Академический Документы
Профессиональный Документы
Культура Документы
Manual de usuario
MANUAL DE USUARIO
Copyright 2002-2007, LANDesk Software, Ltd. Reservados todos los derechos. LANDesk, Peer Download y Targeted Multicast son marcas comerciales registradas o marcas comerciales de LANDesk Software, Ltd. o sus afiliadas en EE.UU. y/o en otros pases. Avocent es una marca comercial registrada de Avocent Corporation. Otras marcas y nombres pertenecen a sus respectivos propietarios. LANDesk y Avocent no garantizan que este documento est libre de errores y cada uno de ellos se reserva el derecho de realizar cambios en este documento o en las especificaciones y descripciones de los productos relacionados, en cualquier momento y sin previo aviso. LANDesk y Avocent no asumen ninguna obligacin de actualizar la informacin contenida en este documento. Este documento se proporciona TAL CUAL y sin ninguna garanta o licencia, ya sea explcita o implcita, lo cual incluye, entre otras cosas: adecuacin para un propsito determinado, comerciabilidad, falta de infraccin de propiedad intelectual u otros derechos de terceros. Los productos de LANDesk o Avocent mencionados en este documento no se deben utilizar en aplicaciones mdicas, de socorro o de mantenimiento. Es probable que entidades de terceros tengan derechos de propiedad intelectual pertinentes a este documento y las tecnologas mencionadas en l.
Contenido
Cubierta .......................................................................................................................................... 1 Contenido ....................................................................................................................................... 3 Introduccin a LANDesk Security Suite...................................................................................... 7 Informacin general: Una solucin de seguridad en capas .......................................................... 7 Instalacin/activacin de Security Suite ...................................................................................... 10 Suscripcin a los contenidos de Security Suite .......................................................................... 10 Herramientas y funciones de Security Suite ............................................................................... 11 Herramientas de LANDesk comunes adicionales incluidas con LANDesk Security Suite ......... 14 Fuentes de informacin adicionales............................................................................................ 16 Administrador de Seguridad y Revisiones ............................................................................... 17 Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk ............................................................................................................... 19 Introduccin al Administrador de Seguridad y Revisiones.......................................................... 19 Administracin basada en funciones con el Administrador de Seguridad y Revisiones ............ 22 Uso de la ventana herramientas del Administrador de Seguridad y Revisiones ........................ 25 Configuracin de dispositivos para rastreos de seguridad y reparaciones................................. 35 Administracin del contenido de seguridad y revisiones ............................................................ 40 Descarga de actualizaciones del contenido de seguridad y revisiones...................................... 41 Visualizacin del contenido de seguridad y revisin................................................................... 44 Bsqueda de vulnerabilidades por nombres CVE ...................................................................... 44 Uso de filtros para personalizar las listas de elementos ............................................................. 45 Vista de la informacin de seguridad de un dispositivo rastreado.............................................. 45 Quitar vulnerabilidades................................................................................................................ 45 Uso de las revisiones .................................................................................................................. 46 Descarga de revisiones............................................................................................................... 46 Desinstalacin de revisiones....................................................................................................... 47 Uso de definiciones personalizadas............................................................................................ 48 Creacin de definiciones personalizadas y reglas de deteccin ................................................ 48 Rastreo y reparacin de dispositivos .......................................................................................... 54 Rastreo de dispositivos para detectar riesgos de seguridad ...................................................... 55 Reparacin de dispositivos con riesgos de seguridad detectados ............................................. 64 Mtodos de reparacin................................................................................................................ 70 Qu sucede en un dispositivo durante la reparacin?.............................................................. 73 Ver informacin de seguridad y revisiones para los dispositivos rastreados. ............................ 74 Otras tareas de administracin de seguridad ............................................................................. 76 Creacin de una tarea programada de reinicio........................................................................... 76 Uso de las alertas de seguridad.................................................................................................. 76 Uso de los informes de seguridad............................................................................................... 77 Uso de nombres CVE.................................................................................................................. 78 LANDesk Network Access Control (NAC)................................................................................. 80 Panorama de LANDesk Network Access Control ....................................................................... 82 Descripcin y seleccin de la solucin del NAC de LANDesk.................................................... 88 Uso de la solucin LANDesk DHCP............................................................................................ 91 Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP ...... 103 Instalacin y configuracin de un servidor de reparaciones ..................................................... 110 Configuracin de un servidor DCHP de LANDesk.................................................................... 114 Configuracin del servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk ................................................................................................................................... 118 Uso de la solucin Cisco NAC .................................................................................................. 129
3
MANUAL DE USUARIO
Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC. 141 Instalacin y configuracin de un servidor de validacin de postura dedicado ........................ 146 Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk................................................................................................................. 150 Administracin de la seguridad de cumplimiento del NAC de LANDesk .................................. 163 Uso de la solucin LANDesk IP Security .................................................................................. 171 Uso de la solucin LANDesk 802.1X ........................................................................................ 181 LANDesk Antivirus .................................................................................................................... 193 Informacin general de LANDesk Antivirus .............................................................................. 194 Configuracin de dispositivos para la proteccin de LANDesk Antivirus.................................. 197 Actualizacin de los archivos de definiciones de virus ............................................................. 200 Evaluacin de los archivos de definiciones de virus con una prueba piloto ............................. 202 Copia de seguridad de los archivos de definiciones de virus ................................................... 203 Exploracin de virus de dispositivos ......................................................................................... 203 Habilitacin de la proteccin de antivirus en tiempo real (archivo, correo electrnico) ............ 205 Configuracin de las opciones de rastreo de antivirus con la configuracin de antivirus......... 207 Lo que sucede en un dispositivo durante un rastreo de antivirus............................................. 212 Visualizacin de la informacin de actividad y estado de antivirus .......................................... 214 Uso de las alertas de antivirus .................................................................................................. 214 Generacin de informes de antivirus......................................................................................... 215 Vista de informacin sobre antivirus en el tablero digital ejecutivo de la consola Web............ 216 LANDesk Host Intrusion Prevention System.......................................................................... 217 Informacin general de LANDesk HIPS.................................................................................... 218 Configuracin de dispositivos para la proteccin de LANDesk HIPS ....................................... 221 Proteccin de dispositivos administrados con LANDesk HIPS................................................. 224 Definicin de las opciones de proteccin de LANDesk HIPS en la configuracin de HIPS ..... 225 Qu sucede en los dispositivos configurados con LANDesk HIPS .......................................... 233 Visualizacin de la informacin de actividad de HIPS .............................................................. 234 Vigilante del agente de LANDesk............................................................................................. 237 Informacin general del Vigilante del agente de LANDesk....................................................... 237 Habilitacin, configuracin y deshabilitacin de la Supervisin del vigilante del agente.......... 239 Uso de los informes del Vigilante del agente ............................................................................ 242 Administrador del control de conexiones .............................................................................. 244 Uso de las configuraciones del control de conexiones para restringir el acceso a la red ........ 245 Uso de las configuraciones del control de dispositivos para restringir el acceso a los dispositivos USB ........................................................................................................................................... 248 Configuracin de alertas ........................................................................................................... 257 Implementacin de configuraciones.......................................................................................... 257 Resolucin de problemas del CCM........................................................................................... 258 Uso de la consola ...................................................................................................................... 260 Introduccin a la consola........................................................................................................... 260 Inicio de la consola .................................................................................................................... 261 Cambio de la conexin al servidor central ................................................................................ 262 Vista de red ............................................................................................................................... 262 Creacin de grupos ................................................................................................................... 265 Iconos de dispositivos ............................................................................................................... 267 Visualizacin de dispositivos administrados en el grupo Todos los dispositivos...................... 268 Mens contextuales................................................................................................................... 269 Configuracin de la vista de red con conjuntos de columnas................................................... 270 Opciones de la barra de herramientas ...................................................................................... 273 Uso de las herramientas de la consola ..................................................................................... 274 Ventanas de herramientas acoplables ...................................................................................... 274 Guardar disposiciones de ventanas .......................................................................................... 275
Barra Buscar.............................................................................................................................. 276 Barra de estado ......................................................................................................................... 276 Visualizacin de las propiedades del dispositivo ...................................................................... 277 Supervisin de dispositivos para la conectividad de red........................................................... 280 Administracin basada en funciones...................................................................................... 282 Informacin general sobre la administracin basada en funciones .......................................... 282 Administracin de usuarios de LANDesk.................................................................................. 284 Administracin de grupos.......................................................................................................... 288 Conocimiento de los derechos .................................................................................................. 290 Creacin de mbitos ................................................................................................................. 298 Asignacin de derechos y mbito a los usuarios ...................................................................... 301 Configuracin de servicios ...................................................................................................... 302 Seleccin de un servidor y una base de datos centrales con la configuracin General........... 302 Configuracin del servicio de Inventario ................................................................................... 303 Configuracin del servicio programador ................................................................................... 307 Configuracin de credenciales del servidor preferido ............................................................... 309 Configuracin del servicio de tareas personalizadas................................................................ 310 Configuracin del servicio de multidifusin ............................................................................... 311 Configuracin del servicio de implementacin de SO............................................................... 312 Configuracin de agentes de dispositivo ............................................................................... 314 Operaciones con configuraciones de agentes .......................................................................... 314 Seguridad de agente y certificados de confianza ..................................................................... 319 Desinstalacin de agentes de dispositivo ................................................................................. 322 Uso de LANDesk Server Manager y Administrador de sistema de LANDesk con LANDesk Management Suite .................................................................................................................... 322 Consultas de base de datos ..................................................................................................... 324 Introduccin a las consultas ...................................................................................................... 324 Grupos de consultas ................................................................................................................. 324 Creacin de consultas de base de datos .................................................................................. 325 Ejecucin de consultas de base de datos................................................................................. 327 Importacin y exportacin de consultas .................................................................................... 327 Consultas LDAP......................................................................................................................... 328 Configuracin de directorios LDAP ........................................................................................... 328 Acerca de la ventana Administrador de directorios................................................................... 329 Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP)...................... 332 Administracin del inventario .................................................................................................. 334 Introduccin al rastreo de inventario ......................................................................................... 334 Visualizacin de datos del inventario ........................................................................................ 336 Seguimiento de cambios del inventario .................................................................................... 338 Uso de formularios de datos personalizados ............................................................................ 339 Uso de un servidor de inventario diferente al servidor central.................................................. 343 Informes...................................................................................................................................... 345 Introduccin a los informes ....................................................................................................... 345 Ejecucin y visualizacin de informes....................................................................................... 347 Publicacin de informes ............................................................................................................ 348 Creacin de informes personalizados ....................................................................................... 352 Importacin y exportacin de informes ..................................................................................... 358 Creacin de archivos .CSV ....................................................................................................... 358 Tareas y secuencias de comando ........................................................................................... 360 Administracin de secuencias de comandos ............................................................................ 361 Programacin de tareas ............................................................................................................ 362 Uso de las secuencias de comandos predeterminadas............................................................ 368 Uso de la base de datos central de resumen para programar tareas globalmente.................. 369
5
MANUAL DE USUARIO
Uso del programador local ........................................................................................................ 370 Distribucin de software........................................................................................................... 377 Introduccin a la Distribucin de software ................................................................................ 377 Configuracin del servidor de entregas .................................................................................... 382 Distribucin de paquetes........................................................................................................... 386 Uso de paquetes de distribucin MSI........................................................................................ 399 Distribucin de software en dispositivos Linux.......................................................................... 402 Resolucin de problemas de distribucin ................................................................................. 403 Administracin basada en polticas........................................................................................... 404 Acerca de la administracin basada en polticas ...................................................................... 404 Configuracin de polticas ......................................................................................................... 406 Administracin basada en polticas........................................................................................... 409 Acerca de la administracin basada en polticas ...................................................................... 410 Configuracin de polticas ......................................................................................................... 411 Deteccin de dispositivos no administrados ......................................................................... 416 Informacin general sobre la deteccin de dispositivos no administrados ............................... 416 Deteccin con UDD de dispositivos no administrados.............................................................. 417 Uso de la deteccin extendida de dispositivos (ARP y WAP) .................................................. 419 Qu sucede cuando se detecta un dispositivo.......................................................................... 424 Implementacin de agentes de LANDesk en dispositivos no administrados............................ 425 Restauracin de registros de cliente ......................................................................................... 426 Apndice D: Informacin adicional sobre el rastreo de seguridad...................................... 428 Apndice E: Ayuda de contexto............................................................................................... 435 Ayuda de LANDesk Antivirus .................................................................................................... 435 Ayuda de Inventario .................................................................................................................. 455 Ayuda para el dispositivo administrado..................................................................................... 460 Ayuda de Informes .................................................................................................................... 489 Ayuda de tareas programadas .................................................................................................. 492 Ayuda del Administrador de Seguridad y Revisiones ............................................................... 498 Ayuda de la distribucin de software......................................................................................... 537 Uso del cuadro de dilogo Paquete de distribucin.................................................................. 537 Uso del cuadro de dilogo Mtodos de entrega ....................................................................... 543 Ayuda de la deteccin de dispositivos no administrados.......................................................... 559
MANUAL DE USUARIO
La herramienta fundamental del Administrador de Seguridad y Revisiones permite rastrear y reparar tipos prevalentes de riesgos de seguridad que amenazan continuamente la condicin y el desempeo de los dispositivos administrados, entre ellos: vulnerabilidades conocidas de sistemas operativos y aplicaciones, spyware, virus, errores de configuracin del sistema, aplicaciones no autorizadas o prohibidas y otras exposiciones potenciales de seguridad. LANDesk Antivirus permite descargar las ltimas actualizaciones de archivos de definiciones de virus y configurar los rastreos de virus que buscan virus en los dispositivos administrados y le proveen al usuario final opciones para manejar los archivos infectados y en cuarentena. El Control de acceso de red (NAC) de LANDesk provee seguridad de cumplimiento de punto extremo en la red y permite crear directivas de cumplimiento personalizadas mediante la herramienta Administrador de Seguridad y Revisiones y aplicar dichas directivas en los dispositivos que intentan el acceso a la red a travs del proceso de validacin de postura. La herramienta Administrador de control de conexiones le permite supervisar y restringir el acceso a los dispositivos administrados a travs de conexiones de red y dispositivos de E/S. La tabla que aparece a continuacin muestra la forma en que las herramientas de Security Suite se complementan y proporcionan una defensa fuerte del sistema: Tarea / problema de seguridad Conocimiento y verificacin Vistas de la consola : - Listas de contenidos de seguridad - Propiedades de las definiciones (y reglas de deteccin) - Informacin de seguridad y revisiones - Actividad y estado de Antivirus Informes Alertas Vistas del Escritorio ejecutivo de la consola Web Control de acceso a la red (seguridad de punto extremo, cumplimiento de directivas) Evaluacin y reparacin de vulnerabilidades (definiciones de seguridad personalizadas) Administracin de revisiones Deteccin y reparacin de programas dainos Control de acceso de red (NAC) de LANDesk. Solucin de LANDesk Security Suite
Administrador de Seguridad y Revisiones Administrador de Seguridad y Revisiones Antivirus Rastreos de software riesgoso Anti-spyware Rastreos en tiempo real Bloqueador de aplicaciones Administrador de control de conexiones Vigilante del agente Administracin de servidores de seguridad Deteccin de dispositivos no administrados
MANUAL DE USUARIO
10
El captulo "Administrador de Seguridad y Revisiones" en la pgina 17 de este manual describe la forma de descargar contenido de seguridad y revisiones para el que se tienen suscripciones.
Los rastreos del Administrador de Seguridad y Revisiones en una implementacin de LANDesk Management Suite La herramienta del Administrador de Seguridad y Revisiones se incluye de forma predeterminada en una instalacin de LANDesk Management Suite (activacin del servidor central). Sin embargo, al principio tambin puede buscar slo las actualizaciones de software LANDesk y sus definiciones de seguridad personalizadas. Para rastrear y reparar tipos de seguridad adicionales, se debe tener la suscripcin correspondiente a los contenidos de Security Suite.
11
MANUAL DE USUARIO
Para obtener ms informacin sobre problemas de seguridad de reparaciones y rastreos, consulte "Rastreo y reparacin de dispositivos" en la pgina 54.
Para obtener informacin sobre la manera de configurar las soluciones de control de acceso de red en la red de LANDesk, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171, y "Uso de la solucin LANDesk 802.1X" en la pgina 181.
12
LANDesk Antivirus
LANDesk Antivirus permite proteger todos los dispositivos administrados de los ltimos virus conocidos y de infecciones sospechosas. El rastreo de antivirus tambin busca riskware (a travs de una base de datos ampliada). LANDesk Antivirus es una herramienta poderosa de proteccin contra virus que puede configurarse y que se encuentra totalmente integrada con Security Suite y LANDesk Management Suite. LANDesk Antivirus proporciona un rango amplio de funciones antivirus, entre ellas: rastreos programados de antivirus, rastreos a peticin, rastreos de botn rojo, proteccin de archivos y mensajes de correo electrnico en tiempo real, descarga automatizada de las actualizaciones de archivos de definiciones de virus (la base de datos de firmas de virus de LANDesk contiene las ltimas definiciones de virus conocidas y se renueva varias veces al da), configuracin del comportamiento del rastreo de antivirus y de las opciones del usuario final, exclusiones de rastreos y alertas e informes de antivirus. Adems, puede visualizar informacin de antivirus en tiempo real sobre los dispositivos rastreados en la consola principal y en el Escritorio ejecutivo de la consola web para identificar rpidamente brotes de virus y ver el control de virus a lo largo de un perodo especificado de tiempo. Para obtener ms informacin, consulte "LANDesk Antivirus" en la pgina 193.
13
MANUAL DE USUARIO
Configuracin de agentes
Utilice la Configuracin de Agente para crear configuraciones de agente personalizadas para implementar e instalar los agentes LANDesk necesarios a fin de administrar y proteger los dispositivos de red. Estos agentes son los agentes LANDesk estndar (que incluyen el rastreador de inventario, el programador local, la deteccin del ancho de banda, y el rastreador de seguridad y revisiones), el agente de distribucin de software y el de monitoreo de licencias (que se utiliza para el bloqueo de aplicaciones). Agentes no aplicables a LANDesk Security Suite Los siguientes agentes (componentes) de LANDesk NO pueden aplicarse a una instalacin de Security Suite: formularios de datos personalizados, control remoto e implementacin de SO, y migracin de perfiles.
