar la ventana Agregar o quitar complemento.

3 Haga clic en Agregar para mostrar la ventana Agregar un complemento independiente.

4 Seleccione Certificados y haga clic en Agregar para abrir la ventana Complemento Certificados.

Configuración del servidorConfiguración de Logon Monitor 5


5 Seleccione Cuenta de servicio en la ventana Certificates snap-in (Complemento Certificados) y haga clic enSiguiente.

6 Seleccione Equipo local y haga clic en Siguiente.

7 Seleccione Logon Collector de la lista de servicios y haga clic en Finalizar.

8 Haga clic en Cerrar en la ventana Agregar un complemento independiente.

9 Haga clic en Aceptar en la ventana Agregar o quitar complemento para cerrarla.

MMC muestra la información de certificado para Logon Monitor.

10 Haga clic con el botón derecho sobre un certificado o un almacén para importar las listas decertificados en la pantalla.

Importar o quitar un certificado de CA de servidor o cliente para LogonMonitorConsulte el complemento de certificados para MMC en la documentación de Microsoft para obtenerinformación sobre la importación de un certificado como autoridad de certificación (CA, CertificateAuthority) para Logon Monitor.

Esto solo es de utilidad cuando Logon Monitor utiliza la comprobación de certificados.

Uso de NTLMv2 con monitores Logon MonitorMcAfee recomienda utilizar Kerberos como tipo de autenticación. Si va a utilizar NTLM, es convenienteque use NTLMv2 como se describe en esta sección. El método de autenticación predeterminado enWindows, hash de Lan Manager (LM), genera una respuesta débil que puede utilizar un atacante parallevar a cabo un ataque por fuerza bruta, sin conexión a la red, con el objetivo de averiguar lacontraseña real.

Lea esta sección para obtener información sobre cómo utilizar el método de autenticación NTLMv2 ylograr una conexión más segura entre un monitor Logon Monitor y un controlador de dominio.

McAfee recomienda el uso del método de autenticación NTLMv2 en servidores con Windows 2003 yWindows 2008 si se ejecuta un monitor Logon Monitor. De este modo, Logon Monitor puede utilizarNTLMv2 para autenticarse en los controladores de dominio. Ello únicamente puede conseguirse si semodifica el Registro; no es necesario realizar ningún cambio en los controladores de dominio.

El procedimiento requiere modificar el Registro de Windows Server. La edición inadecuada del Registropuede provocar que el sistema quede inutilizable o que su estado sea inestable. Haga una copia deseguridad del Registro por si el sistema queda inutilizable o en un estado inestable. Antes de continuar,haga una copia de seguridad del Registro. Para obtener más información, consulte el artículo técnico322756 de Microsoft (http://support.microsoft.com/kb/322756/). Si Windows Server proporciona otrosservicios y existen clientes que no admiten NTLMv2 (por ejemplo, Windows 95 o Windows 98), estecambio impedirá que los clientes antiguos puedan utilizar el servidor.

Para forzar el uso de NTLMv2:

Procedimiento

1 Inicie sesión en el servidor con Windows Server en el que se ejecuta Logon Monitor.

2 Inicie el Editor del Registro (Inicio | Ejecutar | regedit).

3 Vaya a la clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa



http://support.microsoft.com/kb/322756/

4 Haga clic con el botón derecho en el valor LmCompatibilityLevel.

Consulte: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/76052.mspx

5 Haga clic en Modify (Modificar).

6 Escriba el número 5 (únicamente utilice la autenticación NTLMv2 y negocie la seguridad de sesiónNTLMv2 si el servidor lo admite) y haga clic en OK (Aceptar).

7 Reinicie Windows Server.

8 Asegúrese de que el estado de IAM en Logon Collector sea UP (Operativo) transcurridos 10 minutos.

Configuración del servidorConfiguración de Logon Monitor 5


http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/76052.mspx

http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/76052.mspx

6 Alta disponibilidad (clústeres)

En este capítulo se explica la función de alta disponibilidad (HA).

Los términos alta disponibilidad y clúster se utilizan indistintamente en todo el capítulo.

Contenido

Descripción general Conceptos básicos de configuración Replicación de datos de configuración Replicación de eventos de inicio de sesión Limitaciones Desactivación de un clúster Reconfiguración de un clúster

Descripción generalLa función de alta disponibilidad permite la existencia de McAfee® Logon Collector en la forma deservidor principal y secundario. En este escenario, cuando el servidor principal está inactivo oinaccesible, el secundario cambia del modo en espera a activo. Este último continuará sondeando elservidor principal para comprobar cuándo vuelve a estar disponible. Una vez que el servidor principalvuelve a estar activo, el secundario cambia al estado en espera. Los clientes que estaban conectadosal servidor principal cambian al secundario cuando el principal está inaccesible. Una vez que elservidor principal vuelve a estar activo, los clientes vuelven a conectarse a este.

Logon Collector puede presentarse en los siguientes modos:

• Independiente

• Clúster

Logon Collector puede presentarse en los siguientes estados:

• Activo

• En espera

Conceptos básicos de configuraciónEn esta sección se ofrece información sobre los conceptos básicos de configuración de la función dealta disponibilidad.

6


Requisitos para la alta disponibilidadA continuación se enumeran los requisitos para la función de alta disponibilidad:

• Debe haber dos servidores (principal y secundario) de Logon Collector disponibles.

• Los controladores de dominio que van a supervisarse deben estar siempre accesibles desde ambosservidores de Logon Collector.

• Ambos servidores, principal y secundario, deben comunicarse entre sí.

• Tanto el servidor principal como el secundario deben tener el certificado con firma automática o elcertificado firmado por CA común.

6 Alta disponibilidad (clústeres)Conceptos básicos de configuración


Configuración de alta disponibilidadPara configurar un clúster:

Procedimiento

1 Instale Logon Collector 2.0 en dos servidores distintos (Windows Server 2003 o Windows Server2008).

2 En el servidor que prevé seleccionar como principal, seleccione Menu | Configuration | Cluster Configuration(Menú, Configuración, Configuración de clúster).

Figura 6-1 Opción Cluster Configuration (Configuración de clúster)

Se abre la ventana Cluster Configuration (Configuración de clúster).

Alta disponibilidad (clústeres)Conceptos básicos de configuración 6


3 Haga clic en Edit (Editar). Se abre la ventana Edit Cluster Configuration (Editar configuración de clúster).

Figura 6-2 Ventana Cluster Configuration (Configuración de clúster)

4 Marque la casilla Enable clustering (Activar clústeres) y seleccione Primary (Principal). Haga clic en Save(Guardar).

Figura 6-3 Ventana Edit Cluster Configuration (Editar configuración de clúster) para laconfiguración del servidor principal

5 En el servidor que prevé seleccionar como secundario, seleccione Menu | Configuration | ClusterConfiguration (Menú, Configuración, Configuración de clúster) para abrir la ventana Cluster Configuration(Configuración de clúster).



6 En la ventana Edit Cluster Configuration (Editar configuración de clúster), marque la casilla EnableClustering (Activar clústeres) y seleccione Secondary (Secundario). Introduzca los siguientes detalles:

• Primary Server (<IP Address>:<Https port>) (Servidor principal (<dirección IP>:<puerto https>))

• Admin username for primary server (Nombre de usuario del administrador para el servidor principal)

• Admin password for primary server (Contraseña del administrador para el servidor principal)

Figura 6-4 Ventana Edit Cluster Configuration (Editar configuración de clúster) para laconfiguración del servidor secundario

Haga clic en Next (Siguiente). Se abre la ventana Enable Cluster Task (Activar tarea de clúster).



7 Haga clic en Yes (Sí) para mostrar el certificado del puerto HTTPS del servidor principal.

Solo se formará el clúster si acepta el certificado.

El mensaje informa sobre las opciones de configuración una vez terminada la formación del clúster.

Figura 6-5 Ventana Enable Cluster Task (Activar tarea de clúster)

Si no desea sobrescribir las opciones de configuración, haga clic en No.

8 En la ventana Primary MLC Certificate (Certificado de MLC principal), haga clic en Accept Certificate and EnableClustering (Aceptar certificado y activar clústeres).

Se inicia el intercambio de certificados entre los servidores principal y secundario, y se activa elestablecimiento de confianza.

Figura 6-6 Ventana Primary MLC Certificate (Certificado de MLC principal)

Se abre la ventana Cluster Configuration (Configuración de clúster).



9 La ventana Cluster Configuration (Configuración de clúster) muestra los siguientes detalles:

• MLC Cluster Configuration Enabled (Configuración de clúster de MLC activada): estado de laconfiguración del clúster

• Status (Estado): estado del servidor

• Primary Server IP address (Dirección IP del servidor principal): dirección IP del servidor principal

• Https port number of primary server (Número del puerto https del servidor principal): número del puertohttps que utiliza el servidor del mismo nivel durante la creación del clúster

• JMS port number of primary server (Número del puerto JMS del servidor principal): número del puertoJMS de servicios de mensajería de Java (Java Messaging Services) que utiliza el servidor delmismo nivel y los clientes para transferir datos

Figura 6-7 Ventana Cluster Configuration (Configuración de clúster) después de la formación delclúster

Véase también Reconfiguración de un clúster en la página 72

Configuración de alta disponibilidad en la instalación de lainfraestructura de clave pública (PKI)La función de alta disponibilidad se puede configurar también en la instalación de la infraestructura declave pública (PKI, Public Key Infrastructure). Los pasos para configurar el clúster en este contextoson los mismos que los descritos anteriormente.

Requisitos previos para la alta disponibilidad en la instalación de la infraestructura de clavepública (PKI)



Los siguientes pasos son los requisitos previos para la alta disponibilidad en la instalación de lainfraestructura de clave pública (PKI):

1 Seleccione Menu | Configuration | Trusted CAs (Menú, Configuración, CAs de confianza) y agregue elcertificado raíz de CA a ambos sistemas del mismo nivel de alta disponibilidad.

2 Seleccione Menu | Configuration | Server Settings | Identity Replication Certificate (Menú, Configuración,Configuración del servidor, Certificado de Identity Replication) para reemplazar el certificado deIdentity Replication por el certificado de CA firmado para los respectivos servidores.

El certificado raíz de CA y el certificado de CA firmado deben agregarse para los clientes.

Escenarios de error

Se mostrará un mensaje de error para cada uno de los siguientes escenarios:

• El certificado que utiliza el servidor principal tiene firma automática, mientras que el certificado queutiliza el servidor secundario está firmado por una CA.

• El certificado que utiliza el servidor secundario tiene firma automática, mientras que el certificadoque utiliza el servidor principal está firmado por una CA.

• Los certificados que utilizan los servidores principal y secundario tienen firmas de dos CAs distintas.En este caso, la configuración del clúster es correcta pero el estado aparecerá en rojo.

En la siguiente figura se muestra el mensaje de error.

Figura 6-8 Mensaje de error

Comprobación del estado de formación del clústerEn esta sección se describe el modo de comprobar el estado de formación del clúster.



1 Seleccione Menu | Reporting | Status (Menú, Generación de informes, Estado) para verificar el estadode formación del clúster.

2 En la ventana Status (Estado), haga clic en Cluster Manager (Administrador de clúster) para ver elmensaje procedente del miembro del clúster.

Figura 6-9 Mensaje de estado de formación del clúster en el servidor principal

Figura 6-10 Mensaje de estado de formación del clúster en el servidor secundario

Importante:

El estado general {IAM} está en rojo dado que el estado del componente {LAM} es rojo.

Figura 6-11 Ventana de estado



Replicación de datos de configuración• Cuando se crea un clúster, el servidor principal omite la configuración existente del servidor

secundario.

• El servidor secundario se encuentra en uno de los siguientes estados:

• Activo: cuando el servidor secundario está desconectado del servidor principal se le denominaservidor secundario activo.

• En espera: cuando el servidor secundario está conectado al servidor principal se le denominaservidor secundario en espera.

El servidor secundario pasivo no permite cambiar la configuración; si lo intenta, aparecerá unmensaje de error. Los cambios de la configuración solo pueden realizarse en el servidor secundarioactivo.

• Replicación del servidor principal al secundario:

una vez configurado el clúster, las configuraciones se replican del servidor principal al secundario.

• Replicación del servidor secundario activo al servidor principal:

si el servidor principal se desactiva y, transcurrido un tiempo, vuelve a activarse, recibe los detallesde configuración del servidor secundario activo.

• Cuando el servidor secundario está funcionando en modo de espera, el estado de {LAM} está ROJOen la ventana Status (Estado). Se trata de un comportamiento normal debido a que Logon Collectordetiene el {LAM} cuando está funcionando en modo de espera.

Logon Collector no debe implementarse en equipos con DHCP: Los servidores de Logon Collectordel mismo nivel se comunican entre ellos durante la formación del clúster. Sin embargo, esto puede noser posible si Logon Collector se ha implementado en un equipo con DHCP. Los productos McAfee queestén conectados al servidor de Logon Collector en una determinada dirección IP también sedesconectarán si se producen cambios en la dirección IP debidos a la configuración del protocolo DHCP.Por ello, McAfee recomienda evitar el despliegue de Logon Collector en sistemas con DHCP.

Replicación de eventos de inicio de sesiónReplicación desde el servidor principal al secundario

Los eventos de inicio de sesión en el servidor de Logon Collector activo se replican en el servidor deLogon Collector en espera.

Replicación desde el servidor secundario activo al servidor principal

Cuando el servidor principal está inaccesible y vuelve a activarse tras un cierto periodo de tiempo,recibe los datos de replicación (eventos de inicio de sesión, usuarios, grupos) del servidor secundarioactivo.

6 Alta disponibilidad (clústeres)Replicación de datos de configuración


LimitacionesLa siguiente lista refleja las limitaciones de la función de alta disponibilidad:

• No se admite el escenario de redes divididas. Es importante garantizar que las comunicacionesentre el servidor principal y el secundario no se interrumpan nunca. Por ejemplo, si la conectividaden la red entre el servidor principal y el secundario está inactiva, el servidor secundario supone queel servidor principal no responde, espera 5 minutos y se activa. Cuando se restablece lacomunicación, el servidor principal omite siempre la configuración del servidor secundario.

• La función de alta disponibilidad funciona en la configuración de infraestructura de clave pública(PKI), pero los certificados del servidor principal y del secundario deben estar firmados por elmismo firmante. No se admiten listas de revocación de certificados (CRL).

• Otros productos de McAfee que utilizan la biblioteca de cliente de Logon Collector 1.0 no sebenefician de esta función; no obstante, pueden continuar funcionando en este escenario.

Desactivación de un clústerPara desactivar un clúster:

Procedimiento

1 En el servidor secundario, seleccione Menu | Configuration | Cluster Configuration (Menú, ConfiguraciónConfiguración de clúster).

2 Desactive la opción Enable clustering (Activar clúster), y haga clic en Save (Guardar).

Se abre la ventana Disable Cluster Task (Desactivar tarea de clúster). Haga clic en Yes (Sí) para continuar.