Informes
Utilice Informes para generar y publicar una gran variedad de informes especializados que ofrecen informacin til sobre los dispositivos administrados, incluyendo varios informes predeterminados del Administrador de seguridad y revisiones y del Cumplimiento del NAC de LANDesk. Informes no aplicables a LANDesk Security Suite Las siguientes categoras de informes NO pueden aplicarse a Security Suite: Todos los informes de activos, Todos los informes SML, y Todos los informes de control remoto.
Tareas programadas
Utilice las Tareas programadas para crear tareas peridicas especficamente relacionadas con el administrador de seguridad y revisiones, las reparaciones, el cumplimiento de la seguridad, los rastreos de antivirus y ms. Puede configurar las opciones de los dispositivos destino y tiempos programados de la tarea.
14
Tareas programadas no aplicables a LANDesk Security Suite Los siguientes tipos de tareas (secuencias de comandos) programadas NO pueden aplicarse a Security Suite: Formularios de datos personalizados, Secuencias personalizadas de comandos, Tareas para dispositivos de bolsillo y secuencias de OSD/migracin de perfiles. La distribucin y el envo del paquete no pueden configurarse con Security Suite.
15
MANUAL DE USUARIO
Los formularios de datos personalizados no se admiten en LANDesk Security Suite La herramienta de Formularios de datos personalizados no est disponible con la licencia que solamente incluye LANDesk Security Suite. Debe poseer una licencia completa de LANDesk Management Suite a fin de utilizar los formularios de datos personalizados.
16
17
MANUAL DE USUARIO
Acerca de LANDesk Security Suite La herramienta de Administracin de Seguridad y Revisiones es el componente principal de administracin de seguridad de LANDesk Security Suite. Security Suite se basa, principalmente, en la funcionalidad primaria de LANDesk Management Suite, y est complementada con herramientas de administracin de seguridad especializadas, como el Administrador de Seguridad y Revisiones, el Control de acceso de red de LANDesk, LANDesk Antivirus y el gestor de controles de conexin. La herramienta del Administrador de Seguridad y Revisiones tiene las mismas funciones tanto en Management Suite como en Security Suite, y se describe detalladamente en este captulo. Para obtener ms informacin sobre la compatibilidad de la funcionalidad de LANDesk bsica con Security Suite, consulte "Introduccin a LANDesk Security Suite" en la pgina 7. Acerca del Control de acceso de red de LANDesk y la seguridad de cumplimiento de punto extremo La seguridad de cumplimiento de punto extremo se puede aplicar a la red de LANDesk con la herramienta de Control de acceso de red (NAC) de LANDesk. El NAC de LANDesk, junto con la poltica personalizada, el rastreo y las capacidades de reparacin del Administrador de Seguridad y Revisiones, le permite controlar el acceso a la red empresarial verificando el estado de los dispositivos conectados, bloqueando o reparando los dispositivos infectados y protegiendo la red contra intrusiones malvolas. El NAC de LANDesk agrega otra eficaz capa de seguridad a la red LANDesk. Para obtener ms informacin sobre la manera de configurar y usar la solucin NAC de LANDesk, consulte "LANDesk Network Access Control (NAC)" en la pgina 80. Acerca de LANDesk Antivirus LANDesk Antivirus permite descargar los archivos de definiciones de virus ms actualizados, rastrear los dispositivos administrados en busca de virus, y limpiar las infecciones causadas por virus. Puede automatizar las descargas programadas de los archivos de patrones de virus y los rastreos antivirus personalizados, crear y aplicar opciones de configuracin antivirus nicas que controlen el comportamiento del rastreador y la interaccin del usuario final y evaluar las definiciones de virus y los rastreos antivirus en un entorno de prueba piloto limitado y controlado antes de implementarlos en sus dispositivos administrados. Para obtener ms informacin, consulte "LANDesk Antivirus" en la pgina 193. Lea este captulo para obtener informacin sobre: "Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk" en la pgina 19 "Introduccin al Administrador de Seguridad y Revisiones" en la pgina 19 "Suscripciones y tipos de contenido de seguridad" en la pgina 21 "Plataformas de dispositivos compatibles" en la pgina 22 "Administracin basada en funciones con el Administrador de Seguridad y Revisiones" en la pgina 22 "Flujo de trabajo de las tareas de administracin de seguridad y revisiones" en la pgina 24 "Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25 "Configuracin de dispositivos para rastreos de seguridad y reparaciones" en la pgina 35
18
Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk
Cuando haya comprendido los conceptos del Administrador de Seguridad y Revisiones, la forma de navegar la interfaz de usuario y el flujo de trabajo de las tareas generales y haya configurado los dispositivos para que trabajen con dicho administrador, puede realizar las siguientes tareas de administracin de seguridad: Descargar actualizaciones del contenido de seguridad y revisiones Visualizar las propiedades de las definiciones de contenido de seguridad y de las reglas de deteccin Crear definiciones de vulnerabilidades personalizadas Rastrear los dispositivos administrados para detectar riesgos de seguridad Reparar los dispositivos afectados Habilitar las alertas de seguridad Generar informes de seguridad
Para obtener informacin detallada sobre la ejecucin de estas tareas, consulte "Administracin del contenido de seguridad y revisiones" en la pgina 40, y "Rastreo y reparacin de dispositivos" en la pgina 54.
Nuevas funciones
La ltima versin del Administrador de Seguridad y Revisiones ofrece diversas capacidades nuevas, tales como:
19
MANUAL DE USUARIO
Utilizar la tarea cambiar configuracin para cambiar/actualizar slo las configuraciones que desee, entre ellas: configuracin de rastreo y reparacin, configuracin de LANDesk Antivirus y configuracin de reemplazo de variables personalizadas. Con la tarea cambiar configuracin puede cambiar la configuracin deseada sin una configuracin completa del agente del dispositivo ni una tarea de rastreo. Configurar alertas globales. Rastrear la presencia de spyware en sus dispositivos administrados. Si se detecta spyware, puede programar una tarea de reparacin que elimine el spyware de los dispositivos afectados. Negar el inicio de aplicaciones no aprobadas o reprimidas en los dispositivos de los usuarios finales que tengan definiciones aplicaciones bloqueadas. Activar el monitoreo de spyware en tiempo real (deteccin y eliminacin) y el bloqueo de aplicaciones en tiempo real. Rastrear los dispositivos administrados en busca de amenazas de seguridad (errores y exposiciones de la configuracin del sistema Windows) en el disco duro local. Una vez identificado el ataque de seguridad, puede realizar las reparaciones necesarias de forma manual en el dispositivo afectado. Utilizar definiciones especficas de amenazas de seguridad para detectar, activar, desactivar o configurar los servidores de seguridad de Windows. Utilice las variables personalizadas que se incluyen con otras definiciones de ataques de seguridad a fin de personalizar y cambiar las configuraciones especficas del sistema local y establecer polticas de configuracin del sistema en toda la empresa. Rastrear los motores del rastreador de antivirus de terceros y habilitar/deshabilitar el rastreo de virus en tiempo real y garantizar archivos de patrones de virus actualizados para los productos antivirus especficos. Reciba alertas si el rastreo de seguridad detecta vulnerabilidades especificadas en dispositivos administrados. Puede configurar las alertas segn la gravedad de la definicin. Implementar rastreos de seguridad frecuentes para riesgos de seguridad crticos y urgentes, como el rastreo de virus. Hacer cumplir la seguridad en los puntos extremos y las polticas de seguridad de cumplimiento con el grupo de Cumplimiento y la herramienta de Control de acceso de red de LANDesk. Usar relaciones de dependencia de la vulnerabilidad para identificar qu revisiones se deben instalar antes de que otras vulnerabilidades puedan afectar de forma negativa los dispositivos administrados o antes de que puedan repararse. La informacin de reemplazo describe las revisiones que fueron reemplazadas por versiones ms recientes y que no es necesario implementar. Comprobar el ltimo software de LANDesk en todos los dispositivos administrados, en los servidores y equipos de consolas centrales, al rastrear en busca de actualizaciones de software LANDesk. Si en un dispositivo se detecta una versin obsoleta, puede programar una tarea de reparacin que implemente e instale la ltima actualizacin de software LANDesk.
Funciones
Con el Administrador de Seguridad y Revisiones, puede:
20
Ofrecer seguridad de revisin para las versiones internacionales de los sistemas operativos de su red, incluyendo compatibilidad actual para los siguientes idiomas: checo, dans, holands, ingls, finlands, francs, alemn, italiano, japons, noruego, polaco, portugus, chino simplificado, espaol, sueco y chino tradicional. Organizar y agrupar las definiciones de seguridad para realizar rastreos de evaluacin de seguridad personalizados y reparaciones (consulte "Vista de rbol del Administrador de Seguridad y Revisiones" en la pgina 29). Evaluar las vulnerabilidades y otros riesgos de seguridad en varias plataformas compatibles de dispositivos, incluyendo Windows, Sun Solaris y Linux (consulte "Rastreo de dispositivos para detectar riesgos de seguridad" en la pgina 55). Observe la informacin de seguridad y revisiones para los dispositivos rastreados. "Visualizacin del contenido de seguridad y revisin" en la pgina 44). Programar tareas de administracin de revisiones automticas, incluyendo actualizaciones de contenido, exploracin de dispositivos y descargas de revisiones. Realizar reparaciones como tareas programadas, directivas o de manera automtica con la funcin de reparacin automtica (consulte "Reparacin de dispositivos con riesgos de seguridad detectados" en la pgina 64). Descargar, implementar e instalar revisiones que se han investigado y comprobado (consulte "Descarga de revisiones" en la pgina 46). Controlar el estado de la implementacin y la instalacin de revisiones en dispositivos rastreados. Utilizar la tecnologa de multidifusin dirigida de LANDesk, la descarga entre iguales y las funciones de reinicio del punto de comprobacin de la Multidifusin dirigida de Management Suite para implementar revisiones de forma rpida y eficaz. Generar y visualizar una gran variedad de informes especficos a la administracin de seguridad y revisiones (consulte "Uso de los informes de seguridad" en la pgina 77).
MANUAL DE USUARIO
Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk. Las funciones de rastreo y reparacin no son iguales dentro de estos tipos de contenidos. Para obtener ms informacin, consulte la seccin que corresponda ms adelante.
Para obtener informacin sobre la configuracin de dispositivos administrados para el rastreo de seguridad y revisiones, consulte "Configuracin de dispositivos para rastreos de seguridad y reparaciones" en la pgina 35 ms adelante en este captulo. Se admite el rastreo de los servidores y las consolas centrales Tambin puede rastrear servidores y consolas centrales LANDesk en busca de actualizaciones de software LANDesk, pero primero deben tener el agente LANDesk estndar implementado, lo que incluye el agente rastreador de seguridad y revisiones que se requiere para las tareas de rastreo de seguridad.
22
El administrador de LANDesk asigna dichos derechos a los dems usuarios mediante la herramienta Usuarios de la consola. El Administrador de Seguridad y Revisiones introduce una funcin nueva y el derecho correspondiente a la administracin basada en funciones. El derecho se denomina Administrador de Seguridad y Revisiones y figura en el dilogo Propiedades de usuario. A fin de ver y utilizar esta herramienta, debe asignarse el derecho de Administrador de Seguridad y Revisiones a un usuario de LANDesk.
23
MANUAL DE USUARIO
Utilizar la correccin automtica para reparar de forma automtica los tipos de seguridad siguientes, si se detectan: vulnerabilidades, spyware, actualizaciones de software LANDesk y definiciones personalizadas (tambin debe ser administrador de LANDesk). Controlar y verificar el estado de la implementacin y la instalacin de revisiones (historial de reparacin) en dispositivos rastreados. Purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de LANDesk) Desinstalar revisiones de dispositivos rastreados Quitar revisiones de la base de datos central Configurar alertas de vulnerabilidad Generar una variedad de informes especficos a la seguridad (tambin requiere el derecho de Informes)
Antivirus
Para obtener informacin sobre el derecho para Antivirus y el uso de LANDesk Antivirus, consulte "Administracin basada en funciones con LANDesk Antivirus" en la pgina 196.
24
1. 2.
3. 4. 5. 6. 7. 8. 9.
Configuracin de dispositivos administrados para rastreos de seguridad y reparaciones. Recopilacin de informacin actualizada de seguridad y revisiones (por ejemplo definiciones de vulnerabilidades) de orgenes de datos del sector o de proveedores. Tambin la creacin de definiciones personalizadas. Organizacin y visualizacin de la informacin de seguridad y revisiones. Creacin y configuracin de tareas de rastreo y polticas de seguridad. Rastreo de vulnerabilidades, spyware, ataques de seguridad, aplicaciones bloqueadas, etc. Visualizacin de resultados del rastreo de los dispositivos explorados. Descarga de revisiones para las vulnerabilidades detectadas. Reparacin de vulnerabilidades detectadas por medio de la implementacin e instalacin de revisiones en los dispositivos afectados. Reparacin de otros riesgos y exposiciones de seguridad detectados. Visualizacin del estado de instalacin de las revisiones y del historial de informacin de las reparaciones.
25
MANUAL DE USUARIO
26
La tarea Instalar/Actualizar LANDesk Antivirus permite instalar el agente de LANDesk Antivirus en los dispositivos de destino que an no lo tienen instalado o actualizar la versin existente del agente en los dispositivos de destino que ya lo tienen. Tambin puede seleccionar si quitar o no los productos de antivirus existentes en los dispositivos de destino. Esta tarea permite implementar y actualizar de forma conveniente el agente de LANDesk Antivirus (y la configuracin de antivirus asociada) de un dispositivo administrado sin tener que volver a implementar una configuracin completa del agente. Configurar ajustes: Incluye una lista desplegable donde puede seleccionar el tipo de ajustes que desea configurar, cambiar o actualizar: La configuracin de rastreo y reparacin permite crear, editar, copiar y eliminar la configuracin de rastreo y reparacin. La configuracin de rastreo y reparacin determina si el rastreo de seguridad y revisiones se muestra en los dispositivos mientras se ejecutan, las opciones de reinicio, la interaccin con el usuario y los tipos de contenidos rastreados. La configuracin de cumplimiento permite crear, editar, copiar y eliminar la configuracin de cumplimiento. La configuracin de cumplimiento determina el momento y la forma en que se realiza el rastreo de seguridad del cumplimiento, si la reparacin ocurre automticamente y qu hacer cuando LANDesk Antivirus detecta una infeccin de virus en los dispositivos administrados. Configuracin de LANDesk Antivirus permite crear, editar, aplicar y eliminar la configuracin de rastreo y reparacin. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. La configuracin de HIPS permite crear, editar, copiar y eliminar la configuracin de HIPS. La configuracin del servidor de seguridad de Windows permite crear, editar, copiar y eliminar la configuracin del servidor de seguridad de Windows. Configuracin de reemplazo de variable personalizada permite crear, editar, aplicar y eliminar la configuracin de rastreo y reparacin. El reemplazo de variable personalizada permite configurar excepciones para los valores de las variables personalizadas. En otras palabras, con la configuracin de reemplazo de variable personalizada se puede pasar por alto u omitir una condicin especfica de variable personalizada para que el dispositivo rastreado no se determine como vulnerable. La configuracin del grupo Definiciones permite crear, editar, copiar y eliminar la configuracin del grupo Definiciones para automatizar las descargas de contenidos de seguridad. Configuracin de alertas permite configurar las alertas de seguridad global. Configuracin de la base de datos central de resumen (Rollup core) le permite habilitar el reenvo inmediato de los resultados del rastreo de vulnerabilidades a una base de datos central de resumen que usted especifique. El envo de los resultados de un rastreo de vulnerabilidades a un servidor central de resumen puede mejorar el acceso en tiempo real a los datos de vulnerabilidades crticas para todos los dispositivos administrados en toda una red corporativa distribuida.
27
MANUAL DE USUARIO
Crear una definicin personalizada: abre un dilogo en blanco de propiedades de definiciones con campos de edicin, donde puede especificar si la definicin personalizada es de solamente deteccin o si tambin admite la reparacin, escribir la informacin de vulnerabilidad especfica, crear reglas de deteccin e identificar el archivo de revisin adecuado para su reparacin. Importar las definiciones personalizadas: Permite importar un archivo XML que contenga definiciones personalizadas. Exportar las definiciones personalizadas seleccionadas: permite exportar una definicin personalizada como archivo XML. Equipos que no cumplen: enumera los dispositivos que se rastrearon para comprobar el cumplimiento con la poltica predefinida de seguridad de cumplimiento (segn el contenido del grupo Cumplimiento y la definicin de estado que se encontr en el cuadro de dilogo Configurar el Control de acceso de red) y que se determina que no estn en buen estado o que no cumplen. Actividad de antivirus: Permite visualizar en detalle la informacin sobre la actividad y el estado del antivirus en todos los dispositivos administrados que tengan el agente de LANDesk Antivirus. Actualizar: actualiza el contenido del grupo seleccionado. Eliminar las definiciones personalizadas seleccionadas: elimina las definiciones personalizadas seleccionadas en la base de datos central. Purgar las definiciones de seguridad y revisiones: abre un cuadro de dilogo donde puede especificar las plataformas y los idiomas cuya definicin desee eliminar de la base de datos central. Tenga en cuenta que slo un administrador de LANDesk puede realizar esta operacin. Publicar la configuracin de NAC de LANDesk Abre un cuadro de dilogo, el cual permite especificar el contenido que desea publicar en los servidores de validacin de postura y de reparaciones. Cada vez que cambie la configuracin del NAC de LANDesk, debe volver a publicar los nuevos valores de configuracin en los servidores de validacin de postura. (Nota: La publicacin de contenido de NAC enva configuraciones de control de acceso de red y reglas de cumplimiento a los servidores de validacin de postura o a los servidores DHCP de LANDesk, y tambin enva las revisiones asociadas a los servidores de reparaciones, mientras que la publicacin de los archivos de infraestructura enva archivos de configuracin y compatibilidad, incluso el rastreador de cliente de seguridad y los agentes de confianza, al igual que las pginas de plantillas de HTML, a los servidores de reparaciones). Ayuda: Abre la ayuda en lnea en la seccin del Administrador de Seguridad y Revisiones.
28
Aplicaciones bloqueadas (detalla slo las definiciones descargadas de aplicaciones bloqueadas) Definiciones personalizadas (detalla slo las definiciones de vulnerabilidad definidas por el usuario) Actualizaciones de controladores (detalla slo las definiciones descargadas de actualizacin de controladores) Actualizaciones de software de LANDesk (detalla slo las actualizaciones descargadas de software LANDesk) Amenazas de seguridad (detalla slo las definiciones descargadas de amenazas de seguridad) Actualizaciones de software (detalla slo las actualizaciones descargadas de software) Spyware (detalla slo las definiciones descargadas de spyware) Vulnerabilidades (detalla todas las definiciones descargadas de vulnerabilidad para cualquiera de las plataformas disponibles)
El panel izquierdo de la ventana del Administrador de Seguridad y Revisiones muestra los siguientes elementos:
29
MANUAL DE USUARIO
Slo puede mover definiciones del grupo Detectadas a los grupos No asignadas o No rastrear. Rastrear: para el tipo de aplicaciones bloqueadas, este grupo se llama Bloquear) enumera todas las definiciones de seguridad que se buscan cuando el rastreador de seguridad se ejecuta en los dispositivos administrados. En otras palabras, si una definicin se incluye en este grupo, formar parte de la siguiente operacin de rastreo; de lo contrario, no formar parte del rastreo. De forma predeterminada, las definiciones recogidas se agregan al grupo Rastrear durante una actualizacin de contenido. (Importante: excepto por las aplicaciones bloqueadas, que se agregan de forma predeterminada al grupo No asignadas). Rastrear puede considerarse como uno de los tres estados posibles para una definicin de seguridad, junto con No rastrear y No asignada. Como tal, una definicin slo puede residir en uno de esos tres grupos a la vez. La definicin puede ser Rastrear, No rastrear o No asignada y se identifica con un icono nico para cada estado: icono de signo de interrogacin (?) para No asignada, icono de X roja para No rastrear y el icono de vulnerabilidad normal para Rastrear. Al mover una definicin de un grupo a otro se cambia su estado automticamente. Al mover definiciones al grupo Rastrear (haciendo clic y arrastrando una o ms definiciones desde otro grupo, exceptuando el grupo Detectadas), puede controlar la naturaleza y el tamao especficos de la siguiente exploracin de seguridad en dispositivos de destino. Precaucin al mover definiciones desde el grupo Rastrear Cuando se desplazan definiciones desde el grupo Rastrear al grupo No rastrear, la informacin actual de la base de datos central sobre los dispositivos rastreados que detectaron las definiciones se eliminan de la base de datos central y no vuelven a estar disponibles en los cuadros de dilogo Propiedades del elemento o en el de Seguridad y revisiones del dispositivo. Para restaurar la informacin de evaluacin de seguridad, debe volver a mover las definiciones al grupo Rastrear y ejecutar de nuevo el mismo rastreo de seguridad. No rastrear:(Para el tipo de aplicaciones bloqueadas, este grupo se llama No Bloquear) Enumera todas las definiciones que no se buscan la prxima vez que el rastreador se ejecuta en los dispositivos. Tal y como se indic anteriormente, si hay una definicin en este grupo, no puede estar tambin en el grupo Rastrear o No asignadas. Puede mover definiciones a este grupo para eliminarlas temporalmente de un rastreo de seguridad. No asignadas: enumera todas las definiciones que no pertenecen a los grupos Rastrear o No rastrear. El grupo No asignadas es esencialmente un rea de espera para definiciones recopiladas hasta que decida si desea buscarlas o no. Puede mover las definiciones, haga clic y arrastre una o ms desde el grupo No asignadas al grupo Rastrear o al grupo No rastrear. Tambin se pueden agregar nuevas definiciones al grupo No asignadas durante una actualizacin de un contenido habilitando la opcin Colocar nuevas definiciones en el grupo No asignadas del cuadro de dilogo Descargar actualizaciones. Todos los elementos: enumera las definiciones del tipo seleccionado en una lista plana, an si se movi la definicin a alguno de los grupos No asignadas, Rastrear o No rastrear.
30
Ver por producto: enumera todas las definiciones organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a identificar las definiciones por su categora de producto pertinente.
Puede utilizar estos subgrupos de producto para copiar definiciones en el grupo de Rastrear para explorar productos especficos o copiarlas en un grupo personalizado (ver a continuacin a fin de realizar una reparacin en un grupo de productos de una sola vez). Las definiciones pueden copiarse desde un grupo de producto a Rastrear, No rastrear o No asignadas, o a cualquier grupo personalizado definido por el usuario. Pueden residir en una plataforma, un producto y varios grupos personalizados simultneamente.
Grupos
Contiene los siguientes subgrupos: Grupos personalizados: enumera los subgrupos que se crearon y las definiciones que contienen. Mis grupos ofrece una manera de organizar las definiciones de seguridad de la forma que desee. Utilice el contenido de un grupo para copiar varias definiciones en el grupo Rastrear para una exploracin personalizada o para crear una tarea de reparacin para varias definiciones al mismo tiempo. Tambin puede utilizar un grupo personalizado para definir el contenido de un rastreo de seguridad. Copie las definiciones que desee rastrear en un grupo personalizado y seleccione dicho grupo en la opcin Rastrear por del cuadro de dilogo Ajustes de rastreo y reparacin. Para crear un grupo personalizado, haga clic con el botn secundario en Grupos personalizados o en un subgrupo y, a continuacin, haga clic en Grupo nuevo. Para agregar definiciones a un grupo personalizado, haga clic y arrastre una o ms de ellas desde cualquiera de los otros grupos de definiciones. O bien, puede hacer clic con el botn derecho en un grupo personalizado y, a continuacin, seleccionar Agregar vulnerabilidad. Alerta: muestra una lista de todas las definiciones que generarn un mensaje de alerta la prxima vez que se ejecute el rastreador de seguridad en los dispositivos. Para obtener ms informacin, consulte Uso de las alertas de vulnerabilidad. Cumplimiento: muestra una lista de todas las definiciones que se utilizan para determinar si un dispositivo (o mvil/invitado) administrado tiene un estado apropiado o no. Este grupo es utilizado por el Control de acceso de red (NAC) de LANDesk para denegar o permitir el acceso a la red principal. Las definiciones y los archivos de revisiones asociados que contiene el grupo Cumplimiento se copian en un servidor de reparaciones particular, el cual rastrea dispositivos, determina el cumplimiento o la falta de ste (segn las reglas de cumplimiento publicadas en el servidor de postura) y puede reparar los dispositivos que no cumplen para que obtengan acceso total a la red empresarial. 20 principales SANS: enumera las 20 definiciones de vulnerabilidad principales que han sido identificadas y publicadas por Microsoft. Por lo general, estas definiciones son un subconjunto de las vulnerabilidades de Microsoft Windows que se descargan con el cuadro de dilogo Descargar actualizaciones.
31
MANUAL DE USUARIO
Reglas de deteccin
El grupo Reglas de deteccin muestra slo determinados tipos de contenido de seguridad. las reglas de deteccin definen las condiciones especficas de sistema operativo, aplicacin, archivo o registro que la definicin de vulnerabilidad verifica a fin de detectar los riesgos de seguridad que se apliquen (vulnerabilidades, definiciones personalizadas y ataques de seguridad) en los dispositivos rastreados. No se aplican el spyware o las aplicaciones bloqueadas. El grupo Reglas de deteccin contiene los siguientes subgrupos: Rastrear: enumera todas las reglas de deteccin que estn activadas para el rastreo de seguridad de los dispositivos. De forma predeterminada, las reglas asociadas con una definicin de un tipo de contenido de seguridad se agregan al grupo de Rastreo de reglas de deteccin durante una actualizacin de contenido. De la misma forma, las reglas de deteccin personalizadas se asocian con las definiciones personalizadas que se agregan al grupo de rastreo cuando se crea una definicin personalizada. Observe que adems de tener activadas la reglas de deteccin de una definicin, el archivo ejecutable de revisin que le correspondiera debe descargarse tambin a un depsito local de revisiones en la red (normalmente el servidor central) para poder efectuar la reparacin. El atributo Descargado (una de las columnas de detalle en el panel derecho de la ventana) indica si se ha descargado la revisin asociada a la regla. No rastrear: enumera todas las reglas de deteccin que estn desactivadas para el rastreo de seguridad en los dispositivos. Algunas definiciones tienen ms de una regla de deteccin. Al deshabilitar esa regla de deteccin, se puede asegurar que no ser utilizada para rastrear porque las condiciones indican que la definicin se encuentra presente en los dispositivos. Esto puede permitirle simplificar un rastreo de seguridad sin volver a definir la vulnerabilidad. Ver por producto: enumera las reglas detectadas de las vulnerabilidades conocidas, organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a identificar las reglas de deteccin por su categora de producto pertinente.
Configuracin
El grupo Configuracin permite ver los diversos ajustes que ha creado para las tareas de rastreo de seguridad. Puede hacer clic con el botn secundario en cualquiera de los grupos Configuracin para crear una configuracin nueva y ver su informacin en formato de informe. El grupo Configuracin contiene los siguientes subgrupos:
32
Rastreo y reparacin: muestra una lista de todas las configuraciones de rastreo y reparacin que ha creado y las cuales se utilizan para determinar la operacin del rastreador de seguridad. Cada una de las configuraciones de rastreo y reparacin tiene un nmero identificador nico. El panel derecho muestra informacin til correspondiente a las configuraciones de rastreo y reparacin de la lista. Cumplimiento: muestra una lista de todas las configuraciones de cumplimiento que ha creado y las cuales se utilizan para determinar la operacin del rastreador de seguridad cuando se realiza un rastreo de cumplimiento especfico. Cada configuracin tiene un nmero de identificacin nico. El panel derecho muestra informacin til correspondiente a las configuraciones de rastreo y reparacin de la lista. LANDesk Antivirus: muestra una lista de todas las configuraciones de antivirus que ha creado y las cuales se utilizan para determinar la operacin del rastreador de antivirus. Cada configuracin tiene un nmero de identificacin nico. Servidor de seguridad de Windows: Detalla toda la configuracin creada del servidor de seguridad de Windows que se usa para determinar el comportamiento del servidor de seguridad de Windows XP/2003 o de Windows Vista en dispositivos configurados con los ajustes especficos. Variables personalizadas para reemplazar: Detalla todas las configuraciones de reemplazo de variables personalizadas creadas que se utilizan para determinar qu valores modificados de las variables personalizadas se deben ignorar cuando se ejecuta el rastreador de seguridad. Cada configuracin tiene un nmero de identificacin nico. El panel derecho muestra informacin til correspondiente a las configuraciones de la lista. Control de acceso de red: Detalla los servicios del Control de acceso de red (NAC) de LANDesk. Si hace clic con el botn secundario en el objeto DHCP/NAC de LANDesk, tendr acceso a un men contextual con opciones para: configurar el control de acceso de red, como los servidores DHCP de LANDesk o los servidores de validacin de postura, el nivel de registro y las posturas de slo auditora; configurar servidores de reparaciones; configurar credenciales de usuario; publicar las configuraciones de control de acceso de red; y agregar dispositivos no administrados. Expanda el objeto para tener acceso a los registros del servidor de validacin de postura en el que se puede hacer doble clic para descargar los datos del archivo de registro del servidor.
Detalles de la definicin
El panel derecho de la ventana del Administrador de Seguridad y Revisiones muestra informacin detallada, enumerada en columnas que se pueden ordenar, para elementos de regla de definicin y deteccin, como se describe a continuacin: Id: identifica la definicin con un cdigo alfanumrico nico y definido por el proveedor. Gravedad: indica el nivel de gravedad de la definicin. Los niveles de gravedad posibles incluyen: Service Pack, Crtica, Alta, Media, Baja, No aplica y Desconocida. Ttulo: describe la naturaleza o el destino de la definicin en una breve cadena de texto. Idioma: indica el idioma del sistema operativo o de la aplicacin afectada por la definicin. Fecha de publicacin: indica la fecha en la que el proveedor public la definicin. Reparable: indica si la definicin se puede reparar mediante el despliegue o instalacin de un archivo de revisin. Los valores posibles son: S, No, Algunas (para una definicin que incluye varias reglas de deteccin y no se pueden reparar todas las definiciones detectadas) y Sin reglas (para una definicin personalizada que no incluye reglas de deteccin).
33
MANUAL DE USUARIO
Instalacin silenciosa: indica si las revisiones asociadas a la definicin se instalan en segundo plano, es decir, sin la intervencin del usuario. Algunas definiciones tienen ms de una revisin. Si alguna de las revisiones de las definiciones no se instala en segundo plano, el indicador dir No. Para ver cmo se instalan las revisiones individuales, haga clic con el botn derecho en la definicin y seleccione Propiedades | Revisiones. Detectada: muestra el nmero de dispositivos explorados en los que se detect la definicin. Rastreados: muestra el nmero de dispositivos explorados para encontrar la definicin. Reparacin automtica: indica si la reparacin automtica est activada o desactivada para la definicin. CVE ID: (Se aplica slo a vulnerabilidades) Identifica una vulnerabilidad por su nombre nico de CVE (Vulnerabilidades y Exposiciones Comunes). Para obtener ms informacin, consulte "Uso de nombres CVE" en la pgina 78.
Haga clic con el botn secundario en una regla de deteccin, para ver ms detalles de la opcin Propiedades. El men de acceso directo permite activar o desactivar la regla y descargar la revisin asociada.
34
35
MANUAL DE USUARIO
Una vez que ocurre la configuracin del agente, se agrega un icono para el rastreador de seguridad y revisiones en el grupo de Programa LANDesk Management del dispositivo, esto se puede utilizar para ejecutar el rastreador directamente desde el dispositivo, contrario a un inicio por medio de una tecla, recurriendo al inicio local del programador, o la tarea programada que se usa en la consola.
Pgina Rastreado de seguridad frecuente del cuadro de dilogo Configuracin del Agente
Utilice esta pgina para habilitar y configurar rastreos de alta frecuencia para riesgos de seguridad crticos y urgentes, tales como virus malvolos y descubiertos recientemente, y riesgos de configuracin de los servidor de seguridad. Usar el rastreo de seguridad frecuente: permite el rastreo de alta frecuencia con el rastreador de seguridad y revisiones, segn la hora y el contenido de grupo especificados a continuacin. Si no se selecciona esta opcin, los dispositivos administrados configurados con la configuracin del agente an podrn ser rastreados con el rastreador de seguridad y revisiones, en funcin de las opciones especificadas en la pgina Rastreo de seguridad y revisiones, debido a que el agente de seguridad y revisiones es parte del agente LANDesk estndar. Rastrear slo cuando un usuario inicie sesin, cada: especifica con qu frecuencia se ejecuta el rastreo de seguridad cuando un usuario inicia sesin en un dispositivo administrado. La frecuencia mnima es de 30 minutos. Elegir una configuracin de rastreo y reparacin: determina las definiciones de tipo de seguridad que rastrea el rastreo de alta frecuencia, segn el contenido de los grupos personalizados que se seleccionan aqu. El rastreo de alta frecuencia solamente se puede definir mediante el contenido de un grupo personalizado y no mediante los grupos Rastrear, Alertas o Cumplimiento. Se puede agregar cualquier tipo de contenido de seguridad a un grupo personalizado, tales como spyware, vulnerabilidades, definiciones personalizadas, amenazas de seguridad, etc. El grupo personalizado se selecciona en el dilogo Ajustes de rastreo y reparacin. Elija una configuracin de rastreo y reparacin en la lista desplegable. En la lista solamente aparecen las configuraciones de rastreo y reparacin que se han configurado para el rastreo de un grupo personalizado (a diferencia de un tipo o unos tipos especficos). Configurar: abre el cuadro de dilogo Ajustes de rastreo y reparacin, en el cual puede seleccionar la configuracin de rastreo y reparacin que tiene especificado un grupo personalizado.
36
El contenido de seguridad y revisiones de cada una de estas plataformas puede descargarse con el Administrador de Seguridad y Revisiones al igual que las vulnerabilidades de Windows. Los dispositivos Linux y UNIX no pueden configurarse con el agente de rastreador de seguridad y revisiones por medio de la herramienta de configuracin de la consola del agente. La configuracin de Linux y UNIX es un proceso manual. Para ms informacin sobre la configuracin de dispositivos Linux y UNIX, consulte el Manual de instalacin e implementacin, as como el archivo LEAME que se encuentra en el archivo tar de su respectiva plataforma en las plataformas bajo ManagementSuite\LDLogon en el servidor central.
37
MANUAL DE USUARIO
Una vez configuradas, estas plataformas Linux y UNIX pueden rastrearse en busca de vulnerabilidades mediante tareas programadas desde la consola. Si se detectan las vulnerabilidades, la reparacin debe llevarse a cabo de manera manual en el dispositivo afectado.
38
39
MANUAL DE USUARIO
40
41
MANUAL DE USUARIO
5.