Figura 6-12 Ventana Disable Cluster Task (Desactivación de tarea de clúster) para servidor secundario

Alta disponibilidad (clústeres)Limitaciones 6


3 Vaya a la ventana Cluster Configuration (Configuración del clúster) del servidor principal.

4 Desactive la casilla de validación Enable clustering (Activar clúster), y haga clic en Save (Guardar).

Se abre la ventana Disable Cluster Task (Desactivar tarea de clúster). Haga clic en Yes (Sí) para continuar.

Figura 6-13 Ventana Disable Cluster Task (Desactivación de tarea de clúster) para servidor principal

Cuando el clúster está desactivado, el servidor secundario quita todas las configuraciones, incluidoslos monitores de inicio de sesión y dominios, y funciona como servidor independiente.

El servidor principal conservará las configuraciones y continuará supervisando losdominios configurados como un servidor independiente.

Véase también Reconfiguración de un clúster en la página 72

Reconfiguración de un clústerEl clúster puede volver a configurarse si la función de los servidores debe invertirse (por ejemplo, siquiere que el servidor secundario actúe como principal y viceversa).

Siga los pasos que se indican a continuación para reconfigurar un clúster:

1 Desactive el clúster.

2 Active el clúster con las nuevas configuraciones de servidor principal y secundario.

6 Alta disponibilidad (clústeres)Reconfiguración de un clúster


7 Actualización bajo demanda de grupos yusuarios

En este capítulo se ofrece información detallada sobre la actualización bajo demanda de grupos yusuarios.

Puede actualizar la nueva información del usuario en cualquier momento. Ello permite al servidor deLogon Collector sincronizar sus datos de usuarios o grupos con el controlador de dominio.

Si el administrador agrega un usuario a un grupo de Active Directory para concederle acceso a unrecurso, puede utilizar la actualización bajo demanda de grupos para actualizar Logon Collector ypermitir, de este modo, el acceso del usuario al recurso, sin necesidad de esperar a que laactualización del grupo tenga lugar en segundo plano.

McAfee recomienda no ejecutar las tareas de actualización de grupos y de usuarios simultáneamente.Ejecute la tarea de actualización de grupos unos 20 minutos antes que la tarea de actualización deusuarios para que la tarea de actualización de grupos tenga tiempo de finalizar.

Las demás opciones que aparecen en la interfaz de usuario Server Tasks (Tareas servidor) y que no seexplican en este capítulo no tienen relación con Logon Collector.

Contenido

MFS Scheduler 2.5 Actualización de grupos bajo demanda Actualización de usuarios bajo demanda Registro de tareas servidor

7


MFS Scheduler 2.5Puede llevar a cabo tareas de actualización bajo demanda de grupos y usuarios si está activado MFSScheduler 2.5. MFS Scheduler 2.5 está activado de forma predeterminada. Vaya a Menu | Software |Extensions (Menú, Software, Extensiones) para ver MFS Scheduler 2.5 en la lista de extensionesinstaladas.

Figura 7-1 MFS Scheduler 2.5

Tanto las actualizaciones de usuarios como las de grupos se implementan mediante MFS Scheduler. Elintervalo de las tareas del planificador se guarda en SQL Server y no en mlc-config.xml. Ningún cambioen los intervalos de dichas tareas se replicará del servidor principal al secundario.

Actualización de grupos bajo demandaSeleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor) para configurar latarea de servidor MLC Refresh Groups (Grupos de actualización de MLC).

Figura 7-2 Opción MLC Refresh Groups (Grupos de actualización de MLC)

Opciones para actualización de gruposEn esta sección se proporcionan los detalles de las diferentes opciones de actualización de grupos.

7 Actualización bajo demanda de grupos y usuariosMFS Scheduler 2.5


Opción 1: Run (Ejecutar)

Antes de empezar

Utilice esta opción para actualizar manualmente la información de los grupos en la base dedatos (IDDS) de Logon Collector mediante la recuperación de la información más recientede los grupos del almacén de datos del controlador de dominio.

Para actualizar manualmente la información de los grupos:

Procedimiento

1 Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Haga clic en laopción Run (Ejecutar) de MLC Refresh Groups (Grupos de actualización de MLC).

2 En MLC Refresh Groups (Grupos de actualización de MLC), haga clic en Run (Ejecutar).

Se abre la página Server Task Log (Registro de tareas servidor). En esta página se ofrecen losresultados de la acción de actualización de los grupos. De forma predeterminada, las entradas delregistro se ordenan por hora, siendo la más reciente la primera.

Figura 7-3 Resultados de la acción de actualización de los grupos

3 Haga clic en la entrada del registro MLC Refresh Group (Grupo de actualización de MLC) para ver losdetalles.

Figura 7-4 Página Server Task Log Information (Información del registro de tareas servidor)

Opción 2: Edit (Editar)

Utilice esta opción para cambiar la configuración del planificador en una tarea.

Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC RefreshGroups (Grupos de actualización de MLC), y haga clic en Edit (Editar).

Actualización bajo demanda de grupos y usuariosActualización de grupos bajo demanda 7


Ficha 1: Description (Descripción)

Procedimiento

1 En la página Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en laficha Description (Descripción):

• Name (Nombre): MLC Refresh Groups (Grupos de actualización de MLC)

• Notes (Notas): Refresh all groups for all directories (Actualizar todos los grupos de todos losdirectorios)

• Schedule status (Estado de planificación): la planificación de la tarea

• Enabled (Activada): para activar la actualización automática

• Disabled (Desactivada): para desactivar la actualización automática

McAfee no recomienda el uso de la acción Disabled (Desactivada).

Figura 7-5 Página Server Task Builder (Generador de tareas servidor)

2 Haga clic en Next (Siguiente). Se abre la ficha Actions (Acciones).


Ficha 2: Actions (Acciones)Esta ficha muestra las acciones que lleva a cabo Logon Collector.

7 Actualización bajo demanda de grupos y usuariosActualización de grupos bajo demanda


Procedimiento

1 En el campo Actions (Acciones), la opción MLC Group Sync (Sincronización de grupos de MLC) estáseleccionada de forma predeterminada.

Figura 7-6 Ficha Actions (Acciones)

2 Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificación).


Ficha 3: Schedule (Planificación)La ficha Schedule (Planificación) permite cambiar la configuración del planificador de la tarea.

Procedimiento

1 En la ficha Schedule (Planificación), introduzca los siguientes detalles:

• Schedule Type (Tipo de planificación): seleccione uno de los siguientes tipos de planificación en lalista desplegable:

• Hourly (Cada hora) • Monthly (Mensualmente)

• Daily (A diario) • Yearly (Anualmente)

• Weekly (Semanalmente) • Advanced (Avanzado)

McAfee recomienda seleccionar la opción Daily (A diario) para Schedule Type (Tipo de planificación).

• Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea.

• End Date (Fecha de finalización): seleccione la fecha en la cual quiere detener la tarea.

McAfee recomienda seleccionar la opción No End Date (Sin fecha de finalización) para que no seconfigure ninguna fecha de finalización para la tarea.



•Schedule (Planificación): haga clic en para agregar un horario planificado nuevo. Haga clic en

para quitar un horario planificado existente.

• At (A las): seleccione la opción At (A las) en la lista desplegable para ejecutar la tarea a unahora específica.

• Between (Entre): seleccione la opción Between (Entre) en la lista desplegable para ejecutarvarias tareas en un intervalo de tiempo específico.

Figura 7-7 Ficha Schedule (Planificación)

McAfee recomienda establecer el horario de planificación de manera que la tarea MLC Group Refresh(Actualización de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh(Actualización de usuarios de MLC).


Ficha 4: Summary (Resumen)

Vaya a la ficha Summary (Resumen) para ver los siguientes detalles:

• Name (Nombre): el nombre de la tarea

• Notes (Notas): las notas relacionadas con la tarea.

• Task Owner (Propietario de la tarea): el propietario de la tarea

• Schedule Status (Estado de planificación): el estado de la tarea planificada

7 Actualización bajo demanda de grupos y usuariosActualización de grupos bajo demanda


• Schedule (Planificación): los detalles sobre la fecha de inicio, fecha de finalización, espacio de tiempoy hora de la siguiente ejecución de la tarea planificada

• Actions (Acciones): las acciones de la tarea planificada, como MLC Group Sync (Sincronización degrupos MLC)

Figura 7-8 Ventana Summary (Resumen)

Haga clic en Save (Guardar).

Opción 3: View (Visualización)

Utilice esta opción para ver la configuración para los grupos de actualización.

Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC RefreshGroups (Grupos de actualización de MLC) y haga clic en View (Ver).



Se abre la página Server Task Details (Detalles de tareas servidor). En esta página se muestran losresultados de la acción de actualización del grupo.

Figura 7-9 Página Server Task Details (Detalles de tarea servidor)

Actualización de usuarios bajo demandaSeleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor) para configurar latarea de servidor MLC Refresh Users (Usuarios de actualización de MLC).

Figura 7-10 Opción MLC Refresh Users (Usuarios de actualización de MLC)

Opciones de la actualización de usuariosEn esta sección se ofrece información detallada sobre las distintas opciones de la actualización deusuarios.

Opción 1: Run (Ejecutar)

Antes de empezar

Utilice esta opción para actualizar manualmente la información de los usuarios en la basede datos de Logon Collector (IDDS) mediante la recuperación de la información másreciente de los usuarios del almacén de datos del controlador de dominio.

7 Actualización bajo demanda de grupos y usuariosActualización de usuarios bajo demanda


Para actualizar manualmente la información de los usuarios:

Procedimiento

1 Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Haga clic en laopción Run (Ejecutar) de MLC Refresh Users (Usuarios de actualización de MLC).

Se abre la página Server Task Log (Registro de tareas servidor). En esta página se ofrecen losresultados de la acción de actualización de los usuarios. De forma predeterminada, las entradas delregistro se ordenan por hora, siendo la más reciente la primera.

Figura 7-11 Resultados de la acción de actualización de los usuarios

2 Haga clic en la entrada de registro MLC Refresh Users (Usuarios de actualización de MLC) para ver losdetalles.

Figura 7-12 Página Server Task Log Information (Información del registro de tareas servidor)

Opción 2: Edit (Editar)

Utilice esta opción para cambiar la configuración del planificador en una tarea.

Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC RefreshUsers (Usuarios de actualización de MLC), y haga clic en Edit (Editar).

Actualización bajo demanda de grupos y usuariosActualización de usuarios bajo demanda 7


Ficha 1: Description (Descripción)

Procedimiento

1 En la página Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en laficha Description (Descripción):

• Name (Nombre): MLC Refresh Users (Usuarios de actualización de MLC)

• Notes (Notas): Refresh all users for all directories (Actualizar todos los usuarios de todos losdirectorios)

• Schedule status (Estado de planificación): la planificación de la tarea

• Enabled (Activada): para activar la actualización automática

• Disabled (Desactivada): para desactivar la actualización automática

McAfee recomienda evitar el uso de la acción Disabled (Desactivada).

Figura 7-13 Página Server Task Builder (Generador de tareas servidor)

2 Haga clic en Next (Siguiente) para ir a la ficha Actions (Acciones).


Ficha 2: Actions (Acciones)Esta ficha muestra las acciones que lleva a cabo Logon Collector.



Procedimiento

1 En el campo Actions (Acciones), la opción MLC User Sync (Sincronización de usuarios de MLC) estáseleccionada de forma predeterminada.

Figura 7-14 Ficha Actions (Acciones)

2 Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificación).


Ficha 3: Schedule (Planificación)La ficha Schedule (Planificación) permite cambiar la configuración del planificador de la tarea.

Procedimiento

1 En la ficha Schedule (Planificación), introduzca los siguientes detalles:

• Schedule Type (Tipo de planificación): seleccione uno de los siguientes tipos de planificación en lalista desplegable:

• Hourly (Cada hora) • Monthly (Mensualmente)

• Daily (A diario) • Yearly (Anualmente)

• Weekly (Semanalmente) • Advanced (Avanzado)

McAfee recomienda seleccionar la opción Daily (A diario) para Schedule Type (Tipo de planificación).

• Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea.

• End Date (Fecha de finalización): seleccione la fecha en la cual quiere detener la tarea.

McAfee recomienda seleccionar la opción No End Date (Sin fecha de finalización) para que no seconfigure ninguna fecha de finalización para la tarea.



•Schedule (Planificación): haga clic en para agregar el horario planificado nuevo. Haga clic en

para quitar el horario planificado existente.

• At (A las): seleccione la opción At (A las) en la lista desplegable para ejecutar la tarea a unahora específica.

• Between (Entre): seleccione la opción Between (Entre) en la lista desplegable para ejecutarvarias tareas en un intervalo de tiempo específico.

Figura 7-15 Ficha Schedule (Planificación)

McAfee recomienda establecer el horario de planificación de manera que la tarea MLC Group Refresh(Actualización de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh(Actualización de usuarios de MLC).


Ficha 4: Summary (Resumen)

Vaya a la página Summary (Resumen) para ver los siguientes detalles:

• Name (Nombre): el nombre de la tarea

• Notes (Notas): las notas relacionadas con la tarea.

• Task Owner (Propietario de la tarea): el propietario de la tarea

• Schedule Status (Estado de planificación): el estado de la tarea planificada



• Schedule (Planificación): los detalles sobre la fecha de inicio, fecha de finalización, espacio de tiempoy hora de la siguiente ejecución de la tarea planificada

• Actions (Acciones): las acciones de la tarea planificada, como MLC User Sync (Sincronización deusuarios MLC)

Figura 7-16 Summary (Resumen)

Haga clic en Save (Guardar).

Opción 3: View (Visualización)

Utilice esta opción para ver la configuración para los usuarios de actualización.

Seleccione Menu | Automation | Server Tasks (Menú, Automatización, Tareas servidor). Seleccione MLC RefreshUsers (Usuarios de actualización de MLC), y haga clic en View (Ver).



Se abre la página Server Task Details (Detalles de tareas servidor). En esta página se muestran losresultados de la acción de actualización del usuario.

Figura 7-17 Página Server Task Details (Detalles de tarea servidor)

Registro de tareas servidorSeleccione Menu | Automation | Server Task Log (Menú, Automatización, Registro de tareas servidor) paraver los resultados de la actualización de grupos y usuarios de ejecuciones anteriores.

Figura 7-18 Página Server Task Log (Registro de tareas servidor)

7 Actualización bajo demanda de grupos y usuariosRegistro de tareas servidor


8 Administración de usuarios

En esta sección se ofrecen los detalles sobre la administración de usuarios para el accesoadministrativo a Logon Collector. Para agregar usuarios a Active Directory, utilice los mecanismos deconfiguración de Active Directory usuales en Windows.

Contenido

Administración de los usuarios Administración de conjuntos de permisos Administración de contactos

Administración de los usuariosPuede agregar usuarios a Logon Collector y especificar el tipo de acceso que tienen al sistema.

Adición o modificación de un usuarioPara agregar o modificar un usuario:

Procedimiento

1 Seleccione Menu | User Management | Users (Menú, Administración de usuarios, Usuarios).

2 Haga clic en New User (Usuario nuevo) para agregar uno, o bien haga clic en Actions | Edit (Acciones,Editar) para modificarlo.