Seleccione los idiomas cuyo contenido desee actualizar para los tipos que ha especificado. Algunos tipos de vulnerabilidades y otros tipos de definiciones, al igual que las revisiones asociadas, son neutrales o independientes del idioma, lo cual quiere decir que son compatibles con cualquier versin de idioma del sistema operativo o de la aplicacin que cubre la definicin. Es decir, no es necesario disponer de una revisin especfica de idioma nico para reparar las vulnerabilidades, ya que la revisin engloba todos los idiomas admitidos. Por ejemplo, las plataformas Linux utilizan solamente definiciones y revisiones neutras al idioma. No obstante, las definiciones y las revisiones de vulnerabilidad de la plataforma Windows y Apple Macintosh casi siempre son especficas a un idioma. Al descargar contenido para cualquier plataforma (con la suscripcin adecuada), todas las definiciones de vulnerabilidad neutrales al idioma de la plataforma seleccionada se actualizan automticamente de forma predeterminada. Si ha seleccionado un tipo de contenido de plataforma Windows o Mac, tambin debe seleccionar los idiomas especficos cuyas definiciones desee actualizar. Si ha seleccionado una plataforma Linux o Sun Solaris, no es necesario seleccionar un idioma especfico debido a que el contenido es neutro al idioma y se actualizar de forma automtica. Si desea que el nuevo contenido (el contenido no se encuentra en ningn grupo del rbol del Administrador de Seguridad y Revisiones) se ubique automticamente en el grupo No asignadas en lugar de la ubicacin predeterminada, la cual es el grupo Rastrear, haga clic en la casilla de verificacin Colocar nuevas definiciones en el grupo No asignadas. Si desea descargar automticamente los archivos ejecutables de la revisin que estn asociados, active la casilla de verificacin Descargar revisiones y, a continuacin, haga clic en una de las opciones de descarga: Slo para definiciones detectadas: descarga nicamente las revisiones asociadas con vulnerabilidades, ataques de seguridad o actualizaciones de LANDesk detectadas por el ltimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo Detectadas). Para todas las definiciones descargadas: Descarga TODAS las revisiones asociadas con vulnerabilidades, amenazas de seguridad y actualizaciones de LANDesk que residen en el grupo Rastrear.
6.
7.
Las revisiones se descargan en la ubicacin especificada en la ficha Ubicacin de revisiones del cuadro de dilogo Descargar actualizaciones. 8. Si dispone de un servidor proxy en la red que se utilice para transmisiones externas de Internet (necesario para actualizar el contenido de seguridad y revisin y descargar revisiones), haga clic en la ficha Configuracin del Proxy y especifique la direccin del servidor, el nmero de puerto y las credenciales de autenticacin si se requiere un inicio de sesin para acceder al servidor proxy. 9. Haga clic en Aplicar en una de las fichas en cualquier momento para guardar la configuracin. 10. Haga clic en Actualizar ahora para ejecutar la actualizacin del contenido de seguridad y revisiones. En el cuadro de dilogo Actualizacin de definiciones se muestra el estado y la operacin actual. (Para crear una tarea programada haga clic en Programar actualizacin.)
42
11. Una vez completada la actualizacin, haga clic en Cerrar. Tenga en cuenta que si hace clic en Cancelar antes de que finalice la actualizacin, solamente se descargar en la base de datos central el contenido de seguridad y revisiones que se ha procesado hasta ese momento. Tendr que ejecutar la actualizacin de nuevo a fin de obtener el resto del contenido de seguridad y revisiones. Nota: No cierre la consola mientras se ejecuta un proceso de actualizacin de seguridad y revisiones o el proceso ser finalizado. Sin embargo, esta regla no se aplica a la tarea programada de Descarga de contenido de seguridad y revisiones, que finalizar el proceso an cuando la consola se encuentre ejecutndose. Para configurar la ubicacin de la descarga de revisiones 1. 2. 3. En el cuadro de dilogo Descargar actualizaciones, haga clic en la ficha Ubicacin de la revisin. Indique una ruta UNC donde desee que se copien los archivos de revisin. La ubicacin predeterminada es el directorio \LDLogon\Patch del servidor central. Si la ruta introducida se indica en una ubicacin distinta del servidor central, introduzca una contrasea y nombre de usuario vlidos para realizar la autenticacin en dicha ubicacin. Indique una direccin URL del Web donde los dispositivos puedan tener acceso a las revisiones descargadas para la implementacin. Esta direccin debe coincidir con la ruta UNC indicada anteriormente. Puede hacer clic en Comprobar configuracin para comprobar si se puede realizar una conexin a la direccin Web especificada con anterioridad. Si desea restaurar la ruta UNC y la direccin URL del Web en sus ubicaciones predeterminadas, haga clic en Restaurar predeterminada. Nuevamente, la ubicacin predeterminada es el directorio \LDLogon\Patch del servidor central.
4.
5. 6.
43
MANUAL DE USUARIO
44
Para aplicar un filtro a la visualizacin de contenido de un grupo 1. 2. Haga clic en el grupo de contenido en el panel izquierdo de la venta del Administrador de Seguridad y Revisiones. Haga clic en la lista Filtro, y luego seleccione un filtro de la lista.
Quitar vulnerabilidades
Puede quitar las vulnerabilidades en la ventana del Administrador de Seguridad y Revisiones (y la base de datos central), si se determina que no es relevante en el entorno, o bien, si una reparacin correcta hace que la informacin sea obsoleta.
45
MANUAL DE USUARIO
Cuando se purgan las definiciones, la informacin de la regla de deteccin asociada tambin se quita de los grupos de Reglas de deteccin en la vista de rbol. No obstante, con este proceso no se eliminan los archivos ejecutables asociados de la revisin real. Los archivos de revisin se deben quitar de forma manual del depsito local, que generalmente se encuentra en el servidor central. Para quitar vulnerabilidades 1. 2. 3. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn de la barra de herramientas Quitar vulnerabilidades. Seleccione las plataformas cuyas definiciones desee eliminar. Puede seleccionar una o varias plataformas de la lista. Si una definicin se asocia con varias plataformas, debe seleccionarlas todas para poder eliminar la misma. Seleccione los idiomas cuya definicin desee eliminar (asociada con la plataforma seleccionada anteriormente). Si selecciona una plataforma de Windows o Macintosh, debe especificar los idiomas cuya definicin desea eliminar. Si elige una plataforma UNIX o Linux, es necesario especificar la opcin Idioma neutral para poder eliminar las definiciones independientes de sus idiomas. Haga clic en Quitar.
4.
5.
46
Para realizar la descarga 1. En cualquier grupo de reglas de deteccin, haga clic con el botn derecho y, a continuacin, seleccione Descargar revisin. Tambin puede descargar revisiones de definiciones personalizadas en el dilogo de regla de deteccin, al crear o editar una definicin personalizada. O bien, para descargar un conjunto de reglas, seleccione cualquier cantidad de reglas en el grupo de reglas de deteccin y, a continuacin, haga clic en Descargar revisin. El estado y la operacin de descarga se muestran en el cuadro de dilogo Descarga de revisiones. Puede hacer clic en Cancelar en cualquier momento para detener todo el proceso de descarga. Una vez finalizada la descarga, haga clic en el botn Cerrar.
2. 3.
4.
Desinstalacin de revisiones
Puede desinstalar las revisiones implementadas en los dispositivos administrados. Por ejemplo, puede desinstalar una revisin que haya causado un conflicto inesperado con la configuracin existente. Al desinstalar la revisin, puede restaurar el dispositivo a su estado original. Para desinstalar una revisin 1. 2. 3. 4. 5. Desde cualquier listado de seleccin de reglas, haga clic en el botn secundario en una o ms reglas, y luego haga clic en Desinstalar revisin. Escriba un nombre para la tarea de desinstalacin. Especifique si la desinstalacin es una poltica o tarea programada, o ambas. Si seleccion una tarea programada, especifique cules son los dispositivos desde los que desea instalar la revisin. Si la revisin no puede desinstalarse sin acceder a su archivo ejecutable original (es decir, utilizar parmetros de lnea de comandos), y desea implementar un ejecutable usando la Multidifusin dirigida, habilite la casilla de verificacin Utilizar multidifusin. Para configurar las opciones, haga clic en el botn Opciones de multidifusin. Para obtener ms informacin, consulte About the Multicast options dialog. Si seleccion una poltica, y desea crear una nueva consulta basada en esta tarea de desinstalacin que pueda usarse ms adelante, active la casilla de verificacin Agregar una consulta.
6.
47
MANUAL DE USUARIO
7.
8.
Seleccione una configuracin de rastreo y reparacin en la lista disponible (o cree una configuracin personalizada para este rastreo), para determinar la forma en que el escner opera en los dispositivos de usuarios finales. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de destino y configurar las opciones de programacin en la herramienta de Tareas programadas. Para una poltica, la nueva aparece en la ventana Administrador de polticas de aplicacin con el nombre de tarea indicado en la parte superior. Desde all puede agregar destinos estticos (usuarios o dispositivos) y dinmicos (resultados de consultas), as como configurar la frecuencia y el tipo de directiva.
48
Las definiciones personalizadas no tienen necesariamente que realizar acciones de reparacin (despliegue e instalacin de archivos de revisin). Si la definicin personalizada se define con una regla o reglas de deteccin de Slo detectar que slo puede detectarse con el Administrador de Seguridad y Revisiones, el rastreador de seguridad observa en los dispositivos destino y simplemente informa a los dispositivos si se encuentra presente la condicin indicada por la regla (por ejemplo, vulnerabilidad). Por ejemplo, puede escribir una regla personalizada de Slo detectar para que el rastreador de seguridad verifique lo siguiente en los dispositivos administrados: Existencia de aplicaciones Existencia de archivos Versin de archivo Ubicacin de archivos Fecha de archivos Configuracin del registro Y ms...
Puede crear la cantidad de definiciones personalizadas de vulnerabilidad que desee para establecer y mantener el nivel ptimo de seguridad de revisiones en el entorno.
49
MANUAL DE USUARIO
11. La lista Reglas de deteccin muestra todas las reglas utilizadas por la vulnerabilidad. Si est creando una vulnerabilidad personalizada, debe configurar al menos una regla de deteccin que el rastreador de seguridad utilice para rastrear los dispositivos en busca de la vulnerabilidad. Para agregar reglas de deteccin, haga clic en Agregar. Consulte el procedimiento siguiente, el cual brinda instrucciones detalladas. 12. Si desea proveer informacin adicional sobre la vulnerabilidad, haga clic en la ficha Descripcin y escriba los comentarios en el cuadro de texto o bien, escriba una direccin Web vlida donde se encuentre mayor informacin. Como sucede con las vulnerabilidades del proveedor, las vulnerabilidades personalizadas deben incluir una o ms reglas de deteccin que indiquen al rastreador de seguridad las condiciones que debe buscar cuando rastree los dispositivos administrados. Realice los pasos siguientes para crear una regla de deteccin para una vulnerabilidad personalizada.
3.
4. 5. 6.
7.
50
8.
9.
10.
11.
12.
13.
14.
En la pgina Archivos, configure las condiciones especficas de archivos que desee que la regla rastree. Haga clic en Agregar para habilitar la edicin de los campos de esta pgina. El primer paso de la configuracin de una condicin de archivo es especificar el mtodo de verificacin. Los campos de la ficha dependen del mtodo de verificacin que selecciona. Para guardar una condicin de archivo, haga clic en Actualizar. Podr introducir tantas condiciones de archivo como desee. Para obtener una descripcin detallada de esta opcin, consulteAbout the Detection logic: Files used for detection page. En la pgina Configuracin de registro, configure las condiciones especficas de registro que desee que la regla rastree. Haga clic en Agregar para habilitar la edicin de los campos. Para guardar una condicin de registro, haga clic en Actualizar. Podr introducir tantas condiciones de registro como desee. Para obtener una descripcin detallada de esta opcin, consulteAbout the Detection logic: Registry settings used for detection page. En la pgina Secuencia de comandos personalizada, puede crear una secuencia VB para ayudar en la deteccin de esta regla de deteccin. Las propiedades del agente del rastreador de seguridad que pueden accederse con una secuencia personalizada son las siguientes: Detectadas, Razones, Esperadas y Encontradas. Nota: Haga clic en el botn Utilizar editor para abrir la herramienta predeterminada de edicin de secuencias de comandos asociada con este tipo de archivo. Cuando cierra la herramienta se le indica que guarde los cambios en la pgina Secuencia de comandos. Si desea utilizar otra herramienta debe cambiar la asociacin del tipo de archivo. En la pgina Informacin de revisiones, especifique si la vulnerabilidad asociada con esta regla de deteccin puede repararse o puede detectarse en sus dispositivos administrados. Si selecciona la opcin de reparacin, los campos de la Informacin de descarga de la revisin se pueden editar. Si puede reparar por medio de la implementacin de una revisin, ingrese la URL del archivo de revisin y especifique si puede descargarse de forma automtica. (Para intentar la descarga del archivo de revisin asociado en este momento, haga clic en Descargar o bien, lo puede descargar posteriormente). Tambin, si puede reparar la implementacin de una revisin, ingrese un nombre de archivo nico y especifique si la revisin necesita reiniciar para completar la reparacin y si la revisin requiere que el usuario ingrese algo durante la reparacin. (Para una regla de deteccin que incluya la reparacin, recomendamos enfticamente que cree un hash para el archivo de revisin. Para ello, haga clic en Generar MD5 Hash. Debe descargarse el archivo de revisin antes de crear un hash. Para obtener ms informacin sobre el hash, consulteAbout the Detection rule: General information page.) Para una regla que permita la reparacin de la vulnerabilidad asociada, puede configurar los comandos adicionales que se ejecutan durante el proceso de reparacin en los dispositivos afectados. Para configurar comandos de reparacin adicionales, haga clic en la pgina Comandos de instalacin de revisiones y luego en Agregar para seleccionar un tipo de comando y hacer que se puedan editar los campos de argumento del comando. NO se necesitan comandos adicionales de instalacin de revisiones. Si no configura ningn comando particular, el archivo de revisin se ejecuta normalmente. Para obtener una descripcin detallada de esta opcin, consulteAbout the Patch install commands page.
Ahora que ha creado una definicin de vulnerabilidad personalizada, puede utilizarla del mismo modo que una vulnerabilidad de una fuente del sector. Puede definir el estado de la vulnerabilidad en Rastrear o colocarla en el grupo Rastrear para incluirla en el prximo rastreo de seguridad, colocarla en el grupo No rastrear o No asignadas, ver los equipos afectados, activar la correccin automtica, crear una tarea de reparacin o borrar el estado del rastreo o reparacin. Para elegir una opcin, haga clic con el botn secundario en una definicin de vulnerabilidad personalizada para abrir el men de acceso directo.
51
MANUAL DE USUARIO
Existen dos operaciones que son exclusivas para las definiciones creadas por el usuario: la importacin/exportacin y la eliminacin.
6.
Para importar definiciones personalizadas 1. 2. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn de la barra de herramientas Importar definiciones personalizadas. Ubique y seleccione una o ms definiciones (en el archivo XML que desee importar) y haga clic en Abrir. Si la definicin ya existe en la base de datos central, se le preguntar si desea sobrescribirla. Consulte la ventana de estado para ver si la definicin se import satisfactoriamente. Haga clic en Cerrar. Las definiciones importadas (nuevas y actualizadas) se colocan en el grupo Definiciones personalizadas no asignadas.
3.
52
53
MANUAL DE USUARIO
Dispositivos de rastreo
"Rastreo de dispositivos para detectar riesgos de seguridad" en la pgina 55 "El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos." en la pgina 56 "Creacin de tareas de rastreo de seguridad (y de cumplimiento)" en la pgina 58 "Configuracin del rastreo con la configuracin de rastreo y reparacin" en la pgina 60 "Uso de variables personalizadas y de ajustes de reemplazo de variables personalizadas" en la pgina 61 "Visualizacin de la informacin de seguridad detectada" en la pgina 62 "Reenvo de resultados de rastreo de seguridad a servidor central de resumen" en la pgina 63
Reparacin de dispositivos
"Reparacin de dispositivos con riesgos de seguridad detectados" en la pgina 64 "El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos." en la pgina 68 "Mtodos de reparacin" en la pgina 70 "Uso de una tarea de reparacin programada" en la pgina 70 "Uso de una poltica de reparacin (slo Windows)" en la pgina 71 "Uso de una reparacin automtica" en la pgina 72 "Qu sucede en un dispositivo durante la reparacin?" en la pgina 73 "Ver informacin de seguridad y revisiones para los dispositivos rastreados." en la pgina 74 "Comprobacin del estado de reparacin" en la pgina 75 "Borrado del estado de rastreo o reparacin de vulnerabilidad por vulnerabilidad" en la pgina 75
54
55
MANUAL DE USUARIO
El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos.
La tabla a continuacin describe cmo funciona el rastreador de seguridad para cada tipo de contenido: Cuando busca... Actualizaciones de software LANDesk El Administrador de Seguridad y Revisiones rastrea por...
Uso de las definiciones de actualizacin de software publicadas por LANDesk para revisar las versiones de software de LANDesk.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Windows en boletines de seguridad del proveedor oficial) para encontrar vulnerabilidades conocidas de sistema operativo o de aplicacin.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Macintosh en boletines de seguridad oficiales) para encontrar vulnerabilidades conocidas.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Linux y en boletines de seguridad oficiales) para encontrar vulnerabilidades UNIX: conocidas.
Definiciones personalizadas:
Uso de las vulnerabilidades definidas por el usuario creadas por los administradores de LANDesk para buscar condiciones de plataformas definidas por el usuario, aplicaciones, archivos o configuracin del registro.
Uso de las definiciones publicadas por LANDesk para buscar errores y problemas en la configuracin local del sistema.
Spyware
Uso de las definiciones de deteccin de spyware que buscan instancias de programas de spyware en los dispositivos rastreados. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk para monitorear spyware. Tambin puede habilitar el monitoreo y el bloqueo de spyware en tiempo real
56
Cuando busca...
El Administrador de Seguridad y Revisiones rastrea por... con una configuracin de agente del dispositivo.
Actualizaciones Uso de las definiciones de actualizacin de los controladores de otros de controladores fabricantes que corroboran las versiones de los controladores.
Actualizaciones de software
Uso de las definiciones de actualizacin de los software de otros fabricantes que corroboran las versiones de los controladores.