3 Defina el usuario.

a Escriba el nombre del usuario, o cambie el existente.

b Especifique si el usuario puede iniciar sesión.

No puede desactivar el estado de inicio de sesión del último administrador global restante.

c Seleccione un tipo de autenticación.

Si está modificando un usuario, haga clic primero en Change Authentication or Credentials (Cambiarautenticación o credenciales).

• Para la autenticación de Logon Collector, escriba una contraseña y confírmela.

• Para la autenticación de Windows, escriba el nombre de usuario y dominio.

d [Opcional] Proporcione otros detalles para el usuario: nombre completo, dirección de correoelectrónico, número de teléfono y notas.

8


e Asigne un conjunto de permisos.

• Seleccione el administrador global para permitir el acceso completo a Logon Collector.

• Seleccione un conjunto o conjuntos de permisos haciendo clic en ellos.


Véase también Administración de conjuntos de permisos en la página 88

Eliminación de un usuarioPara eliminar un usuario:

Procedimiento

1 Seleccione Menu | User Management | Users (Menú, Administración de usuarios, Usuarios).

2 Seleccione uno o varios usuarios activando la casilla de verificación junto al nombre del contacto.

3 Seleccione Actions | Delete (Acciones, Eliminar).

Administración de conjuntos de permisosUn conjunto de permisos es un grupo de permisos, dividido en secciones, que puede concederse acualquier usuario mediante la asignación a su cuenta de usuario. Pueden asignarse uno o másconjuntos de permisos a cualquier usuario que no sea administrador global. Los administradoresglobales tienen todos los permisos para todas las funciones.

Los conjuntos de permisos sólo conceden permisos; nunca los quitan.

Véase también Inicio de sesión de usuario de Active Directory en la página 47Adición o modificación de un usuario en la página 87Creación de un grupo de consultas en la página 95

Creación de conjuntos de permisosUtilice esta tarea para crear un conjunto de permisos.

Procedimiento

1 Seleccione Menu | User Management | Permission Sets (Menú, Administración de usuarios, Conjuntos depermisos) y haga clic en New Permission Set (Nuevo conjunto de permisos).

2 Escriba el nombre del conjunto de permisos y seleccione los usuarios a los que se asigna el conjunto.


4 Seleccione el nuevo conjunto de permisos en la lista Permission Sets (Conjuntos de permisos).

Los detalles se muestran a la derecha.

5 Haga clic en Edit (Editar) junto a las secciones desde las que desea conceder permisos.

6 En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opcionesadecuadas y haga clic en Save (Guardar).

7 Repita la tarea para todas las secciones que desee del conjunto de permisos.

8 Administración de usuariosAdministración de conjuntos de permisos


Eliminación de conjuntos de permisosEste procedimiento permite eliminar un conjunto de permisos. Si el conjunto de permisos tieneusuarios asignados, dichos usuarios perderán los permisos concedidos.

Es necesario ser administrador global para realizar esta tarea.

Procedimiento

1 Haga clic en Menu | User Management | Permission Sets (Menú, Administración de usuarios, Conjuntos depermisos) y seleccione el conjunto de permisos que desee eliminar en la lista Permission Sets(Conjuntos de permisos).


2 Haga clic en Actions | Delete (Acciones, Eliminar).

El panel Action (Acción) le informa si algún usuario está asignado al conjunto de permisos y le da laoportunidad de cancelar la acción.

3 Haga clic en OK (Aceptar) en el panel Action (Acción).

El conjunto de permisos ya no aparece en la lista Permission Sets (Conjuntos de permisos).

Duplicación de conjuntos de permisosEsta tarea permite duplicar un conjunto de permisos. Al duplicar un conjunto de permisos se crea unacopia en memoria del conjunto de permisos seleccionado, que se puede modificar y guardar con otronombre.

Es necesario ser administrador global para realizar esta tarea.

Procedimiento

1 Seleccione Menu | User Management | Permission Sets (Menú, Administración de usuarios, Conjuntos depermisos) y seleccione el conjunto de permisos que va a editar en la lista Permission Sets (Conjuntosde permisos).


2 Haga clic en Actions | Duplicate (Acciones, Duplicar), escriba un nombre en New name (Nuevo nombre)del panel Actions (Acciones) y, a continuación, haga clic en OK (Aceptar).

3 Seleccione el nuevo duplicado en la lista Permission Sets (Conjuntos de permisos).


4 Haga clic en Edit (Editar) junto a las secciones para las que desea conceder permisos.

5 En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opcionesadecuadas y haga clic en Save (Guardar).

6 Repita el procedimiento para todas las secciones del conjunto de permisos para las que deseaconceder permisos.

Administración de contactosPara que la selección de los destinatarios de los informes y los datos sea más fácil, Logon Collectorproporciona una función Contacts (Contactos) en la que puede definir los nombres y las direcciones decorreo electrónico de los contactos.

Administración de usuariosAdministración de contactos 8


Véase también Definición de criterios de exportación en la página 98

Adición o modificación de un contactoPara agregar o modificar un contacto:

Procedimiento

1 Haga clic en Menu | User Management | Contacts (Menú, Administración de usuarios, Contactos).

2 Haga clic en New contact (Contacto nuevo) para agregar uno, o bien haga clic en Actions | Edit(Acciones, Editar) para modificarlo.

3 Escriba el nombre del usuario, o cambie el existente.

El contacto debe incluir un nombre, y puede seleccionar solo el nombre, solo el apellido, o ambos.

4 Introduzca una dirección de correo electrónico.


Eliminación de un contactoPara eliminar un contacto:

Procedimiento

1 Haga clic en Menu | User Management | Contacts (Menú, Administración de usuarios, Contactos).

2 Seleccione uno o varios usuarios activando la casilla de verificación junto al nombre del contacto.

3 Haga clic en Actions | Delete (Acciones, Eliminar).

8 Administración de usuariosAdministración de contactos


9 Generación de informes

En esta sección se ofrecen detalles sobre el estado del producto para verificar que los componentesfuncionen según lo previsto.

Contenido

Acerca de la ventana Status (Estado) Visualización de usuarios conectados Visualización del registro de auditoría Administración de consultas del registro de auditoría Definición de criterios de filtrado Definición de criterios de exportación Visualización de paneles

Acerca de la ventana Status (Estado)Utilice la ventana Status (Estado) para comprobar si los componentes se están ejecutando según loprevisto. Junto a cada componente se encuentra un indicador de estado circular. En la siguiente tablase describen los componentes y sus estados. En todos los sistemas, un indicador de estado verdeindica que el sistema funciona correctamente.

9


Tabla 9-1 Componentes del sistema

El componentede sistema

Informa sobre El estadoamarillo indica

El estado verdeindica

El estado rojo indica

ID Manager

{iam}

estado general delos sistemas.

uno o variosestados de loscomponentesestán enamarillos.

No aplicable uno o varios estados delos componentes estánen rojo:

• Login AcquisitionManager

• Id ReplicationManager

• Login State Manager

• Id Data Store

Compruebe loscomponentesespecíficos paraidentificar la causa delfallo en el componente.Compruebe loscomponentesespecíficos paraidentificar la causa delfallo en el componente.

LoginAcquisitionManager

lam

estado actual de lasconsultas a loscontroladores dedominio.

uno o variosdominios estánen amarillo o rojo.

No aplicable Todos los dominiosestán en rojo.

ID AcquisitionManager

el estado deIdentitiy Replicationpara los clientes.

estado amarillo. No aplicable Se ha producido unaexcepción.

Se proporciona unbreve mensaje quedescribe la excepción.

Compruebe losregistros de LogonCollector paraidentificar la causa delfallo.

Login StateManager

{lsm}

si Login StateManager se inicializócorrectamente.

sin estadoamarillo.

No aplicable Fallo en la inicialización.


ID Data Store

{idds}

estadísticas sobre elnúmero de objetosalmacenados.

sin estadoamarillo.

No aplicable Fallo en la inicialización.


9 Generación de informesAcerca de la ventana Status (Estado)


Tabla 9-1 Componentes del sistema (continuación)

El componentede sistema

Informa sobre El estadoamarillo indica

El estado verdeindica

El estado rojo indica

ID Resolution

{pnd}

si las consultas deinformación deusuario procedentesde Active Directoryhan entrado enservicio trasdetectarse un iniciode sesión.

hay más de1.000 inicios desesión en la colapendiente, a laespera de que seresuelva lainformación deusuario.

No aplicable Sin estado rojo.

Logon Flow

{logons}

el número de iniciosde sesióndetectados en elúltimo minuto.

no se handetectado iniciosde sesión durantela última hora.

No aplicable No se han detectadoinicios de sesióndurante las últimasdoce horas.

Cluster Manager{cluster}

el estado del clústery los mensajesintercambiadosentre los miembrosdel clúster.

No aplicable el administradordel clústerfuncionacorrectamente.

La comunicación entrelos miembros delclúster está inactiva, obien uno de losmiembros del clústerno está disponible.

Véase también Visualización de paneles en la página 99

Visualización de usuarios conectadosLogon Collector proporciona un informe de las direcciones IP que está utilizando un usuario.

Para ver quién está actualmente conectado y con qué dirección IP:

Procedimiento

1 Seleccione Menu | Reporting | Logon Report (Menú, Generación de informes, Informe de inicio de sesión).

2 [Opcional] Para buscar una dirección IP o nombre de usuario determinado, escriba el valor en elcampo Quick find (Búsqueda rápida) y haga clic en Apply (Aplicar).

3 [Opcional] Configure la presentación de las columnas:

a Haga clic en Actions | Choose Columns (Acciones, Elegir columnas).

b Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna.

c Quite una columna haciendo clic en el botón X.

Restablezca los cambios haciendo clic en Use Default (Usar predeterminados).

Procedimientos

• Exportación de informes de usuarios que han iniciado sesión en la página 93

Exportación de informes de usuarios que han iniciado sesión

Antes de empezar

Puede guardar informes de usuarios que han iniciado sesión y enviarles un mensaje decorreo electrónico.

Generación de informesVisualización de usuarios conectados 9


Para enviar un informe por correo electrónico a los usuarios que han iniciado sesión:

Procedimiento

1 Seleccione Menu | Reporting | Logon Report (Menú, Generación de informes, Informe de inicio de sesión).

2 Especifique el contenido del informe mediante la aplicación de los filtros pertinentes.

3 Seleccione Actions | Export Table (Acciones, Exportar tabla).

Visualización del registro de auditoría

Antes de empezar

Logon Collector ofrece un informe del registro de auditoría que enumera los cambioshechos en la configuración del servidor.

Para ver el registro de auditoría:

Procedimiento

1 Seleccione Menu | User Management | Audit Log (Menú, Administración de usuarios, Registro de auditoría).

2 [Opcional] Defina un filtro avanzado.

3 [Opcional] Seleccione un filtro predefinido en la lista desplegable.

4 [Opcional] Haga clic en una entrada del registro de auditoría para ver la información de una solafila mostrada como filas en lugar de columnas.

5 [Opcional] Configure la presentación de las columnas:

a Haga clic en Actions | Choose Columns (Acciones, Elegir columnas).

b Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna.

c Quite una columna haciendo clic en el botón X.

Restablezca los cambios haciendo clic en Use Default (Usar predeterminados).

Procedimientos

• Exportación del registro de auditoría en la página 94

Véase también Definición de criterios de filtrado en la página 98

Exportación del registro de auditoríaPuede guardar vistas específicas del registro de auditoría y enviarlas por correo electrónico.

Para enviar por correo electrónico un registro de auditoría:

Procedimiento

1 Seleccione Menu | User Management | Audit Log (Menú, Administración de usuarios, Registro de auditoría).

2 Especifique el contenido mediante la aplicación de los filtros pertinentes.

3 Seleccione Actions | Export Table (Acciones, Exportar tabla).

9 Generación de informesVisualización del registro de auditoría


Véase también Servidor de correo electrónico en la página 48Definición de criterios de filtrado en la página 98Definición de criterios de exportación en la página 98

Administración de consultas del registro de auditoríaLas consultas del registro de auditoría permiten recuperar vistas específicas del registro de auditoríaen lugar de la vista más sencilla que hay disponible. Las consultas en los registros de auditoría seagrupan por grupos privados y compartidos.

Creación de un grupo de consultas

Procedimiento

1 Seleccione Menu | Reporting | Queries (Menú, Generación de informes, Consultas).

2 Seleccione Group Actions | New Group (Acciones de grupos, Nuevo grupo).

3 Escriba un nombre para identificar el grupo.

4 Especifique la visibilidad del grupo.

• Grupo privado: aparece en My Groups (Mis grupos)

• Grupo público: aparece en Shared Groups (Grupos compartidos).

• Por conjunto de permisos: aparece en Shared Groups (Grupos compartidos) pero solo esaccesible para quienes tengan asignados los conjuntos de permisos seleccionados.

Véase también Administración de conjuntos de permisos en la página 88

Eliminación de un grupo de consultas

Procedimiento

1 Haga clic en el nombre de un grupo.

2 Seleccione Group Actions | Delete Group (Acciones de grupo, Eliminar grupo).

3 Haga clic en OK (Aceptar) para confirmar la eliminación.

Edición de un grupo de consultas

Procedimiento

1 Haga clic en el nombre de un grupo.

2 Seleccione Group Actions | Edit Group (Acciones de grupos, Editar grupo).

3 Cambie el nombre del grupo y, si lo desea, la visibilidad del grupo.


Generación de informesAdministración de consultas del registro de auditoría 9


Creación de consultas de registro de auditoríaPara crear una consulta de registro de auditoría:

Procedimiento


2 Haga clic en New Query (Consulta nueva) y ,a continuación, en Next (Siguiente) para iniciar elasistente de consultas.

3 Defina el tipo de gráfico.

a Seleccione el tipo de gráfico haciendo clic en él.

b Configure el gráfico.

Las opciones disponibles diferirán en función del tipo de gráfico seleccionado.

c Haga clic en Next (Siguiente) para avanzar por el asistente.

4 Configure la presentación de las columnas.

a Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna.

b Quite una columna haciendo clic en el botón X.

c Haga clic en Next (Siguiente) para avanzar por el asistente.

5 [Opcional] Configure filtros.

6 Haga clic en Run (Ejecutar).

Se ejecuta la consulta y se muestran los resultados.

7 [Opcional] Haga clic en Edit Query (Editar consulta) para ajustar los criterios.

8 Cuando considere que el informe está listo, haga clic en Save (Guardar).

9 Termine de configurar la consulta:

a Escriba un nombre para identificar la consulta.

b [Opcional] Introduzca notas que describan la consulta.

c Asigne la consulta a un grupo de consultas.

Defina un grupo nuevo o seleccione uno de la lista de los ya existentes.


La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campode texto Quick find (Búsqueda rápida).

Importación de consultas de registro de auditoría

Antes de empezar

Puede guardar las consultas de registro de auditoría fuera de Logon Collector comoarchivos e importarlas después en Logon Collector.

9 Generación de informesAdministración de consultas del registro de auditoría


Para importar una consulta como archivo:

Procedimiento


2 Haga clic en Actions | Import Query (Acciones, Importar consulta).

3 Haga clic en Browse (Examinar) para acceder al archivo que contiene su consulta de registro deauditoría.

4 Asigne la consulta a un grupo de consultas.

Defina un grupo nuevo o seleccione uno de la lista de los ya existentes.


La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campode texto Quick find (Búsqueda rápida).

Acciones de consulta

Antes de empezar

Para aplicar Actions (Acciones) a las consultas:

Procedimiento

1 Active la casilla de verificación junto a la consulta deseada o haga clic en la casilla de verificaciónQueries (Consultas) en la parte superior para aplicar una acción a todas las consultas.

2 Seleccione una acción de la lista

Seleccione esta acción Para hacer esto

Delete (Eliminar) Elimina las consultas seleccionadas.

Duplicate (Duplicar) Solo para consultas simples, cree un duplicado de la consultaseleccionada.

En la ventana Duplicate (Duplicar), escriba un nombre nuevo para laconsulta y asigne la copia de la consulta a un grupo de consultas.

Edit (Editar) Solo para consultas simples, le permite modificar las propiedadesque afectan a los resultados de la consulta seleccionada.

Export Data (Exportardatos)

Exporte los resultados de las consultas seleccionadas como datosadjuntos de correo electrónico.

Export Query Definition(Exportar definición deconsulta)

Solo para consultas simples, exporte la definición de consulta comoun archivo XML.

En la ventana Opening query (Abrir consulta) especifique si desea abrirel archivo con una aplicación XML o guardarlo.

El archivo se guarda de acuerdo con la ruta de acceso definida parael navegador web.

Import Query (Importarconsulta)

Importe una consulta almacenada como un archivo.

Move to Different Group(Mover a otro grupo)

Mueva las consultas seleccionadas a un grupo distinto.

New Query (Nuevaconsulta)

Cree una consulta nueva.

Generación de informesAdministración de consultas del registro de auditoría 9


Seleccione esta acción Para hacer esto

Run (Ejecutar) Ejecute la consulta y vea los resultados.

View Query SQL (Vercódigo SQL de la consulta)

Solo para consultas simples, consulte la consulta seleccionada comouna sentencia SQL.

Procedimientos

• Importación de consultas de registro de auditoría en la página 96

• Creación de consultas de registro de auditoría en la página 96

Véase también Definición de criterios de exportación en la página 98

Definición de criterios de filtradoLos criterios de filtrado están disponibles cuando selecciona:

• El tipo de gráfico de sectores booleano

• Next (Siguiente) después del paso 3 del asistente de consultas.

• El filtro avanzado para el registro de auditoría

Las propiedades disponibles son: Action (Acción), Completion Time (Hora de finalización), Details (Detalles),Priority (Prioridad), Start Time (Hora de inicio), Success (Correcto) y User Name (Nombre de usuario).

Para administrar los criterios del filtro:

Procedimiento

1 Haga clic en la flecha derecha de la columna Available Properties (Propiedades disponibles) para activaresa propiedad.

2 [Opcional] Haga clic en el signo más al final de la fila Property (Propiedades) para crear un elementode comparación adicional.

3 De forma predeterminada, cualquier elemento adicional se evalúa con un operador "OR". Haga clicen and (y) en la casilla and/or (y/o) para cambiar este valor.

4 [Opcional] Haga clic en la flecha izquierda junto a la Property (Propiedades) para dejar de tenerla enconsideración.

5 Haga clic en OK (Aceptar) o Update Filter (Actualizar filtro) en función del modo en que haya llegado alos criterios de filtrado.

Véase también Visualización del registro de auditoría en la página 94Exportación del registro de auditoría en la página 94

Definición de criterios de exportaciónCuando decide exportar datos o una tabla, debe definir el formato del archivo exportado.

9 Generación de informesDefinición de criterios de filtrado


Procedimiento

1 Seleccione una acción de exportación:

• Para una consulta, seleccione Export Data (Exportar datos):

• Para un informe de inicios de sesión o un registro de auditoría, seleccione Export Table (Exportartabla).

2 Revise la información que se va a exportar.

• Para las consultas, se presenta una lista de las consultas.

• Para el informe de inicios de sesión, se muestran un identificador exclusivo y el número deelementos de datos.

3 [Opcional] Seleccione Zip the output files (Comprimir los archivos de salida) para comprimir el informe.

4 Seleccione un formato de archivo CSV, XML, HTML o PDF.

En el caso de PDF, especifique también un tamaño y orientación de página y, si lo desea, seleccionemostrar criterios de filtro. Puede además especificar el texto de la portada.

5 Configure el correo electrónico.

Debe tener ya un servidor de correo electrónico configurado.

a Especifique los destinatarios escribiéndolos o seleccionándolos del cuadro de diálogo.

b Escriba una línea de asunto.

c Agregue el texto para el cuerpo del mensaje de correo electrónico.

6 Haga clic en Export (Exportar).

Véase también Exportación del registro de auditoría en la página 94Acciones de consulta en la página 97Servidor de correo electrónico en la página 48Administración de contactos en la página 89

Visualización de panelesLa opción de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0.

Véase también Acerca de la ventana Status (Estado) en la página 91

Generación de informesVisualización de paneles 9


9 Generación de informesVisualización de paneles


10 Integración con otros productos deMcAfee®

En este capítulo se describe la integración de McAfee® Logon Collector con otros productos de McAfee®.

Contenido

Integración con McAfee® Firewall Enterprise Integración con McAfee® Firewall Enterprise Control Center Integración con McAfee® Network Security Manager Integración con McAfee® Data Loss Prevention

Integración con McAfee® Firewall EnterprisePuede utilizar Passive Passport en McAfee® Firewall Enterprise para permitir que los usuarioscoincidentes se conecten sin necesidad de autenticarse.

Si su organización utiliza Microsoft Active Directory, cada usuario se define como un objeto de ActiveDirectory. El firewall supervisa el estado de autenticación, asociación de grupo y dirección IP actual decada usuario comunicándose con el software de McAfee® Logon Collector que está instalado en unservidor Windows. Los usuarios se autentican mediante el servidor de Active Directory. De este modo,el firewall no solicita su autenticación.

Requisitos de integraciónEn la siguiente lista constan los detalles de los requisitos de integración:


• Versión de Firewall Enterprise: 8.0 o posterior

Validación de identidad pasivaPuede utilizar Passive Passport para permitir que los usuarios coincidentes se conecten sin necesidadde autenticarse.

Para utilizar Passive Passport deben realizarse las siguientes tareas de alto nivel:

Procedimiento

1 Defina los usuarios en un servidor de Active Directory.

2 Instale Logon Collector en un servidor Windows. Puede optar por omitir este paso si ya tieneinstalado Logon Collector.

10


3 En la ventana Firewall Enterprise Passport, active Passive Passport y configure la conexión entre FirewallEnterprise y Logon Collector.

4 En la ventana Rule Properties (Propiedades de reglas) para las reglas de control de acceso o reglasSSL, permita las conexiones para usuarios y grupos seleccionados en función de los criteriosorganizativos.

Véase también Instalación deLogon Collector en la página 13

Configuración de Passive PassportPara configurar Passive Passport mediante Admin Console (Consola de administración):

Procedimiento

1 Seleccione Policy (Directiva) | Rule Elements (Elementos de regla) | Passport. Aparece la ficha General de laventana Passport.

Para obtener la descripción de cada opción, haga clic en Help (Ayuda).

2 Seleccione Passive (MLC) (Pasivo (MLC)).

3 Agregue el certificado MFE_Communication_Cert. Lleve a cabo los siguientes pasos en LogonCollector:

a Haga clic en Menu (Menú) | Configuration (Configuración) | Trusted CAs (CAs de confianza).

b Haga clic en New Authority (Nueva autoridad) para agregar un certificado nuevo.

Aparece la ventana New Trusted Authority (Nueva autoridad de confianza).

c Seleccione Import From File (Importar desde archivo).

d Haga clic en Browse (Examinar).

Aparece la ventana Choose File to Upload (Elegir archivos para cargar).

e Localice la ubicación del certificado, selecciónelo y haga clic en Open (Abrir).

El nombre del certificado aparece en el campo Certificate (Certificado).

f Guarde los cambios.

El certificado aparece en la lista de autoridades de confianza de Logon Collector.

4 Vuelva a la ventana Admin Console (Consola de administración).

5 Configure la conexión entre el firewall y Logon Collector.

• IP address (Dirección IP): escriba la dirección del servidor en el que está instalado Logon Collector.

• Certificate (Certificado): el certificado MFE_Communication_Cert se selecciona de formapredeterminada para identificar el firewall en Logon Collector. Si lo desea, puede seleccionar suspropios certificados.

Si cambia el certificado en el firewall, tendrá que volver a Logon Collector y asegurarse deseleccionar ese mismo certificado. Si no lo hace, Logon Collector no se conectará con FirewallEnterprise.

Haga clic en Test MLC Connection (Probar conexión con MLC) para verificar la conectividad con LogonCollector.

10 Integración con otros productos de McAfee®

Integración con McAfee® Firewall Enterprise


6 Haga clic en la ficha Advanced (Avanzada).

7 Seleccione la autoridad de certificación (CA, Certification Authority) que debe utilizarse para validarLogon Collector:

• Para utilizar el certificado con firma automática predeterminado de Logon Collector, haga clic enRetrieve MLC Root Cert (Recuperar certificado raíz de MLC).

• Para utilizar una CA definida con anterioridad, selecciónela en la lista desplegable Cert Authority(Autoridad de certificación).

8 En el campo y la lista desplegable User cache timeout (Tiempo de espera de caché de usuario), definael tiempo que los usuarios y los grupos se almacenan en caché en el firewall si no están conectadosa Logon Collector.

9 Guarde los cambios.

Integración con McAfee® Firewall Enterprise Control CenterSi se integra con McAfee® Firewall Enterprise Control Center, Logon Collector realiza sondeos de loscontroladores de dominio de Active Directory para obtener las características de los usuarios y envíaesta información a uno de los dispositivos o a ambos a fin de poner en correlación el tráfico de la red yel comportamiento de los usuarios. Además, para minimizar la carga que suponen las consultas delregistro de eventos de seguridad (mediante WMI) para el controlador de dominio, Logon Collector oLogon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivosMcAfee que requieren información del registro de eventos de seguridad.

Véase también Administración de la comunicación con Logon Collector en la página 103Configuración de la comunicación con Logon Collector en la página 104



• Versión de Firewall Enterprise Control Center: 5.0 o posterior

Administración de la comunicación con Logon CollectorPara mostrar los usuarios de Logon Collector, los grupos de usuarios de Logon Collector y las listas dedistribución de Logon Collector que después puede seleccionar para la lista de usuarios y grupos deusuarios de la ventana Access Control Rule Editor (Acceder al editor de reglas de control), es necesariohaber establecido previamente comunicación con un servidor de Logon Collector.

Puede administrar los objetos de configuración de conexión en la ventana Logon Collector ConnectionSettings (Configuración de conexión de Logon Collector).

Procedimiento1 En la barra de navegación, seleccione Control Center.

2 Haga clic en la ficha Logon Collector Connection Settings (Configuración de conexión de Logon Collector).Aparece la ventana Logon Collector Connection Settings (Configuración de conexión de Logon Collector).

3 Haga clic en estos botones de la barra de herramientas para llevar a cabo las siguientes accionesen dicha ventana:

Integración con otros productos de McAfee®

Integración con McAfee® Firewall Enterprise Control Center 10


• Add (Agregar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor deconfiguraciones de conexión de Logon Collector) en la que puede crear un objeto deconfiguración de conexión de Logon Collector nuevo.

• Edit (Editar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor deconfiguraciones de conexión de Logon Collector) en la que puede editar un objeto deconfiguración de conexión de Logon Collector existente.

• Delete (Eliminar): al hacer clic, se elimina el objeto o los objetos de configuración de conexiónde Logon Collector seleccionados en la tabla de esta ventana.

Configuración de la comunicación con Logon CollectorPuede crear objetos de configuración de conexión para guardar la configuración de comunicación conun servidor de Logon Collector en la ventana Logon Collector Connection Settings Editor (Editor deconfiguraciones de conexión de Logon Collector).

Procedimiento

1 En la barra de navegación, seleccione Control Center.

2 Haga clic en la ficha Logon Collector Connection Settings (Configuración de conexión de Logon Collector).

Aparece la ventana Logon Collector Connection Settings (Configuración de conexión de LogonCollector).

3 Configure los campos de dicha ventana según sea necesario.

Si desea ver las descripciones de las opciones, pulse F1.

4 Haga clic en OK (Aceptar) para guardar el objeto.

Ahora puede utilizar este objeto para configurar la autenticación pasiva.

Configuración de la autenticación pasivaPara configurar la autenticación pasiva en Control Center, deben llevarse a cabo los siguientes pasosde alto nivel con el orden que se indica, a fin de poder utilizar una comunicación correcta entre LogonCollector yControl Center para obtener acceso a usuarios, grupos y listas de distribución en el servidorde Logon Collector.

Configuración del certificado remotoPara esta configuración de autenticación pasiva, el servidor Logon Collector utiliza el certificado remoto.

Este procedimiento tiene lugar en la aplicación cliente de Control Center. Sin embargo, también debehaber iniciado sesión en el dominio compartido.

Utilice la ventana Remote Certificates (Certificados remotos) para crear el certificado remoto y exportarlode forma local a su equipo.


Integración con McAfee® Firewall Enterprise Control Center


Procedimiento

1 Realice una de las siguientes opciones:

• Si ha iniciado sesión en el dominio compartido, vaya al paso 2.

• Si ya ha configurado los dominios de configuración, en el campo Domain (Dominio), seleccioneShared (Compartido) y vaya al paso 2.

• Configure el dominio compartido. Debe crear un dominio nuevo para que el dominio compartidoquede disponible.

a En la barra de navegación, seleccione Control Center.

b En el árbol de Control Center, haga doble clic en Configuration Domains (Dominios de configuración).

Aparece la ventana Configuration Domain (Dominio de configuración).

c En el campo Name (Nombre), especifique un nombre exclusivo para este dominio deconfiguración. El campo Description (Descripción) es opcional.

d Haga clic en OK (Aceptar). Aparece un mensaje de confirmación, preguntándole si desea continuar.

e Haga clic en Yes (Sí).

Aparece un mensaje de aviso, notificándole que deben asignarse privilegios y funciones de iniciode sesión a otros usuarios para este dominio nuevo.

f Haga clic en Close (Cerrar).

Aparece otro mensaje de aviso, indicando que ahora existen dominios de configuración activos yque debe reiniciar la aplicación cliente.

g Haga clic en OK (Aceptar).

Se cierra la aplicación cliente.

h Vuelva a iniciar una sesión. En la ventana de inicio de sesión, escriba su contraseña y, acontinuación, seleccione Shared (Compartido) en el campo Domain (Dominio). Acto seguido, hagaclic en Connect (Conectar).