Actualizaciones de antivirus
Uso de las definiciones de deteccin del rastreador de antivirus (NO son los archivos reales de definiciones o patrones de virus) para buscar: - la instalacin de motores comunes de rastreador de antivirus (incluso la herramienta de LANDesk Antivirus ) - estado del rastreo en tiempo real (habilitado o deshabilitado) - versiones de archivos de patrones especficos del rastreador (actualizadas o anteriores) - fecha del ltimo rastreo (si el ltimo rastreo se realiz dentro del perodo de tiempo mximo permitido especificado por el administrador)
Aplicaciones bloqueadas
Uso de las definiciones de aplicacin publicadas por LANDesk (o definiciones de aplicaciones definidas por el usuario) para denegar de forma inmediata el acceso a los usuarios finales a la aplicacin, por medio de una edicin del registro local. La reparacin NO es un procedimiento independiente. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk softmon.ex para denegar el acceso a determinados ejecutables de aplicaciones aunque el nombre de archivo del ejecutable se haya modificado porque softmon.exe lee la informacin del encabezado del archivo. (Consulte el Aviso legal para el tipo de aplicacin bloqueada.)
Para comprender cmo el Administrador de seguridad y revisiones repara estos tipos de contenidos, consulte los"El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos." en la pgina 68.
57
MANUAL DE USUARIO
58
Rastreos de seguridad de cumplimiento Con el Administrador de Seguridad y Revisiones tambin puede crear y configurar un rastreo de seguridad especfico del cumplimiento que busque en los dispositivos el cumplimiento de la poltica de seguridad personalizada. El rastreo de cumplimiento se basa en el contenido del grupo Cumplimiento y puede ejecutarse como una tarea programada, una poltica e incluso iniciarse con LANDesk Antivirus cuando se detecta un virus que no puede eliminarse ni ponerse en cuarentena (consulte las opciones de la ficha Cumplimiento en el cuadro de dilogo Configuracin de rastreo y reparacin). Rastreos de seguridad y cumplimiento a peticin Tambin puede ejecutar rastreos de seguridad o cumplimiento inmediato en uno o ms dispositivos de destino. Haga clic con el botn derecho en el dispositivo seleccionado (o en hasta 20 dispositivos mltiples seleccionados), haga clic en Rastreo de seguridad y cumplimiento ahora, seleccione una configuracin de rastreo y reparacin, elija el tipo de rastreo y luego haga clic en Aceptar. Para crear una tarea de rastreo de seguridad 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Asegrese de que el contenido de seguridad y revisiones haya sido recientemente actualizado. Asegrese de que el grupo Rastrear contiene nicamente las definiciones que se desean rastrear. Haga clic en el botn de la barra de herramientas Crear una tarea y luego haga clic en Rastreo de seguridad. Aparece el cuadro de dilogo Crear tarea de rastreo de seguridad. Escriba un nombre para el rastreo. Especifique si el rastreo es una directiva o tarea programada, o ambas. Seleccione una configuracin de rastreo y reparacin en la lista disponible (o cree una configuracin personalizada para este rastreo), para determinar la forma en que el escner opera en los dispositivos de usuarios finales. Haga clic en Aceptar. Para una tarea de rastreo programada, ahora puede agregar dispositivos de destino y configurar las opciones de programacin en la herramienta de Tareas programadas.
5. 6. 7.
8.
Visualizacin de las fechas de los rastreos de seguridad ms recientes en el Inventario del dispositivo
Para ver cundo se ejecut el ltimo rastreo en un dispositivo, haga clic con el botn derecho en dicho dispositivo, seleccione Inventario y, a continuacin, desplcese hasta el atributo Fecha de ltimo rastreo en el panel de la derecha de la vista del inventario.
59
MANUAL DE USUARIO
2. 3. 4.
Observe que la ficha Cumplimiento se aplica slo a las tareas de rastreo de seguridad de cumplimiento. Una vez configurada, se puede aplicar la configuracin de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio y cambio de configuracin.
60
Es probable que en algn momento desee cambiar la configuracin predeterminada de rastreo y reparacin en ciertos dispositivos. El Administrador de Seguridad y Revisiones ofrece un modo para hacer esto sin necesidad de volver a implementar una configuracin de agente completamente nueva. Para ello, utilice la tarea Cambiar configuracin que se encuentra en la lista desplegable del botn Crear una tarea de la barra de herramientas. El cuadro de dilogo que aparece permite especificar un nombre nico para la tarea, indicar si se trata de una tarea o de una poltica programada, y ya sea seleccionar una configuracin de rastreo y reparacin existente como predeterminada o utilizar el botn Editar para crear una nueva configuracin de rastreo y reparacin predeterminada en los dispositivos de destino.
Para cambiar una variable personalizada, haga doble clic en el campo Valor y seleccione un valor, si hay una lista desplegable disponible, o edite manualmente el valor y luego haga clic en Aplicar. Observe que algunas variables son de slo lectura y no pueden editarse (esto generalmente se indica en la descripcin).
61
MANUAL DE USUARIO
Configuracin de reemplazo de variable personalizada Es posible que en algunos casos desee hacer caso omiso de la configuracin de variables personalizadas o, en otras palabras, crear una excepcin a la regla. Puede hacerlo con una funcin denominada configuracin de reemplazo de variables personalizadas. La configuracin del reemplazo de variables personalizadas le permite decidir qu variables personalizadas se van a pasar por alto durante el rastreo de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccin de una definicin. El usuario debe tener derecho de Editar variables personalizadas para crear o editar una configuracin de reemplazo de variable personalizada- Puede crear las configuraciones de reemplazo de variables personalizadas que desee y aplicarlos a los dispositivos con la tarea Cambiar configuracin. Para obtener ms informacin, consulte About the Custom variable override settings dialog.
62
2. 3. 4.
63
MANUAL DE USUARIO
Vulnerabilidades conocidas
Para las vulnerabilidades conocidas, la reparacin implica la implementacin e instalacin de una revisin de seguridad adecuada. La reparacin de vulnerabilidades de Windows y Macintosh puede realizarse mediante la consola, como una tarea programada o una reparacin basada en polticas o como un rastreo de reparacin automtica. Sin embargo, la reparacin de las vulnerabilidades de Linux y UNIX debe realizarse de forma manual.
Definiciones personalizadas:
Para las definiciones personalizadas, la reparacin puede consistir en la implementacin de una revisin personalizada o de una secuencia de comandos que trate el problema. Al igual que la reparacin de vulnerabilidades conocidas, esta tarea de reparacin puede realizarse mediante la consola.
64
Amenazas de seguridad
Para las amenazas de seguridad (errores del sistema de Windows local o de configuracin de la plataforma), la reparacin debe realizarse de forma manual en el dispositivo afectado.
Las propiedades de amenaza del servidor de seguridad de Windows incluyen las variables personalizadas que permiten realizar la configuracin del servidor de seguridad de Windows. Puede utilizar esta definicin de amenaza de seguridad para rastrear su configuracin especfica y regresar a la condicin de vulnerabilidad si esa configuracin no coincide. Luego, puede utilizar la definicin personalizada en una tarea de reparacin durante el rastreo de reparacin para activar y desactivar el servidor de seguridad como cambiar y volver a configurar la configuracin del servidor de seguridad en el dispositivo rastreado. Puede implementar una configuracin para el servidor de seguridad en las siguientes versiones de Windows: Windows 2003/XP Windows Vista
GPO de Windows podra cambiar la configuracin del servidor de seguridad Debe saber que es posible para un objeto de directiva de grupo de Windows (GPO) interferir con los valores del servidor de seguridad configurado con el rastreador de seguridad. Por ejemplo, la configuracin del servidor de seguridad que defini en el cuadro de dilogo Configurar las variables personalizadas de la amenaza de seguridad al servidor de seguridad de Windows y que luego una tarea de reparacin del rastreador de seguridad las implementa, puede volverse a su valor original de acuerdo con la configuracin de un objeto de directiva de grupo activo.
Spyware
Para el spyware, la reparacin consiste en la eliminacin de la aplicacin de spyware que est en falta. Esto puede realizarse de forma remota desde la consola con una tarea de reparacin.
65
MANUAL DE USUARIO
Tambin puede configurar un dispositivo de control de spyware en tiempo real (rastreo, deteccin y eliminacin). Para utilizar un control de spyware en tiempo real, debe permitir los valores en la configuracin de agente del dispositivo. En la pgina Spyware del cuadro de dilogo Configuracin del agente, active las opciones de control de spyware adecuadas para habilitar el monitoreo en tiempo real y la notificacin de los usuarios finales. El monitoreo de spyware en tiempo real utiliza el programa softmon.exe de la herramienta de monitoreo de la licencia del software LANDesk para controlar el spyware y crear archivos de registro que el rastreador de seguridad y revisiones lee cuando busca definiciones de spyware en los dispositivos de destino. La reparacin automtica debe estar habilitada para el monitoreo de spyware en tiempo real Para que el rastreo y la deteccin de spyware en tiempo real funcione, las definiciones de spyware descargadas deben tener habilitada la opcin de reparacin automtica. Puede habilitar en forma manual la opcin de reparacin automtica para las definiciones de spyware de las listas de elementos en la ventana de herramientas del Administrador de Seguridad y Revisiones. O puede configurar actualizaciones de definiciones de spyware para que la opcin de reparacin automtica se habilite de forma predeterminada cuando se descarguen definiciones de spyware.
Aplicaciones bloqueadas
Para las aplicaciones bloqueadas, la reparacin NO es una tarea independiente. El bloqueo de aplicaciones toma lugar a partir del rastreo de seguridad mismo, al editar el registro en el disco duro local para deshabilitar el acceso de los usuarios a las aplicaciones no autorizadas. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk softmon.ex para denegar el acceso a determinados ejecutables de aplicaciones aunque el nombre de archivo del ejecutable se haya modificado porque softmon.exe lee la informacin del encabezado del archivo.
Actualizaciones de antivirus
Las actualizaciones de antivirus se encuentran disponibles para varios productos de antivirus comunes, entre ellos LANDesk Antivirus. Consulte la lista Tipos de definiciones del cuadro de dilogo Descargar actualizaciones para ver los motores de rastreador de antivirus compatibles, es decir, para los que puede descargar definiciones de deteccin. Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases. Las actualizaciones de antivirus son definiciones del rastreador que detectan:
66
La instalacin de motores rastreadores de antivirus comunes (entre ellos la herramienta de LANDesk Antivirus) El estado del rastreo en tiempo real (habilitado o deshabilitado) Versiones de los archivos de patrones especficos del rastreador (actualizadas o anteriores) Fecha del ltimo rastreo (si el ltimo rastreo se encuentra dentro del mximo perodo de tiempo permitido especificado por el administrador)
Cuando implementa un rastreo de seguridad con definiciones de deteccin de rastreador de antivirus, el rastreador de seguridad verifica si el motor de rastreador de antivirus se encuentra instalado en los dispositivos administrados, si el rastreo en tiempo real se encuentra habilitado o deshabilitado, si los archivos de patrones del rastreador estn actualizados y el da en que se ejecut el ltimo rastreo en el dispositivo. El rastreo en tiempo real se puede habilitar de forma remota si se encuentra desactivado.
67
MANUAL DE USUARIO
El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos.
La tabla a continuacin describe la forma en que el Administrador de Seguridad y Revisiones repara los diferentes tipos de contenido de seguridad: Cuando repara... Administrador de Seguridad y Revisiones repara por...
Vulnerabilidades de Windows
Implementacin e instalacin de los archivos de revisin requeridos (los archivos de revisin deben haberse descargado previamente donde se guarda la revisin local).
Vulnerabilidades de Macintosh
Definiciones personalizadas:
Implementacin e instalacin de los archivos de revisin, si la regla de deteccin asociada permite la reparacin, y si los archivos de revisin especificados estn disponibles.
Spyware
Eliminacin de la instancia de spyware detectada. Para obtener ms informacin sobre la deteccin y eliminacin de spyware en tiempo real, consulte la seccin sobre spyware anterior.
Actualizaciones de controladores
68
Administrador de Seguridad y Revisiones repara por... Implementacin e instalacin de la actualizacin apropiada de software de otros fabricantes.
Actualizaciones de antivirus
Permite volver a habilitar el rastreo en tiempo real si se ha desactivado. Las otras definiciones de deteccin del rastreador de antivirus devuelven informacin de estado sobre las instalaciones especficas de motores de rastreador de antivirus, versiones de archivos de patrones y las fechas de los ltimos rastreos (los problemas relacionados no pueden repararse de forma remota desde la consola).
Denegacin de acceso a la aplicacin, aunque el nombre del archivo ejecutable del programa se haya modificado, a travs de la lectura de la informacin del encabezado del archivo. En ese caso, la reparacin NO es un procedimiento independiente. El bloqueo de aplicaciones se lleva a cabo durante el proceso del rastreo de seguridad. El rastreo de seguridad niega inmediatamente el acceso de los usuarios finales a la aplicacin por medio de la edicin del registro. (Consulte"Aviso legal para los tipos de aplicaciones bloqueadas" en la pgina 39.)
Para comprender cmo el Administrador de seguridad y revisiones rastrea estos tipos de contenidos, consulte los"El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos." en la pgina 56.
69
MANUAL DE USUARIO
Mtodos de reparacin
El Administrador de Seguridad y Revisiones proporciona los siguientes mtodos para reparar desde la consola: "Uso de una tarea de reparacin programada" en la pgina 70 "Uso de una poltica de reparacin (slo Windows)" en la pgina 71 "Uso de una reparacin automtica" en la pgina 72
La reparacin de tarea programada se puede considerar como una distribucin de instalacin automtica, ya que la revisin se instala automticamente desde el servidor central en los dispositivos; sin embargo, una directiva se considera una instalacin solicitada porque el agente de directivas del dispositivo busca en el servidor central directivas aplicables y, posteriormente, instala la revisin desde el servidor central.
3. 4.
70
5.
(Opcional) Si desea que esta tarea de reparacin se divida en dos partes: una tarea en fases que implementa las revisiones necesarias en dispositivos afectados y la tarea de reparacin actual que instala la revisin, haga clic en Separar en tareas en fases y tareas de reparacin. 6. Especifique los dispositivos que desea reparar. Si desea que los dispositivos afectados actuales se agreguen automticamente a la lista de destino de la ventana de tareas programadas, haga clic en la casilla Agregar todos los dispositivos afectados. Los dispositivos vulnerables son aquellos dispositivos en los que se detect la vulnerabilidad durante el ltimo rastreo de vulnerabilidad. Tambin puede aadir ms destinos una vez creada la tarea en la ventana de tareas programadas. 7. Si desea que las revisiones se implementen utilizando la multidifusin dirigida, active la casilla Usar multidifusin. Para configurar las opciones, haga clic en el botn Opciones de multidifusin. Consulte About the Multicast options dialog a continuacin para ms detalles. 8. Si desea utilizar la descarga entre iguales estrictamente para la implementacin de revisiones, haga clic en la casilla Descargar revisiones solo desde iguales locales. Si se selecciona esta opcin, el archivo de revisin slo se implementar si reside actualmente en la cach local del dispositivo o en un igual de la misma subred. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin de la revisin se realice correctamente, debe estar en uno de estos dos lugares. 9. Especificar si solo desea descargar la revisin y no implementarla en los dispositivos afectados. 10. Seleccione una configuracin de rastreo y reparacin para esta tarea de reparacin. La configuracin de rastreo y reparacin determina el comportamiento de visualizacin, reinicio e interaccin con el usuario en los dispositivos rastreados, as como el contenido real que se est rastreando. 11. Haga clic en Aceptar. 12. La tarea aparece en la ventana de tareas programadas con el nombre de la tarea especificado en la parte superior, donde puede personalizar an ms la lista de dispositivos destino y configurar las opciones de programacin.
71
MANUAL DE USUARIO
Las directivas de reparacin presentan un funcionamiento muy similar a las directivas de aplicacin, excepto que se distribuyen archivos de revisin en lugar de archivos de aplicacin. Los requisitos previos de administracin de directivas, el flujo de tareas, los tipos de directiva y los destinos estticos y dinmicos son casi idnticos entre las directivas de reparacin y las de aplicacin. Para ms informacin sobre polticas, consulte el captulo sobre distribucin de software. Para crear una reparacin basada en polticas Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic con el botn secundario en una sola definicin de uno de los grupos de contenidos, o bien, en un grupo personalizado de definiciones y luego haga clic en Reparar. O bien, puede hacer clic en el botn de la barra de herramientas Crear una tarea y luego hacer clic en Reparar. Aparece el cuadro de dilogo Programar tarea. 3. Edite el Nombre de la tarea si desea modificar el nombre de la tarea de reparacin. 4. Active la casilla de verificacin Reparar como poltica. 5. Si desea crear una consulta nueva basada en la definicin de vulnerabilidad, la cual pueda utilizar posteriormente para rastrear otros dispositivos administrados, marque la casilla Agregar consulta. 6. Si desea utilizar la descarga entre iguales estrictamente para la implementacin de revisiones, haga clic en la casilla Descargar revisiones solo desde iguales locales. Si se selecciona esta opcin, el archivo de revisin slo se implementar si reside actualmente en la cach local del dispositivo o en un igual de la misma subred. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin de la revisin se realice correctamente, debe estar en uno de estos dos lugares. 7. Especificar si solo desea descargar la revisin y no implementarla en los dispositivos afectados. 8. Seleccione una configuracin de rastreo y reparacin para esta poltica de reparacin. La configuracin de rastreo y reparacin determina el comportamiento de visualizacin, reinicio e interaccin con el usuario en los dispositivos rastreados, as como el contenido real que se est rastreando. 9. Haga clic en Aceptar. 10. La nueva poltica aparece en el grupo Polticas en la ventana de Tareas programadas con el nombre especificado anteriormente. Desde all puede agregar destinos estticos (usuarios o dispositivos) y dinmicos (resultados de consultas), as como configurar la frecuencia y el tipo de directiva. 1. 2.