Aparece la aplicación cliente de Control Center.

2 Puede crear un certificado o importar uno existente.

• Para importar un certificado, vaya a Import an existing certificate (Importar un certificado existente).Complete esta tarea y regrese al paso 3.

• Para crear un certificado, continúe con los pasos siguientes.

a En la barra de navegación, seleccione Policy (Directiva).

b Haga clic en la ficha Remote Certificates (Certificados remotos).

Se abrirá la ventana Remote Certificates (Certificados remotos).

c Haga clic en Add Certificate (Agregar certificado).

Aparece el asistente Certificate Request (Solicitud de certificado).

d Seleccione Create a new certificate (Crear un certificado nuevo) y haga clic Next (Siguiente).

e En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificadoy haga clic en Next (Siguiente).




f En el campo Common Name (Nombre común), escriba un nombre común y seleccione un país en elcampo Country (País).

g Rellene el resto de la ventana según sea necesario y haga clic en Next (Siguiente).

h [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4o IPv6 y haga clic en Next (Siguiente).

i Seleccione un algoritmo de cifrado de clave pública y el tamaño de la clave, y haga clic en Next(Siguiente).

j En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y hagaclic en Next (Siguiente).

k Revise las selecciones que haya realizado.

• Si está de acuerdo con ellas, haga clic en Next (Siguiente).

• Si no es así, haga clic en Back (Atrás) hasta llegar a la ventana que contiene la informaciónque desea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese aesta ventana.

l Haga clic en Finish (Finalizar). El certificado se ha importado correctamente.

Debería verlo en la ventana Remote Certificates (Certificados remotos).

3 Para exportar el certificado desde Control Center:

a Seleccione el certificado que acaba de importar en la ventana Remote Certificates (Certificadosremotos) y haga clic en Export Certificate (Exportar certificado).

Aparece el asistente Export Certificate (Exportar certificado).

b Haga clic en Next (Siguiente).

Acepte la selección predeterminada de Export Certificate (Exportar certificado).

c Haga clic en Browse (Examinar) y especifique el nombre y un destino del archivo de certificado yhaga clic en Save (Guardar).

La ruta de acceso y el nombre del archivo se muestran ahora en el campo del asistente.

d Haga clic en Next (Siguiente), y de nuevo en Next (Siguiente) para confirmar el nombre yubicación del archivo.

e Haga clic en Finish (Finalizar).

El certificado se ha exportado. En el campo Status (Estado) de la ventana Remote Certificates(Certificados remotos), debería ver ahora Completed: Self Signed (Completado: autofirmado).

Ahora ya puede importar el certificado remoto a Logon Collector.

Procedimientos

• Importación de un certificado existente en la página 106

Importación de un certificado existenteUtilice esta tarea para importar un certificado ya existente a la lista desplegable Certificate(Certificado) de la ventana Logon Collector Connection Settings Editor (Editor de configuraciones deconexión de Logon Collector) mientras crea un objeto de configuración de conexiones de LogonCollector.




Utilice este procedimiento solo cuando tenga certificados ya existentes para importar a la listadesplegable Certificate (Certificado).

Procedimiento

1 En la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexión de LogonCollector), haga clic en Add (Agregar) a la derecha del campo Certificate (Certificado).

Aparece la ventana Certificate Request (Solicitud de certificado).

2 Seleccione Import an existing certificate (Importar un certificado existente) y haga clic en Next (Siguiente).

3 En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificado yhaga clic en Next (Siguiente).

4 En el campo Import Mechanism (Mecanismo de importación), acepte el valor predeterminado(Encrypted File (PKCS12)) (Archivo cifrado (PKCS12)) y haga clic en Next (Siguiente).

5 Configure la ubicación del certificado y la contraseña necesaria para descifrarlo.

a Haga clic en Browse (Examinar) para ir a la ubicación del certificado. Haga doble clic en él.

A continuación, aparece en el campo Certificate (Certificado).

b Especifique la contraseña en los campos Password (Contraseña) y Confirm Password (Confirmarcontraseña), y haga clic en Next (Siguiente). Aparece un mensaje de confirmación en la últimaventana.

c Haga clic en Finish (Finalizar).

Ahora, el nombre del certificado que acaba de importar aparece en el campo Certificate(Certificado) de la ventana Logon Collector Connection Settings Editor (Editor de configuraciones deconexión de Logon Collector).

6 En el campo Common Name (Nombre común), escriba un nombre común y seleccione un país en elcampo Country (País). Rellene el resto de la ventana según sea necesario y haga clic en Next (Siguiente).

7 [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4 oIPv6. Haga clic en Next (Siguiente).

8 Seleccione un algoritmo de cifrado de clave pública y el tamaño de la clave, y haga clic en Next(Siguiente).

9 En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y haga clicen Next (Siguiente).

10 Revise las selecciones que haya realizado.

Si está de acuerdo con ellas, haga clic en Next (Siguiente).

Si no es así, haga clic en Back (Atrás) hasta llegar a la ventana que contiene la información quedesea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese a esta ventana.

11 Haga clic en Finish (Finalizar).

El certificado que acaba de crear aparece ahora en el campo Certificate (Certificado) de la ventana MLCConnection Settings Editor (Editor de configuraciones de conexión de MLC).

Importación del certificado remoto al servidor de Logon CollectorEl servidor de Logon Collector debe poder acceder al certificado remoto a fin de poder importarlo. Coneste procedimiento se importa el certificado remoto al servidor de Logon Collector.




Este procedimiento tiene lugar en la interfaz web de Logon Collector.

Utilice el área Certificates (Certificados) de la ventana Firewall para importar el certificado remoto alservidor de Logon Collector.

Procedimiento

1 Inicie sesión en Logon Collector.

2 En la barra de navegación, haga clic en Menu (Menú). A continuación, haga clic en Configuration(Configuración) | Trusted CAs (CAs de confianza).

Aparece la ventana Trusted Authorities (Autoridades de confianza).

3 En la esquina inferior izquierda, haga clic en New Authority (Nueva autoridad).

Aparece la ventana New Trusted Authority (Nueva autoridad de confianza).

4 Haga clic en Browse (Examinar).

5 Vaya al destino del archivo de certificado que ha exportado en Configuración del certificado remotoy seleccione el archivo de certificado.

La ruta de acceso y el nombre del archivo se agregan al campo Certificate (Certificado).

6 Haga clic en Save (Guardar). El nombre común del certificado aparece en la lista Trusted Authorities(Autoridades de confianza).

Configuración del servidor de Logon Collector en Control CenterEl servidor de Logon Collector y Control Center deben poder comunicarse entre sí para que los datosde Active Directory estén accesibles en la aplicación cliente de Control Center. Este procedimientotiene lugar en la aplicación cliente de Control Center.

Utilice la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexión de LogonCollector) para configurar el objeto del servidor de Logon Collector en Control Center.

Procedimiento

1 Inicie sesión en la aplicación Control Center Client (Cliente de Control Center).

2 Si se encuentra en el dominio compartido, en el campo Domain (Dominio), cambie al dominio en elque utilizará los datos de Logon Collector. Aparece un mensaje de verificación. Haga clic en OK(Aceptar).

o

Si no ha activado dominios de configuración, vaya al siguiente paso.

3 En la barra de navegación, seleccione Control Center.

4 Haga clic en la ficha Logon Collector Connection Settings (Configuración de conexión de Logon Collector).

Aparece la ventana Logon Collector Connection Settings (Configuración de conexión de Logon Collector).

5 Haga clic en Add (Agregar).

Aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexión deLogon Collector).




6 Configure el objeto de configuración de conexiones de Logon Collector.

a En el campo IP address (Dirección IP), especifique la dirección IP del servidor de Logon Collector.

b En la lista desplegable Certificate (Certificado), seleccione el certificado de Control Center que haimportado al servidor de Logon Collector.

El nombre de este certificado es el que ha especificado en el campo Unique Name (Nombreúnico) del Certificate Request Wizard (Asistente para solicitud de certificados).

c Haga clic en Retrieve MLC Root Certificate (Recuperar certificado raíz de MLC).

Anote el nombre de este certificado. (Lo necesitará más adelante en la ventana Firewall). Si serecupera correctamente, aparece un mensaje de confirmación.

d Haga clic en OK (Aceptar).

El certificado del servidor de Logon Collector aparece automáticamente en el campo CA certificate(Certificado de CA).

e En la lista List of Configuration Domains (Lista de dominios de configuración), seleccione uno omás dominios.

Aunque solo se puede configurar un servidor de Logon Collector por cada dominio deconfiguración, en este campo se especifican los dominios de configuración que pueden utilizareste objeto de configuración de Logon Collector. Por lo tanto, puede seleccionar varios dominios.

f Haga clic en Test MLC connection (Probar conexión con MLC).

Si la conexión es correcta, aparece un mensaje de confirmación.

g Haga clic en OK (Aceptar) en el mensaje de confirmación y haga clic en OK (Aceptar) paraguardar el objeto de configuración de conexiones de Logon Collector.

Ahora, el objeto nuevo figura en la lista de la ventana Logon Collector Settings (Configuración de LogonCollector).

Integración con McAfee® Network Security ManagerMcAfee® Network Security Manager es una interfaz de usuario basada en el navegador que se utilizapara ver, configurar y administrar los despliegues de dispositivos de McAfee® Network Security Sensor.

Junto con Sensor y Manager, McAfee® Network Security Platform ofrece una detección total deintrusiones en la red y puede bloquear o evitar ataques en tiempo real, convirtiéndolo en un verdaderosistema de prevención de intrusiones (IPS). Se basa en la detección y prevención precisa de lasintrusiones, ataques de denegación de servicio (DoS), ataques de denegación de servicios distribuidos(DDoS) y uso inapropiado de la red.

Manager puede mostrar gran variedad de información sobre los visitantes de dentro y fuera de la red.

Logon Collector se integra con Manager para mostrar los nombres de los usuarios de los hosts en susdespliegues de IPS y NTBA. Logon Collector proporciona un método fuera de banda para obtener losnombres de usuario desde Active Directory.

VentajasEsta integración ayuda a proporcionar la información sobre los usuarios de origen y destino sinninguna dependencia del módulo NAC. Es de utilidad en escenarios donde no pueden desplegarsesensores NAC.


Integración con McAfee® Network Security Manager 10


Términos importantesEn esta sección se describen los términos importantes asociados a esta integración.

Identity Acquisition Agent (IAA)Identity Acquisition Agent (IAA) se implementa en el lado de Network Security Platform y sirve deinterfaz de escucha del servicio de mensajería en el que el servidor de Logon Collector publica lasactualizaciones.

McAfee® Network Security Manager MLC ListenerMcAfee® Network Security Manager MLC Listener es el sistema de escucha registrado que recibe conregularidad actualizaciones nuevas de Logon Collector a través de IAA.



• Versión de McAfee® Network Security Manager: 6.1.5.5

Funcionamiento de la integración entre Logon Collector yMcAfee® Network Security ManagerLos monitores Logon Monitor de Logon Collector pueden utilizarse para detectar controladores dedominio cercanos y reenviar la información recopilada a Logon Collector, reduciendo así la distanciaque debe recorrer la comunicación del controlador de dominio.

Identity Acquisition Agent (IAA) se implementa en el lado de McAfee® Network Security Manager ysirve de interfaz de escucha del servicio de mensajería en el que el servidor de Logon Collector publicalas actualizaciones. IAA escucha el servicio Active Message Queue (MQ) de Logon Collector y recibecon regularidad nuevas actualizaciones desde el servidor de Logon Collector.

Junto con IAA se registra un agente de escucha para recibir las actualizaciones. Este agente deescucha registrado recibe regularmente nuevas actualizaciones desde Logon Collector a través de IAA.

Todos los datos de enlaces de IP con usuario se cargan en una nueva caché de McAfee® NetworkSecurity Manager por primera vez. La caché se actualiza posteriormente con las diferencias en lasactualizaciones posteriores. Como el resto de componentes de McAfee® Network Security Managerpueden consultar la caché de McAfee® Network Security Manager, no es necesario comunicar con elservidor de Logon Collector cada vez que se produce una actualización.

McAfee® Network Security Manager y Logon Collector pueden coexistir en el mismo servidor. Sinembargo, McAfee no recomienda esta coexistencia ya que puede obstaculizar el rendimiento en funcióndel flujo de tráfico.

No es necesaria una frase de contraseña especial ni clave de licencia para instalar el software de LogonCollector.

Detalles de configuración para la integración de Logon CollectorEn esta sección se proporcionan los detalles de configuración para la integración entre McAfee®

Network Security Manager y el servidor de Logon Collector.


Integración con McAfee® Network Security Manager


Configuración de la integración en el nivel de dominio del administradorPuede activar la integración entre McAfee® Network Security Manager y el servidor de Logon Collectoren el nivel de dominio del administrador.

Procedimiento

1 En Resource Tree (Árbol de recursos), seleccione My Company | Integration | Logon Collector | Enable (Miempresa, Integración, Logon Collector, Activar).

2 En la sección Enable (Activar), seleccione Enable MLC Integration (Activar integración de MLC).

3 Escriba la dirección IP del servidor de Logon Collector en la opción Server Name or IP Address (Nombrede servidor o dirección IP).

4 El valor de Server Port (Puerto del servidor) se agrega de forma predeterminada.

El número de puerto predeterminado es el 61641.

No se recomienda cambiar el número de puerto predeterminado.

Figura 10-1 Activación de la integración de Logon Collector

Establecimiento de la confianza entre McAfee® Network Security Manager yel servidor de Logon CollectorLogon Collector se comunica con McAfee® Network Security Manager mediante una autenticación SSLen dos direcciones. Esto requiere el intercambio de certificados entre McAfee® Network SecurityManager y el servidor de Logon Collector.

Exportación del certificado de McAfee® Network Security ManagerPara exportar el certificado de McAfee® Network Security Manager:

Procedimiento

1 Seleccione My Company | Integration | Logon Collector | Enable (Mi empresa, Integración, Activar LogonCollector).

2 En la sección Export Certificate (Exportar certificado), seleccione Export to file (Exportar a archivo) en laopción Export Manager Certificate (Exportar certificado de administrador).

Se abre una ventana emergente.

3 Haga clic en Save (Guardar) para guardar el archivo en su directorio local.

4 Haga clic en Open MLC Console (Abrir consola MLC).




5 Introduzca el nombre de usuario y la contraseña.

Se muestra la consola de Logon Collector.

6 En la consola de Logon Collector, seleccione Menu | Configuration | Trusted CAs (Menú, Configuración,CAs de confianza).

7 Haga clic en New Authority (Autoridad nueva) para abrir la ventana New Trusted Authority (Nuevaautoridad de confianza).

8 Seleccione Import From File (Importar desde archivo) y haga clic en Browse (Examinar) para agregar elarchivo exportado y guardarlo en el directorio local.

También puede utilizar la opción Copy/Paste Certificate (Copiar/pegar certificado).


Importación del certificado de Logon CollectorPara importar el certificado de Logon Collector:

Procedimiento

1 En la consola de Logon Collector, seleccione Menu | Configuration | Server Settings (Menú, Configuración,Configuración del servidor.

2 En la sección Settings Categories (Categorías de configuración), haga clic en Identity Replication Certificate(Certificado de Identity Replication).

3 Puede importar el certificado de Logon Collector de una de las siguientes maneras:

• Upload the Logon Collector Certificate (Cargar el certificado de Logon Collector):1 Copie el certificado de Logon Collector desde la consola de Logon Collector y péguelo en un

archivo nuevo creado a tal fin en el directorio local.

2 En la sección Import Certificate (Importar certificado), haga clic en Upload MLC Certificate (Cargarcertificado de MLC) en la opción New MLC Certificate (Nuevo certificado de MLC).

3 Seleccione Upload MLC Certificate (Cargar certificado de MLC) y, a continuación, haga clic enBrowse (Examinar) para añadir el certificado de Logon Collector desde el directorio local.




• Pegue el certificado directamente en Network Security Manager:1 En la sección Import Certificate (Importar certificado), seleccione Paste Certificate (Pegar certificado).

2 Pegue el certificado de Logon Collector que ha copiado en el cuadro Paste Certificate (Pegarcertificado).

Figura 10-2 Opción Paste Certificate (Pegar certificado) de MLC

El certificado de Logon Collector importado aparece en la sección Current MLC Certificate (Certificado deMLC actual).


5 Haga clic en Test Connection (Conexión de prueba) para probar la integración.

Visualización de los detalles de Logon Collector en ThreatAnalyzerEn esta sección se examinan los cambios en las ventanas Dashboards (Paneles) y Alerts (Alertas) deThreat Analyzer para ver la información de usuario recibida del servidor de Logon Collector.




Visualización de los detalles de Logon Collector en la ventana Dashboards(Paneles)

Puede asignar monitores en función de los usuarios de origen y destino al tiempo que crea un panelnuevo. Se agregan los siguientes monitores:

• Top 10 Attack Destination Users (10 ataques más frecuentes a usuarios de destino)

• Top 10 Attack Source Users (10 ataques más frecuentes a usuarios de origen)

Figura 10-3 Opción Assign Monitor (Asignar monitor)

Visualización de la información de los usuarios en monitores NTBA

La ventana Dashboards (Paneles) de Threat Analyzer muestra ahora los nombres de los usuarios juntocon las direcciones IP del host en monitores NTBA.

Los siguientes monitores NTBA muestran los nombres de usuario en la columna User Name (Nombre deusuario).

• Hosts - Threat Factor (Hosts: Factor de amenaza)

• Traffic Volume (Bytes) - Top Source Hosts (Volumen de tráfico (bytes): principales hosts origen)




• Top External Hosts By Reputation (Principales hosts externos por reputación)

• Hosts - New (Last 7 Days) (Hosts: nuevos (últimos 7 días))

Figura 10-4 Monitores NTBA con detalles de nombre de usuario

La sección User name (Nombre de usuario), se muestra como "---" cuando no se recibe ningún nombre deusuario desde el servidor Logon Collector para un dirección IP del host determinada.

Cambios en la información de IP del host

Los nombres de los usuarios se muestran en las siguientes opciones de botón derecho de la secciónHost IP (IP de host) de los monitores NTBA:

• Información del host • Resumen de tráfico de servicio

• Perfil de host • Resumen de tráfico de aplicación

• Perfil DoS del host • Servicios activos

• Interacciones de host • Aplicaciones activas

• Alertas de host • Puertos activos

• Actividad de capa 7 • Información NSLookup

• Tráfico del host




La siguiente figura muestra la sección de detalles User Name (Nombre de usuario) para la opción HostInteractions (Interacciones de host).

Figura 10-5 Opción Host Interactions (Interacciones de host) con los detalles de User name (Nombrede usuario)

Opción Show Alerts (Mostrar alertas) para el monitor Host - Threat Factor (Hosts -Factor de amenaza)

Se muestra la información de usuario de origen y destino para las siguientes opciones en la secciónShow Alerts (Mostrar alertas), del monitor Hosts - Threat Factor (Hosts - Factor de amenaza)

• Todas las alertas

• Alertas IPS

• Alertas NTBA

Figura 10-6 NTBA Alerts (Alertas NTBA) que muestran la información de usuario de origen y destino




Visualización de los detalles de Logon Collector en la ventana Alerts (Alertas)

Anteriormente, la información de las columnas Source User (Usuario de origen) y Destination User (Usuariode destino) de la ventana Alerts (Alertas) de Threat Analyzer solo podía obtenerse si se había activadoNAC. Después de la integración con Logon Collector, McAfee® Network Security Manager obtiene losdatos de Source User (Usuario de origen) y Destination User (Usuario de destino) del servidor deLogon Collector y los muestra en Threat Analyzer.

Figura 10-7 Datos del usuario de origen y del usuario de destino en Threat Analyzer




La sección Group By (Agrupar por) de la ventana Alerts (Alertas) de Threat Analyzer muestra las opcionesDest IP (IP de destino) y Src IP (IP de origen).

Figura 10-8 Opciones Dest IP (IP de destino) y Src IP (IP de origen) en la sección Group By (Agruparpor)

Si NAC y la integración de Logon Collector están activados a la vez, la información acerca de losusuarios de origen y de destino de NAC tiene prioridad sobre la información de Logon Collector.

Visualización de los detalles de Logon Collector en los informesde Network Security ManagerEn esta sección se describen los informes que muestran la información sobre los usuarios recibida paraLogon Collector.

Informes personalizados de nueva generación

En McAfee® Network Security Manager, seleccione Reports | Next Generation | New (Informes, Nuevageneración, Nuevo).




Opción 1

Cuando selecciona las Display Options (Opciones de presentación) como Table (Tabla), la sección AvailableFields (Campos disponibles) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario dedestino). Los informes personalizados generados contienen los datos sobre los usuarios de origen ydestino.

Figura 10-9 Propiedades de la tabla: campos Src UserId (ID de usuario de origen) y Dest UserId (IDde usuario de destino)




Opción 2

Cuando selecciona las Display Options (Opciones de presentación) como Bar Chart (Gráfico de barras), lasección Bar Labels (Rótulos de barras) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID deusuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios deorigen y destino.

Figura 10-10 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino)en el gráfico de barras




Opción 3

Cuando selecciona las Display Options (Opciones de presentación) como Pie Chart (Gráfico de sectores), lasección Pie Slice Labels (Rótulos de sectores) incluye Src UserId (ID de usuario de origen) y Dest UserId (IDde usuario de destino). Los informes personalizados generados contienen los datos sobre los usuariosde origen y destino.

Figura 10-11 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino)en el gráfico de sectores

Filtro de presentación

La opción del Filtro de presentación le permite buscar alertas basadas en dos atributos recientementeagregados, que son los usuarios de origen y de destino.

Figura 10-12 Opciones del filtro de presentación




Error de comunicaciónSe muestra un informe de errores de conexión en la ventana Status (Estado) de McAfee® NetworkSecurity Manager cuando hay una comunicación inapropiada entre el servidor de McAfee® NetworkSecurity Manager y el servidor de Logon Collector. Desde la página Home (Inicio) de McAfee® NetworkSecurity Manager vaya a Operational Status (Estado operativo). Haga clic en Error para ver el mensaje deerror.

Figura 10-13 Error en la página de inicio

Muestra la siguiente información:

• Tipo de fallo • Gravedad

• Origen • Momento de última aparición

• Tipo de condición • Texto adicional

• Tipo de alarma • Fecha y hora de creación

Figura 10-14 Informe de errores de conexión en la ventana Status (Estado)

También puede ver el mensaje de error de comunicación en la ventana Alerts (Alertas) de ThreatAnalyzer si se produce una conexión inapropiada.




Los siguientes detalles se muestran bajo la columna Scr User (Usuario de origen):

• Communication Error (Error de comunicación): error en la comunicación con el servidor de Logon Collector

• Not Applicable (No aplicable): asociación inadecuada

Figura 10-15 Error de comunicación en Threat Analyzer

Integración con McAfee® Data Loss PreventionMcAfee® Data Loss Prevention (NDLP o McAfee DLP) se suministra a través del dispositivo de bajomantenimiento y la plataforma McAfee® ePolicy Orchestrator (ePO) para simplificar el despliegue, laadministración, las actualizaciones y los informes. Ofrece una seguridad de datos completa, protecciónde los datos fuera de la red y un despliegue y administración sencillos.

Históricamente, el administrador de McAfee DLP se asociaba al SAMAccountName como el elemento deidentificación de usuario principal. Pero si dicho atributo se aplica a usuarios en el mismo dominio quetengan nombre similares o coincidentes, estos no pueden identificarse correctamente. McAfee DLP secentra ahora en el SID (identificador de seguridad) alfanumérico exclusivo que el controlador dedominio de Windows asigna a cada cuenta de usuario.

Por ejemplo, el nombre de usuario jherrera podría pertenecer a Juan Herrera o Julian Herrera, por losería necesaria más información para distinguir entre ambos usuarios. Dichas personas podrían inclusoutilizar la misma dirección IP, lo que agravaría el problema de descubrir la identidad del usuario real.


Integración con McAfee® Data Loss Prevention 10


Pero cada cuenta en un servidor de Active Directory se compone de atributos que identifican a lapersona propietaria de la cuenta. Logon Collector compara el SID exclusivo asignado a cada usuario deActive Directory con las direcciones IP y todos los parámetros asociados con ese SID se extraencuando Logon Collector traslada las actualizaciones de enlaces desde el servidor de Active Directory aMcAfee DLP.

Debido a que SAMAccountName se ha utilizado para indizar los datos en versiones anteriores, estainformación podría perderse durante las búsquedas específicas cuando el usuario cambia a la versión9.0 o cuando los datos que residen en la base de datos de captura indican una fecha anterior al cambiode versión.



• Versión de NDLP: 9.x

Uso de elementos de usuario de Active DirectoryTodos los elementos de Active Directory se tratan como consultas de palabras y pueden dirigirse aservidores LDAP específicos.

Al utilizar elementos de este tipo en una consulta, se configuran columnas que admiten el parámetroen la ventana de búsqueda y en el panel.

Cada uno de los elementos de usuario recupera la lista de atributos.

Parámetros disponibles• User Name (Nombre de usuario): el nombre, el alias, el departamento y la ubicación del usuario

• User Groups (Grupos de usuarios): el grupo del usuario

• User City (Ciudad del usuario): la ciudad del usuario

• User Country (País del usuario): el país del usuario

• User Organization (Organización del usuario): la empresa u organización del usuario

Uso de McAfee DLP en servidores LDAP remotosLa posibilidad de supervisar el tráfico de usuarios en los servidores de Active Directory se ha ampliadoahora a servidores de directorio, convirtiendo la administración de usuarios global en una realidad.

La capacidad de McAfee DLP 9.0 para conectarse a varios controladores de dominio hace que esto seaposible. No solo se capturan los datos en las redes locales, sino que se extiende a todo el tráfico dehasta dos servidores LDAP.

Cuando los usuarios pueden reconocerse por nombre, grupo, departamento, ciudad o país, unadministrador de McAfee DLP puede extraer una gran cantidad de información importante utilizandounos cuantos hechos fundamentales para recopilar de forma gradual más detalles sobre posiblesinfracciones.

Uso de Logon Collector con McAfee DLPSupongamos que sabe que su empresa ha perdido cierta propiedad intelectual que ha ido a parar auna empresa del país X y sospecha que la fuga de información se debe a un agente interno de susucursal en la ciudad Y. Debido a que McAfee DLP captura todo el tráfico de la red de la empresa,


Integración con McAfee® Data Loss Prevention


puede agregar un servidor de Active Directory que contenga la cuenta de usuario de dicho agenteinterno a McAfee DLP Manager y, a continuación, buscar el nombre de usuario de este individuo parasupervisar sus comunicaciones.

Acto seguido, puede buscar entre sus comunicaciones el nombre del componente perdido y encontrarasí la dirección de correo electrónico y la ubicación geográfica de aquellos usuarios externos a laempresa que pueden haber recibido la información.

Es posible que no sepa lo que contienen dichas comunicaciones pero puede utilizar lo que encuentrepara hacerse la siguiente pregunta lógica

Puede configurar Logon Collector con McAfee DLP Manager para resolver las identidades de usuariomediante la recuperación de recopilaciones de información de las cuentas de usuario de todos losservidores de Active Directory que se hayan añadido al sistema McAfee DLP.

Si McAfee DLP Manager se configura con Logon Collector y un servidor de Active Directory, es posibleextender la protección de los extremos a los servidores de directorio que administran usuarios en todoel mundo.

Si no conoce el nombre del usuario, puede ir revelando paso a paso su identidad mediante la búsquedade usuarios en la ciudad Y, la búsqueda entre los grupos de usuarios de su departamento técnico y laidentificación de un subgrupo que pueda contener al usuario en cuestión.

Activación de la identificación de usuarios mediante LogonCollectorLogon Collector se utiliza para asignar direcciones IP a identidades de usuario en los servidores deActive Directory. Sin él la identificación de usuarios sería difícil puesto que pueden haber iniciadosesión en varias estaciones de trabajo distintas. Las direcciones IP cambian cuando los servidoresDHCP asignan automáticamente direcciones nuevas y es posible que más de un usuario haya iniciadosesión en una misma estación de trabajo.

Si Logon Collector se configura con McAfee DLP Manager, las identidades de usuario se resuelvenmediante la recuperación de recopilaciones de información de las cuentas de usuario de todos losservidores de Active Directory que se hayan agregado al sistema McAfee DLP. La compatibilidad convarios controladores de dominio significa que las aplicaciones McAfee pueden servir operacionesempresariales a gran escala.

En el caso de McAfee DLP significa que, tras activar Logon Collector, los administradores de McAfeeDLP pueden configurar consultas y reglas basadas en Active Directory para determinar a quéactividades se dedican los usuarios en la red.

Configuración de Logon Collector

Antes de empezar

Para poder utilizar Logon Collector con McAfee DLP, debe añadirse un servidor de ActiveDirectory a McAfee DLP Manager. El siguiente paso es el de establecer comunicacionesseguras entre McAfee DLP y Logon Collector.

Para realizar las conexiones SSL:

Procedimiento

1 Exporte un certificado desde Logon Collector.

2 Importe el certificado de Logon Collector a McAfee DLP Manager.




3 Exporte un certificado desde McAfee DLP.

4 Importe el certificado de McAfee DLP a Logon Collector.

5 Reinicie Logon Collector.

Una vez llevados a cabo estos pasos, las comunicaciones seguras entre McAfee DLP y LogonCollector estarán activadas y los datos de los servidores de Active Directory estarán disponiblespara realizar búsquedas y construir reglas.

Autenticación del administrador de McAfee DLP y Logon Collector

Antes de empezar

Utilice este método para conectar McAfee DLP a Logon Collector de modo que puedanintercambiar certificados, autenticándose entre sí.

Cuando el proceso se complete, se establecerá una conexión SSL entre ellos.