72
Requisitos para el uso de la reparacin automtica nicamente los administradores o usuarios que dispongan de derechos del Administrador de revisiones Y del mbito predeterminado de todos los equipos podrn activar esta funcin para las definiciones que se apliquen. Los usuarios de LANDesk que no dispongan del Administrador de LANDesk ni del derecho de Administrador de revisiones ni siquiera podrn ver esta opcin en un men contextual (clic con el botn derecho) de la definicin. Para obtener ms informacin sobre los derechos y el mbito del usuario, consulte"Administracin basada en funciones" en la pgina 282. La reparacin automtica tiene que estar activada en dos lugares para funcionar correctamente. La primera configuracin se realiza en la revisin misma, y la segunda es la configuracin de rastreo y reparacin aplicada a la tarea de rastreo programada. Si en alguno de estos dos elementos la opcin de reparacin automtica NO se encuentra activada, la reparacin automtica no tendr lugar. Si la funcin de reparacin automtica se encuentra activada (en ambos lugares mencionados ms arriba), la prxima vez que se ejecute el rastreador de seguridad (manualmente o a travs de una tarea de rastreo), el Administrador de Seguridad y Revisiones implementar e instalar de forma automtica la revisin necesaria en los dispositivos de destino afectados. Con la reparacin automtica, si una revisin requiere el reinicio, el dispositivo de destino siempre se reinicia automticamente. La reparacin automtica se puede activar para una definicin individual o para un grupo de definiciones mltiple. Para configurar una reparacin automtica 1. 2. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic con el botn derecho en una o varias definiciones seleccionadas en uno de los grupos de contenido. La funcin de reparacin automtica no se podr activar en un grupo personalizado. Haga clic en Reparacin automtica al rastrear. Ahora ejecute el rastreo de seguridad en los dispositivos que desee rastrear y reparar de forma automtica utilizando una tarea de rastreo de seguridad programada con una configuracin de rastreo y reparacin donde tenga activada la opcin de reparacin automtica.
3. 4.
73
MANUAL DE USUARIO
Casi todos los archivos de revisin se instalan sin notificacin, es decir de forma transparente, sin que sea necesaria la interaccin con el usuario en el propio dispositivo. Algunas revisiones de Windows 9.x y de idiomas distintos al ingls no se instalan de este modo. Se puede indicar si una revisin se instala sin notificacin o no activando la columna Instalacin en segundo plano en una lista de revisiones. Para obtener ms informacin, consulte "Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25 anteriormente en este captulo.
Configuracin de la pantalla del rastreador de seguridad y la interaccin en los dispositivos de usuarios finales.
Sin embargo, aunque un archivo de revisin se pueda instalar sin intervencin, aqu puede configurar la cantidad de rastreo de seguridad que se desee mostrar y solicitar entrada por parte del usuario final del dispositivo con la funcin de configuracin de rastreo y reparacin. Reinicio consolidado Si la instalacin de un archivo de revisin requiere reinicio (Y la opcin Nunca reiniciar no est seleccionada en la ficha Reinicio de la configuracin de rastreo y reparacin de la tarea en cuestin), el Administrador de Seguridad y Revisiones primero instala en el dispositivo TODAS las revisiones de la tarea especificada, y luego reinicia slo una vez.
74
Tambin puede hacer clic en el botn derecho en las definiciones y reglas de deteccin en sus respectivas listas de elementos para ejecutar tareas comunes para uno o ms dispositivos afectados.
Visualizacin de las fechas de los rastreos de seguridad ms recientes en el Inventario del dispositivo
Para ver cundo se ejecut el ltimo rastreo en un dispositivo, haga clic con el botn derecho en dicho dispositivo, seleccione Inventario y, a continuacin, desplcese hasta las distintas Fechas de ltimo rastreo en el panel de la derecha de la vista del inventario.
El campo Estado de la instalacin indica si la instalacin fue satisfactoria. Entre los posibles estados se incluyen: Correcto, Error y Error en la descarga.
MANUAL DE USUARIO
5.
76
Para configurar alertas de vulnerabilidad 1. 2. 3. 4. Especifique las vulnerabilidades que generarn una alerta mediante la colocacin manual de las definiciones de vulnerabilidad descargadas en el grupo de Alertas. O bien, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de alertas. Especifique un intervalo de alertas mnimo. Para configurar las alertas de seguridad y revisiones, seleccione las definiciones (por nivel de seguridad) que desea colocar automticamente en el grupo Alertas durante el proceso de descarga. Puede seleccionar uno o varios niveles de gravedad de vulnerabilidad. Estas definiciones de vulnerabilidad tambin se colocan de forma automtica en el grupo Rastrear. Para configurar las alertas de antivirus, seleccione los eventos de antivirus para los cuales desea generar alertas. Haga clic en Aceptar.
5. 6.
77
MANUAL DE USUARIO
Qu es CVE?
CVE es la sigla de Vulnerabilidades y Exposiciones Comunes, una iniciativa conjunta de varias organizaciones lderes en tecnologa de seguridad para compilar y mantener una lista de nombres estandarizados para las vulnerabilidades y otras exposiciones de seguridad de informacin. CVE es un diccionario de nombres, no una base de datos. En resumen, el objetivo manifiesto del estndar de nombres CVE consiste en facilitar las actividades de bsqueda, el acceso y compartir informacin en bases de datos de vulnerabilidad y herramientas de seguridad. Para obtener ms informacin sobre CVE y la Tarjeta Editorial de CVE, visite el sitio web de MITRE Corporation.
78
Para encontrar definiciones de vulnerabilidades de seguridad por sus nombres CVE 1. En Administrador de Seguridad y Revisiones, seleccione Vulnerabilidades de la lista desplegable Tipo. Se muestra una lista completa de definiciones de vulnerabilidades descargadas. Ingrese el nombre CVE (Id. de CVE) en el campo Buscar, seleccione Cualquiera o Id. de CVE de la lista desplegable En columna y luego haga clic en el botn Buscar. (Puede ingresar el ID de CVE completo, incluyendo el prefijo cve-, o las partes que desee y realizar una bsqueda en el depsito de seguridades descargadas para encontrar vulnerabilidades coincidentes). Si se encuentra una vulnerabilidad con una ID de CVE que coincida en el depsito de vulnerabilidades descargadas con el Administrador de Seguridad y Revisiones, sta se muestra en la lista. Haga clic con el botn derecho del ratn en la vulnerabilidad y acceso a su men de acceso directo para encontrar las opciones disponibles.
2.
3.
4.
Para encontrar los nombres CVE de las definiciones de vulnerabilidades de seguridad descargadas 1. En Administrador de Seguridad y Revisiones, seleccione Vulnerabilidades o Todos los tipos de la lista desplegable Tipo. Se muestra una lista de definiciones descargadas. (Si se selecciona la columna de informacin sobre ID de CVE, se pueden ver las ID de CVE en la lista de elementos. Para configurar las columnas, haga clic con el botn derecho sobre la barra del ttulo de columna, seleccione Columnas, y asegrese de que las columnas ID de CVE se encuentran en la lista Columnas seleccionadas). Haga doble clic en una definicin de vulnerabilidad (o clic con el botn derecho en la definicin y seleccione Propiedades) para abrir su cuadro de dilogo Propiedades. Haga clic en la ficha Descripcin. Si la vulnerabilidad seleccionada tiene un nombre CVE, ste se muestra en la lista desplegable ID de CVE. Algunas vulnerabilidades pueden tener ms de un nombre CVE a los que puede acceder deslizndose a travs de la lista desplegable. Si desea acceder a la pgina web para encontrar una ID de CVE especfica, haga clic en el vnculo Ms informacin de la ID de CVE. El sitio web de CVE provee informacin detallada sobre cada vulnerabilidad con un nombre CVE, tal como su estado actual en la tarjeta de CVE (Entrada aprobada o Candidato en revisin).
2. 3. 4.
5.
79
MANUAL DE USUARIO
Esta gua ofrece informacin detallada sobre la configuracin, la habilitacin y el uso de ambas soluciones de control de acceso de red. Este captulo de introduccin le ofrece una descripcin bsica de la tecnologa y los servicios del NAC de LANDesk; describe los requisitos previos y las herramientas de Security Suite relevantes; compara las dos soluciones del NAC de LANDesk originales; e incluye vnculos a las secciones pertinentes a la configuracin y el uso de cada una de las soluciones.
80
Para obtener ms informacin sobre cmo configurar estas nuevas soluciones LANDesk NAC en su red de LANDesk, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171, y"Uso de la solucin LANDesk 802.1X" en la pgina 181. Importante: El conocimiento tcnico y la pericia requeridos para la configuracin del Control de acceso de red de LANDesk Esta gua describe en forma adecuada todos los conceptos y procedimientos necesarios para instalar, configurar y utilizar los servicios de NAC LANDesk para las soluciones LANDesk DHCP y Cisco NAC. Tenga en cuenta que el NAC de LANDesk requiere una configuracin adicional de hardware y software por encima de la instalacin bsica del servidor central de LANDesk. Debido a la naturaleza tcnica de esta configuracin adicional, en esta gua se supone que usted est familiarizado con la configuracin y operacin del control de acceso de red de Cisco (NAC) y de Cisco Secure Access Control Server (ACS), al igual que con la administracin de los servidores DHCP, los protocolos DHCP y los principios y la administracin del diseo de infraestructuras de red avanzadas. Debera reconocer que para poder instalar el NAC de LANDesk es posible que tenga que consultar a los representantes de servicio tcnico de LANDesk y/o a los ingenieros de sistemas de LANDesk afiliados. No obstante, tenga la certeza de que una vez que se configure e implemente debidamente, el NAC de LANDesk aumentar de forma considerable la seguridad y proteccin general de la red empresarial. Lea este captulo para obtener informacin sobre:
MANUAL DE USUARIO
82
Para obtener ms informacin para definir una poltica de cumplimiento de seguridad en la herramienta Administrador de seguridad y revisiones en la consola, consulte"Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
83
MANUAL DE USUARIO
El enrutador Cisco que funciona en combinacin con el Cisco Secure ACS en un entorno Cisco NAC. El servidor LANDesk DHCP configurado con "mbitos" que representan enrutadores virtuales con ambas subredes de cuarentena y una subred principal en un entorno LANDesk DHCP. El dispositivo de control de acceso de red funciona como el dispositivo de red "de primer salto" desde la perspectiva del dispositivo suplicante/solicitante y empieza el proceso de validacin de postura y de
84
Componente
Descripcin autenticacin.
Servidor de directivas / servidor de validacin de postura (punto de decisin del acceso de red)
Servidor dedicado de segundo plano tambin conocido como servidor de validacin de postura, el cual evala las credenciales de postura (estado de los dispositivos que solicitan el acceso) en funcin de las reglas de cumplimiento (directiva de seguridad publicadas en l a partir del servidor central de LANDesk). Enva una respuesta de validacin (estado apropiado, no apropiado, etc.) a travs del dispositivo de control de acceso de red. Nota: El servidor de validacin de postura se requiere solamente con la implementacin NAC de Cisco NAC. Al implementar LANDesk DHCP, la funcionalidad de validacin de postura se integra en el servidor LANDesk DHCP.
Red empresarial
rea y recursos de red crticos que el NAC de LANDesk protege de dispositivos con estado no apropiado, infectados o vulnerables de algn modo.
VLAN de cuarentena
rea de red virtual segura donde los dispositivos que no cumplen con los requisitos pueden asegurarse, para repararlos, volver a rastrearlos, concederles el acceso completo a la red u otorgarles acceso restringido a los recursos de red, tal como Internet.
85
MANUAL DE USUARIO
Dispositivos Dispositivo de Punto de que han control del decisin del intentado el acceso a la red: acceso de red / acceso a la red: servidor de directivas:
Red empresarial:
(Servicio de validacin de postura que evala y hace efectivas las directivas de seguridad de cumplimiento)
VLAN de cuarentena (rea de red segura virtual para asegurar y/o reparar dispositivos no compatibles ni apropiados)
86
Windows NT (4.0 SP6a y posterior) Windows 2000 SP4/2003/XP SP1 Macintosh (10.2 y superior)
Para obtener informacin sobre la configuracin de dispositivos administrados para el rastreo de cumplimiento (mediante la instalacin del agente de confianza debido para permitir la comunicacin con los dispositivos de enrutamiento y con los servidores de validacin de postura), consulte la seccin correspondiente a LANDesk DHCP y Cisco NAC: "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad" en la pgina 138
87
MANUAL DE USUARIO
Desventajas: Un poco menos seguro que Cisco NAC Requiere un equipo dedicado para el servidor DCHP de LANDesk Requiere ciertos cambios en la infraestructura de red
Desventajas: Tiene un mayor coste (particularmente si no tiene hardware Cisco instalado) Requiere hardware especfico del proveedor Agente de confianza slo para Windows Posibilidad de cambios de configuracin de red considerables Podra no ser adecuada para las pequeas empresas
88
Redes con El servidor de validacin de infraestructura Cisco postura de LANDesk ofrece las directivas de mantenimiento de red existente (o planeada). al servidor Cisco ACS. El servidor Cisco ACS a su vez impone la admisin a la red en funcin de la adherencia de los clientes a dichas directivas. Los servidores centrales y de reparaciones de LANDesk ofrecen reparaciones a los clientes que no cumplen con las directivas de seguridad previamente definidas previamente. El servidor LANDesk DHCP impone las directivas de seguridad definidas por el administrador. Controla los dispositivos Windows Redes que prefieren una solucin que sea independiente del hardware, fcil de
89
LANDesk DHCP
MANUAL DE USUARIO
Solucin
Descripcin
Caso de uso
y Mac administrados y no administrados. LANDesk IP Security impone directivas de seguridad que utilizan un certificado basado en la metodologa de imposicin. Solamente los clientes con certificados de buena condicin se pueden comunicar en la red. Los clientes que no cumplen el criterio de las directivas reciben un certificado de mala condicin nico con derechos para comunicarse ya sea solamente con el servidor de reparaciones o con el servidor central de LANDesk. (En la actualidad no se admite VPN.) LANDesk 802.1X ofrece control de acceso de red mediante el requisito de que el agente de LANDesk estndar est activo en el dispositivo.
implementar y asequible. Redes que utilizan direcciones IP estticas o que tienen flexibilidad de infraestructura de red limitada.
LANDesk IP Security
LANDesk 802.1X
Redes que utilizan servidores Radius (Microsoft IAS y otros proveedores importantes) para controlar el acceso.
90
91
MANUAL DE USUARIO
92
Componentes requeridos
Componente Servidor central de LANDesk Descripcin Provee la herramienta Administrador de Seguridad y Revisiones, la cual se utiliza para: descargar contenido de seguridad (tales como las definiciones de vulnerabilidad de aplicaciones, las definiciones de spyware, las amenazas de la seguridad de la configuracin del sistema, las definiciones de configuracin de servidor de seguridad y de antivirus, etc.), definir criterios de cumplimiento, configurar servidores de validacin de postura y de reparaciones, y configurar y publicar configuraciones del NAC de LANDesk (incluso reglas de seguridad de cumplimiento o polticas y recursos de reparacin) para el rastreo y la reparacin de dispositivos.
Proporciona direcciones IP permanentes a los dispositivos cuya postura se valida como apropiada.
Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica con el dispositivo que intenta establecer conexin a fin de evaluar las credenciales de postura de dicho dispositivo extremo. Asigna direcciones IP temporales a los dispositivos que intentan el acceso a la red, hasta que el dispositivo cumple con el criterio de seguridad de legalidad y el servidor DHCP empresarial principal puede asignarle una direccin IP permanente. En otras palabras, en el entorno DHCP de LANDesk, el servidor DHCP es el punto en el que se imponen las polticas en la red y donde se otorgan o se niegan los privilegios de acceso. El servidor DHCP de LANDesk tiene integrada la funcionalidad de validacin de postura, de modo que no necesita un servidor de validacin de postura dedicado. Este servicio determina si el dispositivo que intenta la conexin tiene una postura apropiada o no apropiada en funcin de dos factores: la poltica de seguridad de cumplimiento (el contenido del grupo Legalidad en la herramienta Administrador de Seguridad y Revisiones Y la cantidad de horas desde el
93
MANUAL DE USUARIO
Componente
Descripcin ltimo rastreo con resultado apropiado, tal como se especifica en la opcin Definicin de correcto del cuadro de dilogo Configurar el NAC de LANDesk).
Servidor de reparaciones
Contiene los archivos de configuracin y compatibilidad necesarios (cliente de seguridad, definiciones de tipo de seguridad y revisiones requeridas), al igual que las pginas de plantilla HTML utilizadas para rastrear dispositivos en busca de las vulnerabilidades identificadas en la poltica de seguridad, y para reparar cualquier vulnerabilidad detectada a fin de que el dispositivo se pueda rastrear y determinar que tiene un estado apropiado para permitirle el acceso a la red.
Enrutador
Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica tanto con el dispositivo conectado que intenta el acceso como con el servidor de LANDesk DHCP para evaluar las credenciales de postura del dispositivo de punto extremo. En el entorno del servidor LANDesk DHCP, el enrutador o conmutador necesita estar configurado para que sea compatible con BOOTP/DHCP.
Dispositivos
Son los dispositivos mviles o de usuario invitado, al igual que los dispositivos de usuario de red normales, que intentan el acceso a la red empresarial. Los dispositivos de punto extremo habituales incluyen los equipos de escritorio y los porttiles, pero tambin podran incluir dispositivos "sin cliente", tales como las impresoras, etc. El NAC de LANDesk permite evaluar el estado apropiado de los dispositivos conectados y controlar su acceso a la red en funcin de sus credenciales de postura.
Los diagramas siguientes muestran una configuracin habitual de los componentes descritos, al igual que el proceso o flujo de trabajo de validacin de postura entre dichos componentes.
94
95
MANUAL DE USUARIO
Flujo de trabajo de proceso: 1. Un dispositivo que NO est configurado con el agente de confianza de LANDesk (LTA) hace un intento inicial de acceso a la red empresarial a travs del servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk determina si la plataforma debe rastrearse y si debe evaluarse su postura, mediante la consulta de las opciones 55 y 60. Si la plataforma debe rastrearse, el servidor DHCP de LANDesk determina si se conoce el estado del dispositivo, si el estado se encuentra en la memoria cach o si el dispositivo se ha incluido en la lista de excepciones. El servidor DHCP de LANDesk devuelve una direccin IP de VLAN de cuarentena al dispositivo (proveniente del grupo de direcciones IP). Si se permite el dispositivo o si se ha incluido en la lista de exclusin, la solicitud se enva al servidor DCHP empresarial principal.
2.
3.
96
4.
En este momento, el dispositivo puede instalar el Agente de confianza de LANDesk y ejecutar el cliente de seguridad (desde la pgina Visitor.html) para poder rastrear y remediar vulnerabilidades existentes y convertirse en apropiados o cumpliendo la poltica de seguridad empresarial y con acceso a la red. O, si el dispositivo simplemente puede permanecer en la VLAN de cuarentena con acceso restringido a la red, dependiendo de las reglas de listas de control de acceso (ACL) definidas en el enrutador por el administrador de red.
97
MANUAL DE USUARIO
Flujo de trabajo del proceso para el intento inicial de acceso: 1. Un dispositivo que est configurado con el agente de confianza de LANDesk (LTA) hace un intento inicial de acceso a la red empresarial a travs del servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk determina si la plataforma debe rastrearse y si debe evaluarse su postura, mediante la consulta de las opciones 55 y 60. Si la plataforma debe rastrearse, el servidor DHCP de LANDesk determina si se conoce el estado del dispositivo, si el estado se encuentra en la memoria cach o si el dispositivo se ha incluido en la lista de excepciones.
2.
98
3.
4.
5.
El servidor DHCP de LANDesk devuelve una direccin IP de VLAN de cuarentena al dispositivo (proveniente del grupo de direcciones IP). Si se permite el dispositivo o si se ha incluido en la lista de exclusin, la solicitud se enva al servidor DCHP empresarial principal. Debido a que el agente de confianza se encuentra instalado en el dispositivo, su explorador puede iniciarse y redireccionarse a la pgina de instalacin en el servidor de reparacin que ya debe haberse publicado en el servidor central. Esta pgina tiene vnculos que le permiten instalar y ejecutar el rastreo de seguridad para que determine la legalidad y ejecute la reparacin necesaria. Ejecute el cliente de seguridad (rastreador) para poder buscar y remediar cualquier vulnerabilidad existente y otros riesgos de seguridad definidos en su poltica de cumplimiento de la seguridad. La reparacin exitosa vuelve compatible el dispositivo o lo hace apropiado para que pueda proceder con los siguientes pasos en el proceso de validacin de postura de DHCP de LANDesk.
Fase 2: Intento de acceso a dispositivo reparado (direccin IP reasignada; instruccin de postura solicitada)
Flujo de trabajo del proceso para el segundo intento de acceso: 6. 7. 8. El dispositivo reparado intenta acceder a la red mediante el servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk considera que el dispositivo todava est en cuarentena, y... El servidor DHCP de LANDesk devuelve la misma direccin IP de VLAN de cuarentena al dispositivo.
99
MANUAL DE USUARIO
Fase 3: Validacin de postura de dispositivo (direccin IP permanente reasignada al dispositivo con estado apropiado; acceso a red concedido)
Flujo de trabajo para la validacin de postura y el acceso a la red: 9. 10. El dispositivo enva su declaracin de postura (estado apropiado) al servidor DHCP de LANDesk. El servidor DHCP de LANDesk evala la respuesta de postura del dispositivo. (Observe que el servidor DHCP de LANDesk funciona como punto de decisin en el proceso de control del acceso de red, lo cual significa que determina la postura o el estado del dispositivo que busca el acceso a la red). El servidor DHCP de LANDesk comunica la respuesta de postura al dispositivo. Si se considera que el dispositivo tiene un estado no apropiado (no cumple con los requisitos), permanecer en la VLAN de cuarentena. Si el dispositivo se considera apropiado (o legal), el dispositivo vuelve a solicitar una direccin IP al servidor DHCP de LANDesk. Ahora el dispositivo de DHCP de LANDesk reconoce que los dispositivos son apropiados y pasa la solicitud de direccin IP al servidor empresarial DHCP principal. El servidor empresarial DHCP principal notifica al servidor DHCP de LANDesk sobre la direccin IP permanente que se asigna al dispositivo apropiado y... El servidor DHCP principal devuelve la direccin IP permanente al dispositivo apropiado y el dispositivo obtiene acceso a la red empresarial.
11. 12.
100
Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento
A fin de comunicarse con el servidor DHCP de LANDesk y de evaluar su postura, el dispositivo debe tener instalado el agente de confianza de LANDesk (LTA). El Agente de confianza (LTA) de LANDesk se puede utilizar tanto por la solucin DHCP de LANDesk como por la solucin de seguridad de IP de LANDesk. Nota:Recuerde que para poder proporcionar capacidades adicionales de administracin de dispositivo, tambin puede instalar el LTA (que incluye el rastreo de inventario y programacin local) en los dispositivos administrados an cuando utiliza la solucin de Cisco NAC. Es decir, puede tener ambos agentes de confianza instalados en el dispositivo. Sin embargo, si utiliza la solucin de LANDesk DHCP, no deber instalar CTA en los dispositivos administrados. Para instalar el agente de confianza de LANDesk en dispositivos administrados por los empleados Si ya tiene el agente estndar de LANDesk, instale el LTA con una nueva configuracin de agente de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con una configuracin inicial de agente
101
MANUAL DE USUARIO
O instale el LTA con una configuracin de agente en los dispositivos con UDD
Para instalar el agente de confianza de LANDesk en dispositivos no administrados por los empleados Instale el agente estndar de LANDesk (wscfg32.exe) para instalar el LTA O bien, utilice la configuracin de agente autocontenida
Para instalar el agente confiable de LANDesk en los nuevos dispositivos de usuarios finales (empleado o visitante) Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin)
102
Requisitos previos: Debe haber un servidor central LANDesk Management Suite 8.6 instalado y en ejecucin en la red, el cual debe estar activado con una licencia y con suscripciones de contenido de seguridad de LANDesk Security Suite: Instalar el servidor central Active el servidor central con una licencia de Security Suite Inicie una sesin en calidad de usuario Administrador o de usuario con ambos derechos de Administrador de seguridad y revisiones y de Cumplimiento de seguridad y revisiones (permite la descarga de contenido de seguridad y revisiones y la copia al grupo de cumplimiento
103
MANUAL DE USUARIO
Finalizada
Tarea
"Instalacin del agente de confianza Instale el agente confiable de LANDesk (LTA) en dispositivos para la activacin del de DHCP de LANDesk en dispositivos para la activacin del rastreo de rastreo de legalidad: cumplimiento" en la pgina 173 Para dispositivos de empleados administrados: Si ya tienen el agente estndar de LANDesk, instale el LTA con una nueva configuracin de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con la configuracin de agente inicial O bien, instale el LTA con la configuracin de agente en los dispositivos en UDD Para dispositivos de empleados no administrados: Instale el LTA al instalar el agente estndar de LANDesk (wscfg32.exe) O bien, utilice una configuracin de agente autocontenida Para los nuevos dispositivos de usuarios finales (visitante): Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin) Identifique y configure un servidor nico NAC de LANDesk que cumpla con los siguientes requisitos de sistema: Windows 2000 o superior, con .NET Framework 1.1 El servidor Web se encuentra instalado y en ejecucin (IIS) Direccin IP esttica El servidor debe estar en el lado opuesto del enrutador o conmutador a partir de los dispositivos de conexin No debe ser un servidor DHCP actual No debe ser un equipo representante PXE
104
Finalizada
Configure el servidor de reparaciones: En el servidor NAC de LANDesk, Ejecute la secuencia de comandos de configuracin CONFIGURE.REMEDIATION.SER VER.VBS que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\RemediationServer Nota: Esta secuencia de comandos configura automticamente el servidor para realizar la reparacin mediante la - creacin de un recurso Web denominado LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon - la adicin de un acceso annimo al recurso compartido LDLogon con derechos de lectura y exploracin - la adicin de un nuevo tipo MIME para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos
Instale y configure el servidor DHCP de LANDesk: En el servidor NAC de LANDesk, Ejecute el programa de configuracin LDDHCP.EXE que se encuentra en: servidorcentral\LDMain\Install\Trust edAccess\LDDHCP (copie el programa de instalacin en un disco si no se puede acceder al servidor central) Copie los archivos de certificado y claves (*.key, *.crt) de la carpeta Archivos de programa\LANDesk\Shared Files\Keys del servidor central a la misma ruta en el servidor DHCP de LANDesk Configure el servidor DHCP de
105
MANUAL DE USUARIO
Finalizada
Tarea LANDesk con la herramienta de configuracin LDDHCP, la cual est disponible a travs del icono de acceso directo ubicado en el escritorio Especifique las propiedades del servidor de reparaciones Cree mbitos para el grupo de direcciones VLAN para cada subred (asegrese de definir al menos la opcin del mbito 003 para la puerta de enlace del enrutador) (Opcional) Configure las opciones de filtro del sistema operativo, las listas de exclusin y el vigilante de DHCP de LANDesk Salga de la herramienta de configuracin para iniciar el servicio DHCP de LANDesk Nota: La solucin de DHCP de LANDesk NO requiere un servidor de validacin de postura dedicado debido a que esta funcionalidad se incluye en el servidor DHCP de LANDesk
"Definicin del criterio de seguridad de Defina la seguridad de legalidad en la herramienta Administrador de Seguridad y legalidad en la herramienta Administrador de Seguridad y Revisiones: Revisiones" en la pgina 151 En la herramienta Administrador de Seguridad y Revisiones de la consola, descargue las definiciones del contenido de seguridad y revisiones Agregue las definiciones de seguridad en el grupo Legalidad para poder definir su cumplimiento de la poltica de seguridad Compruebe que se descarguen las revisiones asociadas En Administrador de Seguridad y Revisiones, haga clic derecho en el objeto Control de acceso de red (bajo Configuracin), haga clic en Configurar NAC de LANDesk, primero asegrese de que la opcin Habilitar NAC de LANDesk est
106
Finalizada
Tarea activada y luego defina las posturas apropiadas e inapropiadas Configuracin (adicin) del servidor nico NAC de LANDesk en la consola:
"Configuracin de un servidor DCHP de LANDesk" en la pgina 114, y "Instalacin y configuracin de un En el Administrador de Seguridad servidor de reparaciones" en la pgina 110 y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red (bajo Configuracin) y luego haga clic en Configurar NAC de LANDesk Ingrese el nombre del servidor NAC de LANDesk en el campo Nombre del servidor DHCP de LANDesk o de validacin de postura, haga clic en Agregar para agregarlo a la lista, y luego en Aceptar Nuevamente, en el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red, y luego haga clic en Configurar servidores de reparaciones y haga clic en Agregar Ingrese la direccin IP del servidor de reparaciones, la ruta UNC al recurso Web compartido LDLogon y las credenciales de acceso de usuario, y haga clic en Aceptar "Publicacin de la configuracin de NAC de LANDesk" en la pgina 155
Publique TODAS las opciones de configuracin de NAC de LANDesk en los servidores apropiados: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red, haga clic en Publicar los ajustes NAC de LANDesk, seleccione Todos y haga clic en Aceptar Nota: El proceso inicial de publicacin debe incluir TODAS las opciones de configuracin NAC de LANDesk; a partir de esa publicacin puede incluir solamente
107
MANUAL DE USUARIO
Finalizada
Tarea el contenido de legalidad Configure el enrutador de red para DHCP de LANDesk: El enrutador de red se debe ubicar entre el servidor DHCP de LANDesk y los dispositivos de conexin El enrutador debe tener activado el reenvo de DHCP Agregue una subred VLAN a la interfaz de cliente en el enrutador (la subred de cuarentena) Cambie el asistente de la direccin IP (agente de envo) en la interfaz del cliente para que apunte al servidor DHCP de LANDesk Agregue reglas ACL (lista de control de acceso) en el enrutador para restringir el trfico de VLAN a fin de que los dispositivos solamente puedan llegar al servidor de reparacin Por ejemplo, una lista de control de acceso puede incluir la siguiente lista de acceso: 101 permit ip 10.1.1.0 0.0.0.255 any access-list 101 permit ip any host 192.168.1.10 access-list 101 permit udp any eq bootpc any eq bootps (Donde 10.1.1.0 es la puerta de enlace de la subred principal y 192.168.1.10 es el DHCO o servidor de remedio de LANDesk). Compruebe que el proceso de validacin de postura funcione correctamente: Intente una prueba simple para el DHCP de LANDesk: liberar y renovar una direccin IP de un dispositivo administrado.
"Administracin de la seguridad de
108
Finalizada
Tarea administracin de legalidad de seguridad: Verificacin de la activacin de los servicios NAC de LANDesk Utilizar el permiso o la restriccin de acceso a la opcin de todos Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados Visualizacin de dispositivos afectados (que no cumplen) Modificacin y actualizacin de polticas de seguridad de legalidad Adicin de dispositivos no administrados Configuracin y visualizacin de registro de cumplimiento Generacin de informes de legalidad
Para obtener ms informacin, vaya a cumplimiento del NAC de LANDesk" en la pgina 163
Para regresar al tema de ayuda principal de DCHP de LANDesk, consulte Uso de la solucin DHCP de LANDesk.
109
MANUAL DE USUARIO
Nota: si utiliza un servidor Web de Apache en Linux, el recurso compartido que cree debe ser un recurso Samba.
110
El servidor de reparaciones se puede colocar en cualquier lado del enrutador. Si elige colocarlo en el lado de cliente del enrutador, tendr ms seguridad debido a que no tendr que hacer ninguna excepcin a las reglas del enrutador, pero tendr que llevar de forma manual todos los archivos de reparaciones al equipo cada vez que los cambie. Si lo coloca en el lado opuesto del enrutador, existe un riesgo de seguridad debido a que los equipos en cuarentena tienen acceso al equipo en la red, pero puede instalar automticamente los archivos de reparaciones en el equipo sin tener que llevarlos al mismo. El servidor de reparaciones debe ser visible desde la VLAN de reparacin. Es posible tener ms de un servidor de reparaciones en la red.
Puede ver los diagramas que muestran la ubicacin del componente y el flujo de trabajo del proceso para cada solucin del NAC de LANDesk en sus secciones de introduccin respectivas. Consulte, "Uso de la solucin LANDesk DHCP" en la pgina 91, y "Uso de la solucin Cisco NAC" en la pgina 129.
2.
La secuencia de comandos de configuracin del servidor de reparaciones configura el servidor para que realice las reparaciones mediante:
111
MANUAL DE USUARIO
Crear un recurso Web compartido con el nombre de LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon). La activacin del acceso annimo al recurso compartido LDLogon con derechos de lectura, escritura y exploracin. La adicin de un tipo MIME nuevo para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos (aplicacin o binario).
Nota: Puede utilizar la herramienta de Microsoft IIS para configurar de forma manual los permisos de acceso al recurso compartido de LDLogon y los tipos MIME. El servidor de reparaciones se encuentra ahora listo para agregarse en la consola.
2. 3.
4. 5.
112
Ahora puede publicar los archivos de infraestructura de reparacin en el servidor (mientras tambin haya configurado un servidor de validacin de postura y las credenciales de usuario).
Pasos siguientes: Publicacin de los archivos de infraestructura de reparacin en los servidores de reparaciones
El siguiente paso para la instalacin y configuracin de un servidor de reparaciones es publicar en l los recursos vitales de la infraestructura de reparacin a partir del servidor central. Estos recursos de infraestructura de reparacin incluyen: Cliente de seguridad (utilidad del rastreador de vulnerabilidades) Revisiones asociadas con las vulnerabilidades contenidas en el grupo de cumplimiento Las pginas HTML proporcionan vnculos que permiten que los usuarios: instalen agentes de confianza, realicen rastreos de seguridad de legalidad y reparen las vulnerabilidades detectadas y otros problemas de seguridad.
Debe definir su criterio de cumplimiento de seguridad en la herramienta Administrador de Seguridad y Revisiones antes de publicar en los servidores. Para obtener ms informacin sobre estas tareas, consulte "Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
113
MANUAL DE USUARIO
114
"Uso de filtros de sistema operativo" en la pgina 124 "Adicin de dispositivos a la lista de exclusin de postura" en la pgina 126 "Configuracin del vigilante de DHCP de LANDesk" en la pgina 127 "Reinicio del servidor DHCP de LANDesk" en la pgina 128
115
MANUAL DE USUARIO
El servidor DHCP de LANDesk an no est en ejecucin. Para ello, haga lo siguiente: Copie los archivos de certificado Configure el servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk Inicie el servicio DHCP
116
2.
Copie los archivos *.CRT y *.KEY de la carpeta C:\Archivos de programa\LANDesk\Shared Files\keys del servidor central a la misma carpeta del servidor DHCP de LANDesk (el programa de instalacin crea esta carpeta automticamente).
117
MANUAL DE USUARIO
Configuracin del servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk
Ha instalado de forma satisfactoria el servidor DHCP de LANDesk. No obstante, el servicio DHCP de LANDesk an NO est en ejecucin. El siguiente paso para la configuracin del servidor DHCP de LANDesk y el inicio del servicio es la ejecucin de la herramienta Administrador DHCP de LANDesk, la cual se ha instalado en el equipo mediante el programa de instalacin para poder configurar las opciones del servidor DHCP, configurar las opciones del servidor de validacin postura y agregar dispositivos a la lista de exclusin de postura. Nota importante sobre la apertura de puertos del servidor de seguridad Antes de continuar con la configuracin del servidor DHCP de LANDesk, debe desactivar el servidor de seguridad de Windows, si est activado. Si desea dejar activado el servidor de seguridad de Windows, debe asegurarse de que los puertos UDP siguientes estn completamente abiertos: 67, 68, 12576 y 12577. El nombre de la herramienta de configuracin de servidor DHCP de LANDesk es el Administrador DHCP de LANDesk. Esta herramienta puede iniciarse desde el men de inicio (Inicio | Programas | LANDesk | Servidor DHCP de LANDesk | Configuracin LDDHCP) o al hacer doble clic en el icono Configuracin LDDHCP que debera aparecer en el escritorio del servidor. El Administrador DHCP de LANDesk le permite: Configurar los ajustes del servidor DHCP de LANDesk Crear y administrar entornos (nombre, tiempo de alquiler, intervalo de direccin, direccin de envo y opciones de mbito) Configurar (agregar) servidores DHCP de LANDesk en la consola Configurar las propiedades del servidor de reparaciones Ver y modificar las opciones de filtro de sistema operativo y crear nuevos filtros Agregar dispositivos a la lista de exclusin de postura Ver el estado de los dispositivos en los que se ha validado la postura Ver el registro del servidor DHCP de LANDesk Configurar el vigilante DHCP de LANDesk Detener y reiniciar el servicio DHCP de LANDesk
118
2.