Procedimiento

1 Abra un navegador web e inicie sesión en Logon Collector.

2 En el servidor de Logon Collector, seleccione Menu | Configuration | Server Settings | Identity ReplicationCertificate (Menú, Configuración, Configuración del servidor, Certificado de Identity Replication).

3 Desplácese hasta la parte inferior de la página.

4 Seleccione y copie todo el texto del campo Base 64.

5 Abra un navegador web e inicie sesión en el administrador de McAfee DLP.

6 Seleccione System | Directory Services (Sistema, Servicios de directorio).

7 Seleccione Add a McAfee Logon Collector (Agregar McAfee Logon Collector) del menú Actions (Acciones).

8 Escriba la dirección IP de Logon Collector.

9 Haga clic en el botón de opción de pegar y pegue el texto en la casilla.

Guarde estos datos de Base 64 en un archivo en el equipo de sobremesa para poder volver a utilizarlos.

10 Haga clic en Apply (Aplicar).

11 Haga clic en Export (Exportar) para guardar el certificado de red de McAfee DLP en el equipo desobremesa.

12 Abra un navegador web y escriba la dirección de Logon Collector.

13 Seleccione Menu | Configuration | Trusted CA (Menú, Configuración, CA de confianza).

14 Haga clic en New Authority (Nueva autoridad).

15 Vaya al archivo netdlp_certificate.cer que guardó en el equipo de sobremesa.

16 Haga clic en Open (Abrir).


De este modo se agrega McAfee DLP Manager a Logon Collector.




18 Abra una sesión de escritorio remoto en el servidor de Logon Collector.

19 Apague y reinicie el servidor de Logon Collector.

La conexión se ha completado.




11 Escalabilidad

En este capítulo se describen los detalles de los límites de rendimiento que admite Logon Collector.

Detalles de la escalabilidadA continuación se enumeran los límites de rendimiento de Logon Collector:

Campos Cifras

Usuarios hasta 100.000

Grupos hasta 20.000

Dominios 10

Velocidad de inicios de sesión hasta 800 eventos de inicio de sesión por minuto

Clientes hasta 150

11


11 EscalabilidadDetalles de la escalabilidad


12 Opciones de configuración avanzadas

En este capítulo se describen las opciones de configuración avanzadas del servidor de McAfee® LogonCollector. El archivo de configuración de Logon Collector contiene los parámetros para configurar elservidor de Logon Collector.

Contenido

Configuración avanzada Modo de compatibilidad de Logon Collector 2.0 v1 Configuración de controllerbackofftime Configuración de removeWhiteSpaceFromUniqueName Configuración del límite de grupos de usuarios de McAfee ePO

Configuración avanzadaSiga los pasos que se indican a continuación para configurar las opciones avanzadas en el archivo xmlsi quiere configurar el servidor de Logon Collector.

1 Detenga el servicio Logon Collector.

2 Vaya a <MLC_INSTALL_FOLDER>/server/conf/mlc-config.xml.

3 Edite el archivo xml.

4 Reinicie el servicio Logon Collector.

Si el servicio de Logon Collector tarda más de lo esperado en detenerse, abra el Administrador de tareas,seleccione la ficha Processes (Procesos), localice el proceso Tomcat y haga clic en End Process (Finalizarproceso).

Modo de compatibilidad de Logon Collector 2.0 v1Logon Collector 1.0 y Logon Collector 1.0.1 no propagan los cambios en el nombre de usuario o grupoen Active Directory a los clientes. Sin embargo, Logon Collector propaga la información de cambios enel nombre de usuario y grupo a los clientes. Esto hace que McAfee Firewall ACLD deje de ser el núcleoya que depende de esta funcionalidad de Logon Collector.

Mediante el modo de compatibilidad de v1 de Logon Collector, la versión 2.0 se comporta exactamenteigual que Logon Collector 1.0 en lo que respecta a esta funcionalidad. Como resultado, Firewall ACLDno pierde su papel central en el momento en que se produce una ampliación a Logon Collector 2.0.

12


La siguiente línea representa la entrada en el archivo mlc-config.xml que puede activarse odesactivarse con el valor (verdadero o falso):

<config name="enable-v1-compatibility" value="true“ type="common"/>

De forma predeterminada, Logon Collector 2.0 se ejecuta en el modo de compatibilidad.

Configuración de controllerbackofftimeLogon Collector detiene el envío de consultas de WMI al controlador de dominio si el uso de la CPU deéste último supera el umbral de CPU configurado. Logon Collector espera de forma predeterminada 20minutos antes de enviar las consultas de WMI al controlador de dominio.

Para configurar el tiempo de retirada:

1 Detenga el servicio Logon Collector.

2 Cambie el valor del parámetro que se indica a continuación en mlc-config.xml:

<config name="controllerbackofftime" value="20" type="common" />

Las unidades del parámetro son en minutos

3 Reinicie el servicio Logon Collector.

No se recomienda configurar un valor demasiado pequeño para controllerbackofftime, ya que ello puedeaumentar la carga en el controlador de dominio. McAfee recomienda un valor mínimo de 10 minutos.

Configuración de removeWhiteSpaceFromUniqueNameLogon Collector 1.0 o 1.0.1 utilizaba un algoritmo para generar un nombre exclusivo (uniqueName)para objetos de usuario y grupo que quitaba los espacios en blanco. Como consecuencia, el algoritmoresponsable de la generación de nombres exclusivos no creaba un uniqueName (nombre exclusivo).

Ejemplo:

Grupo 1

cn: ProductServices

un: [email protected]

Grupo 2

cn: Product Services

un: [email protected]

Se genera el mismo "un" (nombre exclusivo) para el Grupo 1 y el Grupo 2 aunque sus "cn" (nombrescomunes son distintos).

Para resolver este problema, se puede establecer el parámetro de configuración(removeWhiteSpaceFromUniqueName). El valor predeterminado es “false” (falso). Con estaconfiguración, Logon Collector no quita los espacios en blanco de uniqueName (nombre exclusivo).

12 Opciones de configuración avanzadasConfiguración de controllerbackofftime


Configuración del límite de grupos de usuarios de McAfee ePOSi Logon Collector funciona como una extensión de McAfee ePO, de forma predeterminada seestablece un límite de 10.000 objetos de directorio en Logon Collector Identity Data Store (IDDS).Puede utilizar el parámetro idds.epo.limit.directory_object_count y cambiar dicho límite en elarchivo mlc-config.xml tal como se muestra a continuación:

<config name="idds.epo.limit.directory_object_count" value="10000" />

El valor predeterminado del parámetro es 10.000.

No se recomienda establecer un valor superior a 10.000. McAfee recomienda instalar Logon Collector enun servidor independiente si el dominio que se va a supervisar tiene más de 10.000 usuarios y grupos.

Opciones de configuración avanzadasConfiguración del límite de grupos de usuarios de McAfee ePO 12


12 Opciones de configuración avanzadasConfiguración del límite de grupos de usuarios de McAfee ePO


13 Solución de problemas

En este capítulo se ofrece información que puede ayudarle a resolver algún problema.

Contenido

Verificación de las credenciales de dominio Creación de una cuenta de usuario no administrador para acceder al registro de eventos deseguridad en un controlador de dominio Registros de Logon Monitor Registros de Logon Collector Error durante la instalación de Logon Collector 2.0 en Windows Server 2008 R2 Error al desinstalar la instancia de la base de datos SQL para Logon Collector Página de configuración de bases de datos para conectar al servidor de SQL Puertos utilizados por Logon Collector Elevado consumo de memoria de Isass.exe Procedimiento de recuperación para la restricción de 10.000 objetos de directorios de McAfee ePO

Verificación de las credenciales de dominioEn esta sección se describe cómo verificar que las credenciales que se especifican para un dominiosean correctas y tengan los suficientes privilegios para conectarse a un controlador de dominio pormedio de Logon Collector. Los controladores de dominio a los que se acceda deben registrar loseventos de seguridad.

Pruebe sus credenciales mediante la herramienta wbemtest.exe para conectarse a un controlador dedominio y ejecutar varias consultas.

Si no puede especificar las credenciales de una cuenta de administrador, puede utilizar una cuenta deusuario no administrador en el controlador de dominio.

ES NECESARIO que la cuenta de administrador que vaya a utilizar para acceder al controlador dedominio esté en el mismo dominio desde donde quiere obtener identidades.

Una ejecución correcta de las consultas verifica que las credenciales que ha especificado tengansuficientes privilegios para obtener acceso a los siguientes elementos en el controlador de dominio:

• Registro de eventos de seguridad

• Rendimiento de la CPU

• Conexión WMI

• Conexión DCOM

13


Conexión a un controlador de dominioSiga los pasos que se indican a continuación para utilizar la herramienta wbemtest.exe y conectar aun controlador de dominio. Estas instrucciones solo funcionan si Logon Collector se ejecuta en unequipo remoto, pero no lo harán si Logon Collector se ejecuta en un controlador de dominio local.

Procedimiento

1 Abra una ventana de símbolo del sistema y vaya a \Windows\System32\WBEM.

2 Ejecute wbemtest.exe: C:\Windows\System32\WBEM> wbemtestAparece la ventana Herramienta de comprobación del instrumental de administración de Windows.

Figura 13-1 Ventana Herramienta de comprobación del instrumental de administración de Windows

13 Solución de problemasVerificación de las credenciales de dominio


3 Haga clic en Connect (Conectar) para abrir la ventana Connect (Conectar).

Figura 13-2 Ventana Connect (Conectar)

4 Especifique la siguiente información:

Opción Definición

unlabeled connection (conexión no etiquetada) \\<dc_name>\root\cimv2

User (Usuario) El nombre de usuario para autenticar en elcontrolador de dominio

password (contraseña) La contraseña asociada.

Authority (Entidad emisora) Deje en blanco este campo.

Locale (Configuración regional) Deje en blanco este campo.

Impersonation level (Nivel de representación) Seleccione Impersonate (Suplantar).

How to interpret empty password(Interpretación de contraseña vacía)

Seleccione NULL (NULA).

Authentication Level (Nivel de autenticación) Seleccione Packet privacy (Privacidad de paquete).

Solución de problemasVerificación de las credenciales de dominio 13


5 Haga clic en Connect (Conectar) para continuar.

Si se muestra el mensaje Access Denied (Acceso denegado), cabe la posibilidad de que haya escritoerróneamente las credenciales, o que la cuenta de usuario no tenga los privilegios necesarios.Vuelva a escribir las credenciales y compruebe que la cuenta de usuario se haya configurado demanera correcta. Si no está utilizando una cuenta de administrador, puede utilizar una cuenta deusuario no administrador en el controlador de dominio.

La ventana Herramienta de comprobación del instrumental de administración de Windows cambia para mostrarIWbemServices y Opciones de llamada de métodos.

Figura 13-3 Herramienta de comprobación del instrumental de administración de Windows

La autenticación correcta del controlador de dominio y la visualización de la ventana anteriorsignifican que Logon Collector ha accedido a las conexiones WMI y DCOM.



6 Ejecute cada una de las siguientes consultas:

• Consulta del rendimiento de la CPU

Un resultado correcto de esta consulta significa que Logon Collector ha accedido al rendimientode la CPU en el controlador de dominio.

• Consulta de registro anterior

Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro deeventos de seguridad.

• Consulta de notificación de registro posterior

Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro deeventos de seguridad.

Debe ejecutar correctamente la consulta de rendimiento de la CPU y una de las consultas delregistro para comprobar que tiene las credenciales correctas y, por tanto, suficientes privilegios deacceso.

Ejecución de una consulta de rendimiento de la CPUSiga estas instrucciones para ejecutar una consulta de rendimiento de la CPU.

Procedimiento

1 Conéctese a un controlador de dominio.

2 Haga clic en Query (Consulta).

3 Escriba la siguiente consulta:

SELECT * FROM Win32_PerfRawData_PerfOS_Processor WHERE Name=’_Total’

Figura 13-4 Consulta del rendimiento de la CPU



4 Haga clic en Apply (Aplicar) para ver los resultados de la consulta.

Figura 13-5 Ventana Query Result (Resultado de la consulta)

5 Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo quedemuestra que la funcionalidad de consulta es correcta.

6 Ejecute las demás consultas si todavía no lo ha hecho.

Ejecución de una consulta del registro anteriorSiga estas instrucciones para ejecutar una consulta del registro anterior.

Procedimiento


2 Haga clic en Query (Consulta).




SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Security' AND (EventIdentifier =672 OR EventIdentifier = 673 OR EventIdentifier = 680 OR EventIdentifier = 4768 OREventIdentifier = 4769 OR EventIdentifier = 4776) AND TimeWritten > 'yyyymmdd'

donde yyyymmdd es la fecha de ayer.

Figura 13-6 Consulta del registro anterior

4 Haga clic en Apply (Aplicar) para ver los resultados de la consulta.

Figura 13-7 Resultados de la consulta del registro anterior

5 Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo quedemuestra que la funcionalidad de consulta es correcta.

No es necesario que espere la devolución de todos los resultados.


Ejecución de una consulta de notificación de registro posteriorSiga estas instrucciones para ejecutar una consulta de notificación de registro posterior.



Procedimiento


2 Haga clic en Notification Query (Consulta de notificación).


SELECT * FROM __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent'AND TargetInstance.Logfile = 'Security' AND (TargetInstance.EventIdentifier = 672OR TargetInstance.EventIdentifier = 673 OR TargetInstance.EventIdentifier = 680)

4 Haga clic en Apply (Aplicar).

Figura 13-8 Resultados de la consulta de notificación de registro posterior

Los resultados se muestran mientras se registran.

5 Haga clic en Close (Cerrar).

La operación no finaliza hasta que hace clic en Close (Cerrar).


Creación de una cuenta de usuario no administrador paraacceder al registro de eventos de seguridad en un controladorde dominio

Logon Collector admite dominios que ejecuten Windows 2000, Windows 2003 y Windows 2008. Nopuede instalar Logon Collector en Windows 2000 Server; sin embargo, Logon Collector puedesupervisar dominios de Windows 2000.

13 Solución de problemasCreación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio


Asegúrese de cumplir los siguientes requisitos para crear una cuenta de usuario que no seaadministrador en un controlador de dominio a fin de acceder a los registros de eventos de seguridad:

• Acceso a la suite de PsTools de herramientas de línea de comandos (http://download.sysinternals.com/Files/PsTools.zip)

• Posibilidad de modificar el registro de un controlador de dominio que se ejecuta en Windows Server2000, Windows Server 2003 o Windows Server 2008

• Período de tiempo para reiniciar el sistema del controlador de dominio

Creación de una cuenta en Windows Server 2008Es necesario llevar a cabo las siguientes tareas para crear una cuenta de no administrador enWindows Server 2008 que pueda acceder al registro de eventos de seguridad del controlador de dominio:

• Crear un grupo nuevo de Active Directory.

• Averiguar el SID del grupo recién creado mediante psgetsid.exe.

• Crear una cuenta de usuario del dominio para acceder al registro de eventos de seguridad.

• Activar permisos.

• Conceder acceso a DCOM.

• Activar el acceso a WMI al espacio de nombres necesario.

Creación de una cuenta en Windows Server 2003Es necesario llevar a cabo las siguientes tareas para crear una cuenta de usuario que no seaadministrador en Windows Server 2003 que pueda acceder al registro de eventos de seguridad delcontrolador de dominio:


• Determinar el SID del grupo de Active Directory recién creado.

• Cree una cuenta de usuario del dominio.

• Activar permisos.



Creación de una cuenta en Windows 2000 ServerEs necesario llevar a cabo las siguientes tareas para crear una cuenta de usuario que no seaadministrador en Windows 2000 Server que pueda acceder al registro de eventos de seguridad delcontrolador de dominio:


• Cree una cuenta de usuario del dominio.



• Activar acceso de lectura al registro de eventos de seguridad.

Solución de problemasCreación de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio 13


Recursos adicionalesRecurso URL

Artículo de Microsoft Knowledge Base http://support.microsoft.com/kb/323076

Formato de cadena de los descriptores deseguridad

http://msdn.microsoft.com/en-us/library/aa379570(VS.85).aspx

Descripción de la cadena de SID http://msdn2.microsoft.com/en-us/library/aa379602.aspx

Descripción de las cadenas ACE http://msdn2.microsoft.com/en-us/library/aa374928.aspx

Documento útil sobre la sintaxis SDDL http://www.washington.edu/computing/support/windows/UWdomains/SDDL.htm

Acceso remoto a DCOM http://msdn2.microsoft.com/en-us/library/aa393266.aspx

Acceso remoto a WMI http://msdn2.microsoft.com/en-us/library/aa393613.aspx

Registros de Logon MonitorEl formato básico de los mensajes de registro de Logon Monitor es el siguiente:

YYYY-MM-DD'T'HH:mm:ss'Z' <LEVEL>: <Msg>

La hora es UTC (hora universal coordinada) (por lo tanto se representa como Z en el formato básico).

Un ejemplo del formato básico de los mensajes de registro de Logon Monitor es

2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started.

La siguiente lista refleja los tres tipos de mensajes que pueden recibirse:

• Mensajes internos

• Mensajes originados por las comunicaciones de Logon Collector

• Mensajes originados por las comunicaciones de Logon Monitor

Mensajes internosLos mensajes internos carecen de calificador.

Los siguientes son ejemplos de mensajes internos:

• 2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started

• 2010-11-09T21:23:09Z INFO: Socket Listening on 50443

Mensajes generados por las comunicaciones de Logon CollectorLos mensajes generados por las comunicaciones de Logon Collector solo tienen lugar en la depuraciónde nivel 2 o superior.

El formato de los mensajes generados por las comunicaciones de Logon Collector es el siguiente:

13 Solución de problemasRegistros de Logon Monitor


http://support.microsoft.com/kb/323076



http://msdn2.microsoft.com/en-us/library/aa379602.aspx




http://www.washington.edu/computing/support/windows/UWdomains/SDDL.htm

http://www.washington.edu/computing/support/windows/UWdomains/SDDL.htm





Formato: <Data> <Level>: [CLI:<MLC IP Address>:<Port>] <Message>

Ejemplos:

2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Connection accepted

2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command HELLO

2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command CONNECT

El siguiente mensaje de ejemplo puede servir para entender las distintas partes de un mensaje:

STATS RP:0 LR:2010-12-03T16:46:12Z LV:0 PB:0 CB:0 LW:4 BW:243, donde:

• RP representa el número de registros enviados

• LR representa la última vez que se ha enviado el registro

• LV representa un número entre 0 y 5, que indica comunicaciones lentas

Cualquier número superior a 3 indica que el enlace puede llegar a ser muy lento.

• PB y CB se combinan para calcular el número de bytes pendientes de escribir

• LW representa el número de líneas escritas

• BW representa el número de bytes escritos (puede servir para calcular el ancho de banda)

Mensajes generados por las comunicaciones de Logon MonitorLos mensajes generados por las comunicaciones de Logon Monitor tienen lugar en todos los niveles.

La mayoría de los mensajes generados por las comunicaciones de Logon Monitor tienen lugar en el nivelde información.

El formato de los mensajes generados por las comunicaciones de Logon Monitor es el siguiente:

Formato: <Data> <Level>: [DC:<DC Name>] <Message>

Ejemplos:

2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] Wmi Connected

2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] DcConnection::run Backlogquery disabled by client request

Ejemplo de mensaje de error:

El mensaje de error que consta a continuación aparecerá en la ventana Status (Estado) de LogonCollector: Access Denied (Password Change) ERROR: [DC:nsbu-01.domain3.cai.local] Wmi[0x80070005 - Access is denied.] ConnectServer

Ejemplo de código de error:

0x80070005: se trata de un error de Microsoft. Para obtener más información, consulte microsoft.com.

Errores habituales del controlador de dominioEn la tabla siguiente se muestran los errores habituales del controlador de dominio:

Solución de problemasRegistros de Logon Monitor 13


Error Descripción

0x80070005 Acceso denegado.

Este error puede aparecer por problemas de contraseña.

0x8004106C Infracción de la cuota: diferencia de parches entre DC y MLC

Para solucionar este problema, asegúrese de que se han aplicado todos los parches.

0x800706BA El servidor RPC no está disponible.

Este error puede mostrarse por uno de los dos siguientes motivos:

• Problemas de contraseña. • Si el sistema está inaccesible.

• Control de acceso. • Si se ha desactivado WMI en el sistema.

• Diferencia de parches.

0x80010002 El filtro de mensajes ha cancelado la llamada (igual que 0x800706BA).

0x80090327 Error desconocido al procesar el certificado.

Para solucionar este problema, compruebe el certificado de Logon Monitor remoto.

Para obtener más información, consulte http://msdn.microsoft.com/en-us/library/aa394559%28v=vs.85%29.aspx.

Registros de Logon CollectorLogon Collector dispone de los siguientes archivos de registro en <MLC_INSTALL_FOLDER>/server/logs para la solución de problemas:

• jakarta_service_20100930.log • orion.log

• jakarta_service_20100930.log • orion.log1

• localhost_access_log.2010-10-12.txt • <MLC_INSTALL_FOLDER>/server/logs

• localhost_access_log.2010-10-12.txt • stderr.log

De entre los registros disponibles, orion.log y orion.log1 son los más importantes.

orion.log es un registro rotativo. Tiene límite de tamaño y también del número total dearchivos de registro. Por ejemplo, si utiliza orion.log y alcanza el límite máximo de tamaño,puede pasar a orion.log1.

Formato de registro: YYYY-MM-DD HH:mm:ss,mmm <LEVEL> [<Thread>] Message

Durante la solución de problemas busque la palabra "Exception" (Excepción) en el archivo de registro deOrion.

Entradas de registro de errores de comunicación de ActiveDirectory de Logon CollectorBusque "GSS initiate failed" (Error de inicio de GSS) o bien LoginException en las entradas del registrode errores de comunicación de Active Directory de Logon Collector. Estos mensajes de error indicanque Logon Collector no puede acceder a Active Directory.

13 Solución de problemasRegistros de Logon Collector


http://msdn.microsoft.com/en-us/library/aa394559%28v=vs.85%29.aspx

http://msdn.microsoft.com/en-us/library/aa394559%28v=vs.85%29.aspx

Los problemas más comunes son los siguientes:

• Contraseña errónea:

• LoginException: Pre-authentication information was invalid (24)

• Problema de DNS:

• No se han proporcionado credenciales válidas (nivel de mecanismo: no se ha encontrado elservidor en la base de datos de Kerberos (7))

Solución de problemas de DNSPara solucionar problemas de DNS:

• Compruebe que existen los registros SRV para el dominio que se supervisa

• Ejecute el siguiente comando desde una línea de comandos en el servidor de Logon Collector ycompruebe el resultado comparándolo con el resultado esperado que se muestra a continuación:

C:\>nslookup -query=SRV _kerberos._tcp.domain1.cai.local Server: net-apps.cai.local Address: 172.25.59.11 Non-authoritative answer: _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc-01.domain1.cai.local _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc-02.domain1.cai.local domain1.cai.local nameserver = dc-02.domain1.cai.local domain1.cai.local nameserver = dc-01.domain1.cai.local dc-01.domain1.cai.local internet address = 172.25.59.80 dc-02.domain1.cai.local internet address = 172.25.59.81

• Compruebe que tanto el DNS inverso como el DNS de reenvío funcionen para el dominioque se supervisa

• Ejecute el siguiente comando desde una línea de comandos en el servidor de Logon Collector ycompruebe el resultado comparándolo con el resultado esperado que se muestra a continuación:

C:\>nslookup dc-01.domain1.cai.local Server: net-apps.cai.local Address: 172.25.59.11 Non-authoritative answer: Name: dc-01.domain1.cai.local Address: 172.25.59.80

C:\>nslookup 172.25.59.80 Server: net-apps.cai.local Address: 172.25.59.11 Name: dc-01.domain1.cai.local Address: 172.25.59.80

Solución de problemas de NSLookupCuando se produzca un fallo de NSLookup, tenga en cuenta lo siguiente para solucionar los problemas:

• Compruebe si apunta al servidor DNS equivocado:

• Asegúrese de que está utilizando el servidor DNS de producción.

• Compruebe si la configuración es correcta. Asegúrese de que apunta a las entradas DNS delservidor de Logon Collector para los controladores de dominio.

• Compruebe si existen entrada en C:\Windows\System32\drivers\etc\hosts:

• Compruebe las entradas equivalentes a las entradas /etc/hosts de UNIX.

• Compruebe en este archivo si existen entradas que "enmascaran" las entradas DNS. Serecomienda tener solo comentarios (#) en este archivo.

• Si está utilizando entornos de producción, el DNS no será un problema ya que Windows se basa ensu propia configuración de DNS.

• Compruebe si está utilizando DNS inverso. Asegúrese de que ha agregado entradas en DNS paraDNS inverso.

Solución de problemasRegistros de Logon Collector 13


Error durante la instalación de Logon Collector 2.0 en WindowsServer 2008 R2

La instalación de Logon Collector 1.0 / 1.0.1 no es compatible con Windows Server 2008 R2. Si seinstala Logon Collector 1.0 / 1.0.1 en Windows Server 2008 R2 en modo de compatibilidad, ladesinstalación de Logon Collector no quedará limpia. Como consecuencia, las posteriores instalacionesde Logon Collector 2.0 fallarán.

Siga los pasos que se indican a continuación tras realizar una desinstalación correcta de LogonCollector 1.0 / 1.0.1.

Procedimiento

1 Elimine la carpeta de instalación de Logon Collector 1.0 / 1.0.1.

2 Elimine la siguiente clave de Registro:

• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\ePolicy Orchestrator\MFS Framework (paraWindows de 32 bits)

• HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\McAfee\ePolicy Orchestrator\MFS Framework(para Windows de 64 bits)

Error al desinstalar la instancia de la base de datos SQL paraLogon Collector

Después de desinstalar correctamente Logon Collector, es posible que quiera desinstalar la instanciade Microsoft SQL Server que se había incluido en la instalación de Logon Collector. Siga estos pasos sino puede hacerlo.

Procedimiento

1 Abra Task Manager (Administrador de tareas) y finalice el proceso sqlserver.exe para la instancia de labase de datos de Logon Collector.

2 Reintente desinstalar la instancia de la base de datos SQL para Logon Collector

Página de configuración de bases de datos para conectar alservidor de SQL

El servidor de Logon Collector utiliza la base de datos de Microsoft SQL Server para almacenar lascredenciales de usuario de Logon Collector. Esto ayuda a la autenticación de los usuarios cuandoinician sesión en la interfaz de usuario administrador de Logon Collector.

Si la credencial del servidor de SQL cambia, el servidor de Logon Collector no puede conectarse alservidor de SQL. Como resultado, los usuarios no podrán iniciar sesión en la interfaz de usuarioadministrador de Logon Collector.

13 Solución de problemasError durante la instalación de Logon Collector 2.0 en Windows Server 2008 R2


Siga los pasos que se indican a continuación para solucionar este problema:

1 Inicie sesión en el servidor de Logon Collector.

2 Abra https://localhost:8443/core/config en su navegador.

3 Restablezca la contraseña en la página Database Settings (Configurar base de datos).

Figura 13-9 Página de configuración de la base de datos

Puertos utilizados por Logon CollectorAsegúrese de que los siguientes puertos se hayan activado en el firewall para el correctofuncionamiento de Logon Collector.

Puerto Tipo de puerto Utilizado por

61641 Puerto JMS Utilizado para la comunicación de cliente y alta disponibilidad

61613 Puerto Stomp Utilizado para la comunicación del cliente C

389 Puerto LDAP Utilizado para la comunicación entre Logon Collector y el controlador dedominio

50443 Utilizado para la comunicación entre Logon Collector y Logon Monitor

La comunicación WMI tiene lugar entre Logon Monitor y el controlador de dominio.

Elevado consumo de memoria de Isass.exeLsass.exe almacena datos en caché para mejorar el rendimiento de las consultas LDAP. Por tanto, esnormal que este proceso tenga un elevado consumo de memoria (varios GB) en un controlador dedominio cuando este cuenta con una gran cantidad de datos.

Solución de problemasPuertos utilizados por Logon Collector 13


https://localhost:8443/core/config

Procedimiento de recuperación para la restricción de 10.000objetos de directorios de McAfee ePO

El procedimiento de recuperación es un mecanismo de seguridad introducido para evitar que elrendimiento de McAfee ePO se vea afectado cuando Logon Collector se ejecuta como una extensión deMcAfee ePO.

Es recomendable que compruebe el número de usuarios y grupos que tiene un dominio antes deagregarlo al servidor de Logon Collector 2.0 que se ejecuta como una extensión de McAfee ePO.

Si alcanza este límite, Logon Collector realizará las siguientes acciones:

• Detendrá las actualizaciones y la sincronización completa con los clientes.

• Logon Collector interrumpirá la supervisión de los dominios.

• Logon Collector no permitirá agregar más objetos de directorios a IDDS.

Si alcanza el límite aparecerá el siguiente mensaje de error:

Figura 13-10 Mensaje de error para la restricción de McAfee ePO

Figura 13-11 Mensaje de error en la página Status (Estado)

13 Solución de problemasProcedimiento de recuperación para la restricción de 10.000 objetos de directorios de McAfee ePO


Para solucionar este problema:

1 No realice ninguna otra operación en el servidor de Logon Collector.

McAfee se lo recomienda encarecidamente.

2 Elimine Logon Collector y las extensiones asociadas de McAfee ePO y vuelva a instalarlo. De estemodo se limpiarán el almacén de datos y las configuraciones.

Solución de problemasProcedimiento de recuperación para la restricción de 10.000 objetos de directorios de McAfee ePO 13


13 Solución de problemasProcedimiento de recuperación para la restricción de 10.000 objetos de directorios de McAfee ePO


700-2489B02

manual lc

Documents

mcafee quickclean

mcafee cleanboot

mcafee emm

mcafee deepsafe

mcafee artemis

mcafee secure

mcafee stinger

mcafee netprism