3. 4. 5.
6.
Haga clic con el botn derecho del ratn en el objeto Servidor DHCP de LANDesk y luego haga clic en Propiedades. El cuadro de dilogo muestra las Opciones de configuracin de DHCP de LANDesk. Escriba la direccin IP del servidor DCHP de LANDesk. Este campo se dirige de forma automtica a la direccin IP del NIC principal del servidor. Escriba la direccin IP del servidor DCHP principal de la red. Especifique la frecuencia (en minutos) para la copia de seguridad de los grupos de direcciones. Esta configuracin controla la frecuencia con que se guardan las direcciones IP del servidor DHCP de LANDesk. Esta informacin se guarda en el archivo XML del servidor DHCP. Haga clic en Aceptar para guardar la configuracin y salir del cuadro de dilogo Configuracin de DHCP de LANDesk.
119
MANUAL DE USUARIO
Para crear y configurar mbitos 1. En la herramienta Administrador DHCP de LANDesk, haga clic en el objeto Servidor DHCP de LANDesk y en Nuevo mbito. Se muestra el cuadro de dilogo de Propiedades de mbito. O bien, para editar un mbito existente, haga clic con el botn derecho en el objeto del mbito en el rbol del servidor DHCP de LANDesk y en Propiedades. En la ficha Nombre, ingrese un nombre y una descripcin para este mbito. Cada mbito debe tener un nombre nico. En la ficha Tiempo de alquiler, ingrese una duracin para las direcciones IP asignadas para los dispositivos de conexin del servidor de postura de LANDesk. La duracin debe ser equivalente a la cantidad de tiempo que el dispositivo se encuentra conectado a la red. En la ficha Intervalo de direccin ingrese un intervalo para las direcciones IP (direcciones IP de inicio y finalizacin) que este mbito pueda distribuir a los dispositivos conectados. Compruebe que el intervalo que especifica proporcione direcciones IP suficientes para los dispositivos de la red. (Nota: No puede ingresar direcciones IP que son parte de la misma subred que la del intervalo del servidor DHCP principal). En la ficha Intervalo de direccin tambin ingrese la mscara de subred. Puede escribir una direccin IP o una extensin. La mscara de subred determina la cantidad de bits de una direccin IP que se pueden utilizar para los Id. de red o subred y la cantidad de direcciones IP que se utilizarn para la direccin IP del servidor. Haga clic en Finalizar.
2. 3.
4.
5.
6.
Ahora puede configurar las opciones del mbito. Para configurar opciones de mbito 1. 2. 3. Haga clic sobre el botn derecho en el objeto de Opciones de mbito en el mbito que desee configurar y luego en Propiedades. Debe configurar al menos una de las siguientes opciones de mbito para que el mbito funcione de forma correcta: Opcin 003 (puerta de enlace del enrutador) Para configurar una opcin, seleccinela de la lista de Opciones disponibles, complete los campos requeridos en la seccin Ingreso de datos a continuacin, seleccione la casilla de verificacin para habilitarla y haga clic en Aceptar.
Ficha Nombre
Nombre: Identifica el mbito (intervalo de direcciones IP para el alquiler) en el servidor DHCP con un nombre nico descriptivo. Descripcin: Ayuda a recordar el fin de este mbito.
120
121
MANUAL DE USUARIO
2. 3.
Ahora puede publicar el contenido del NAC de LANDesk en los servidores (siempre que tambin haya configurado un servidor de reparacin y las credenciales de usuario).
2.
122
3.
Ingrese la URL de la pgina de estado apropiado. El nombre de este archivo de HTML es: Healthy.html. Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que pas el criterio de cumplimiento de seguridad, que se considera apropiado y que tendr acceso total a la red de la empresa. Nota: En todas las pginas HTML, escriba la ruta completa al archivo HTML, incluso el identificador de protocolo http://. Las pginas HTML ya deben haberse publicado desde el servidor central al servidor de reparaciones, por lo que la ruta completa tpica sera: http://remediation_server_name/LDLogon/Healthy.html.
4.
5.
6.
7.
Ingrese la URL de la pgina de estado de primera visita. El nombre de este archivo de HTML es: Visitor.html. Esta pgina informa a un visitante de la red empresarial que se ha implementado la seguridad de cumplimiento o del NAC de LANDesk en la red, y que puede elegir entre navegar por Internet (slo acceso a Internet) o que se rastree su equipo en busca de vulnerabilidades u otros riesgos de seguridad, y que de ser necesario se realice la reparacin, antes de permitirle el acceso a la red empresarial. La pgina HTML provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el software necesario para el rastreo de cumplimiento y la reparacin, de modo que el dispositivo pueda tener acceso completo a la red. Ingrese la URL a la pgina de estado no apropiado para empleados. El nombre de este archivo de HTML es: FailedEmployee.html Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, que no se considera apropiado y que no tendr acceso total a la red de la empresa. El administrador de red debe personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y debe proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el usuario final debe volver a iniciar una sesin en la red a fin de obtener acceso. Ingrese la URL a la pgina de estado no apropiado para visitantes. El nombre de este archivo de HTML es: FailedVisitor.html. Esta pgina informa a un visitante de la red empresarial que su dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, y que se le ha negado el acceso a la red. Al igual que con la pgina de estado no apropiado de empleado, el administrador de red puede personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el visitante debe hacer clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio. Haga clic en Aceptar para guardar la configuracin y salir del cuadro de dilogo Servidor de validacin de postura.
Las pginas de HTML son plantillas que se pueden editar y personalizar para satisfacer sus necesidades y requisitos especficos de seguridad del NAC de LANDesk.
123
MANUAL DE USUARIO
124
El servidor DHCP de LANDesk incluye varios filtros de sistema operativo predefinidos para diversas plataformas compatibles. No se pueden eliminar los filtros predefinidos. No obstante, puede configurar de forma individual la funcionalidad de control del NAC de LANDesk de cada filtro. Para ver y modificar las opciones de los filtros de sistema operativo predefinidos 1. En la herramienta Administrador DHCP de LANDesk, haga clic en el objeto Opciones de filtro de sistema operativo. Se muestra una lista de filtros de sistema operativo predefinidos. Cada uno de los filtros de sistema operativo tiene una opcin predeterminada de tipo de acceso que determina si la plataforma se rastrea, se deniega o se permite en la red. Para modificar el control de acceso de un filtro, haga clic en la lista desplegable Tipo de acceso del filtro y seleccione una de las opciones. Las opciones son: Permitir (siempre concede acceso a la red de forma automtica y asigna una direccin IP empresarial), Denegar (siempre deniega el acceso a la red de forma automtica y asigna una direccin IP de cuarentena) y Rastrear (siempre ejecuta un rastreo de seguridad de cumplimiento y verifica las vulnerabilidades y otros riesgos de seguridad a fin de determinar la postura o estado del dispositivo y presenta la pgina HTML apropiada al dispositivo que intenta la conexin). Puede cambiar estas opciones en cualquier momento.
2.
Nota: Si define un filtro de sistema operativo en Rastrear y LANDesk no incluye agentes de dispositivo para ese sistema operativo (por ejemplo, Windows 95), se bloquea el acceso de dichos dispositivos a la red. De ser necesario, tambin puede crear sus propios filtros de sistema operativo. Para agregar nuevos filtros de sistema operativo 1. 2. 3. En la herramienta Administrador DHCP de LANDesk, haga clic con el botn secundario en el objeto Opciones de filtro de sistema operativo y haga clic en Agregar. Escriba un nombre nico para el filtro de sistema operativo que desee agregar. Escriba el cdigo hexadecimal del sistema operativo. Para obtener el cdigo hexadecimal de una plataforma, ejecute una utilidad husmeadora de paquetes en un equipo con el sistema operativo y lea el identificador hexadecimal. Haga clic en Aceptar para crear el filtro. Para especificar el control de acceso de un filtro, haga clic en la lista desplegable Tipo de acceso del filtro y seleccione una de las opciones.
4. 5.
125
MANUAL DE USUARIO
126
4.
5.
Ficha Frecuencia
Intervalo de verificacin (minutos): Especifica la frecuencia con la que el vigilante de DHCP de LANDesk verifica si el servicio DHCP se est ejecutando. Tiempo de espera de una respuesta (segundos): Especifica la cantidad de tiempo que el vigilante de DHCP de LANDesk espera la respuesta al paquete de prueba del servicio DHCP.
127
MANUAL DE USUARIO
Cantidad de reintentos: Especifica la cantidad de veces que se enva el paquete de prueba antes de enviar la notificacin. Con cada uno de los intentos en los que no recibe respuesta, el vigilante de DHCP de LANDesk trata de reiniciar el servicio DHCP. Si tambin falla el ltimo reintento, el servidor DHCP de LANDesk se cambia al modo de paso, en el cual se pasan todas las solicitudes de DHCP al servidor DHCP empresarial principal. Puerto de trfico de prueba: Identifica el puerto al cual el vigilante de DHCP de LANDesk enva los paquetes de prueba. El nmero de puerto predeterminado es: 12579.
Ficha Notificacin
Enviar notificacin por correo electrnico: indica si est activada la notificacin por correo electrnico. Direccin de correo electrnico que notificar: Especifica la direccin (o direcciones) de correo electrnico donde se enva la notificacin. Si se especifican varias direcciones, debe separarlas con el carcter de punto y coma. Servidor SMTP: Identifica el servidor de correo SMTP al cual se enva la notificacin. Puerto SMTP: Identifica el puerto SMTP de los mensajes de correo. Autenticacin requerida para el servidor SMTP: Indica si se requiere la autenticacin para enviar un mensaje al servidor SMTP especificado. Nombre de usuario de SMTP: Identifica a un usuario vlido del servidor SMTP. Contrasea de SMTP: identifica la contrasea del usuario. Confirme la contrasea de SMTP: Verifica la contrasea del usuario. Enviar mensaje de correo electrnico de prueba: Intenta enviar una notificacin a las direcciones de correo electrnico especificadas. Utilice esta funcin para cerciorarse de que la notificacin funciona debidamente.
128
Configuracin de una implementacin de Cisco NAC del Control del acceso de red de LANDesk
"Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 130 "Componentes y flujo de trabajo de proceso de Cisco NAC" en la pgina 131 "Consideraciones de la topologa de red y de diseo para la implementacin de Cisco NAC" en la pgina 137 "Configuracin de un enrutador Cisco" en la pgina 137 "Configuracin de un Cisco Secure Access Control Server (ACS)" en la pgina 138 "Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad" en la pgina 138 "Instalacin y configuracin de un servidor de validacin de postura" en la pgina 139 "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 139 "Instalacin y configuracin de un servidor de reparaciones" en la pgina 140
129
MANUAL DE USUARIO
Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC
Utilice esta lista de verificacin de tareas para llevar un seguimiento de los pasos necesarios para configurar la solucin Cisco NAC: "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141.
130
Componentes requeridos
Componente Servidor central de LANDesk Descripcin Provee la herramienta Administrador de Seguridad y Revisiones, la cual se utiliza para: descargar contenido de seguridad (tales como las definiciones de vulnerabilidad de aplicaciones, las definiciones de spyware, las amenazas de la seguridad de la configuracin del sistema, las definiciones de configuracin de servidor de seguridad y de antivirus, etc.), definir criterios de cumplimiento, configurar servidores de validacin de postura y de reparaciones, y configurar y publicar configuraciones del NAC de LANDesk (incluso reglas de seguridad de cumplimiento o polticas y recursos de reparacin para el rastreo y la reparacin de dispositivos).
Determina si el dispositivo conectado tiene una postura apropiada o no apropiada en funcin de dos factores: la poltica de seguridad de cumplimiento (el contenido del grupo Legalidad en la herramienta Administrador de Seguridad y Revisiones Y la cantidad de horas desde el ltimo rastreo con resultado apropiado, tal como se especifica en la opcin Definicin de correcto del cuadro de dilogo Configurar el NAC de LANDesk). El servidor de validacin de postura dedicado es el punto decisivo de las polticas en el proceso de validacin. Nota: Cisco NAC requiere un servidor de validacin de postura dedicado, lo cual no es requerido por el DHCP de LANDesk.
Servidor de reparaciones
Contiene los archivos de configuracin y compatibilidad necesarios (cliente de seguridad, definiciones de tipo de seguridad y revisiones requeridas, al igual que las pginas de plantilla HTML utilizados para rastrear dispositivos en
131
MANUAL DE USUARIO
Componente
Descripcin busca de las vulnerabilidades) identificados en la poltica de seguridad y para reparar cualquier vulnerabilidad detectada a fin de que el dispositivo se pueda rastrear y determinar que tiene un estado apropiado para permitirle el acceso a la red.
Enrutador Cisco Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica tanto con el dispositivo conectado que intenta el acceso como con el Cisco Secure ACS para evaluar las credenciales de postura del dispositivo de punto extremo. En otras palabras, en el entorno Cisco NAC, el enrutador es el punto en el que se imponen las polticas en la red y donde se otorgan o se niegan los privilegios de acceso.
Dispositivo de hardware especfico a Cisco que funciona como servidor de validacin de postura principal en un entorno Cisco NAC. El servidor contiene Listas de control de acceso (ACL) que definen las reglas de imposicin de postura. El Cisco Secure ACS se configura para delegar las decisiones de postura al servidor (o servidores) de validacin de postura que configure en la red.
Dispositivos
Son los dispositivos mviles o de usuario invitado, al igual que los dispositivos de usuario de red normales, que intentan el acceso a la red empresarial. Los dispositivos de punto extremo habituales incluyen los equipos de escritorio y los porttiles, pero tambin podran incluir dispositivos sin cliente, tales como las impresoras, etc. El NAC de LANDesk permite evaluar el estado apropiado de los dispositivos conectados y controlar su acceso a la red en funcin de sus credenciales de postura.
Los diagramas siguientes muestran una configuracin habitual de los componentes descritos, al igual que el proceso o flujo de trabajo de validacin de postura entre dichos componentes.
132
133
MANUAL DE USUARIO
Flujo de trabajo de proceso: 1. 2. Un dispositivo que NO est configurado con el agente de confianza de Cisco (CTA) hace un intento inicial de iniciar una sesin en la red empresarial a travs del enrutador Cisco. El enrutador enva la solicitud de acceso al dispositivo al Cisco Secure Access Control Server (ACS) que contiene las listas de control de acceso (ACL) definidas por el administrador y las cuales determinan los derechos de acceso de cada postura o estado. Debido a que el agente de confianza (CTA) no se ha instalado en el dispositivo, el servidor Cisco ACS no puede determinar su postura o estado y no enva la solicitud de acceso al dispositivo al servidor de validacin de postura. El servidor Cisco ACS rechaza automticamente el intento de acceso "sin cliente", y enva la ACL debida al enrutador.
3.
4.
134
5.
Segn la ACL (tal como la defini el administrador), normalmente un dispositivo en esta situacin se encuentra restringido a la VLAN de cuarentena y no tiene acceso a la red empresarial en este momento. El usuario puede elegir entre permanecer en la VLAN de cuarentena o seguir los pasos necesarios para demostrar el cumplimiento con la poltica de seguridad de la red y obtener acceso total a la misma. A fin de obtener acceso a la red, primero debe instalarse manualmente el CTA (a travs de una ruta UNC o URL) al programa de instalacin del CTA. A continuacin, el dispositivo debe acceder al servidor de reparaciones a fin de instalar el cliente de seguridad de LANDesk que realiza el rastreo de evaluacin y la reparacin de vulnerabilidades. Una vez que se repara el dispositivo, se repite el proceso de acceso a la red y el dispositivo con estado apropiado (que cumple con los requisitos y obtiene acceso a la red empresarial).
135
MANUAL DE USUARIO
Flujo de trabajo de proceso: 1. 2. Un dispositivo que est configurado con el agente de confianza de Cisco (CTA) hace un intento inicial de iniciar una sesin en la red empresarial a travs del enrutador Cisco. El enrutador enva la solicitud de acceso al dispositivo al Cisco Secure Access Control Server (ACS) que contiene las listas de control de acceso (ACL) definidas por el administrador y las cuales determinan los derechos de acceso de cada postura o estado. Debido a que el agente de confianza se ha instalado en el dispositivo (y se ha configurado una conexin entre el servidor de validacin de postura y el servidor Cisco ACS), el servidor Cisco ACS puede enviar la solicitud de acceso al dispositivo al servidor de validacin de postura.
3.
136
4.
5. 6. 7.
8.
9.
El servidor de validacin de postura determina el estado o la "postura" del dispositivo en funcin de la poltica de seguridad compuesta por reglas de cumplimiento o credenciales predefinidas por el administrador de LANDesk mediante la funcin Cumplimiento de la herramienta Administrador de Seguridad y Revisiones. Dichas reglas de cumplimiento se publican del servidor central al servidor de validacin de postura. Observe que el servidor de validacin de postura es el que funciona como punto de decisin en el proceso de control del acceso de red, lo cual significa que determina la postura o el estado del dispositivo que busca el acceso a la red. El servidor de validacin de postura enva una declaracin de postura (o testigo) del dispositivo particular al servidor Cisco ACS. El servidor Cisco ACS enva la ACL correspondiente (segn la declaracin de postura al enrutador). La declaracin de postura se enva al agente de confianza del dispositivo en el rea de cuarentena. Si se considera que el dispositivo tiene el estado apropiado (es decir que cumple con los requisitos), se le concede el acceso a la red empresarial. No obstante, si se considera que el dispositivo tiene un estado no apropiado (no cumple con los requisitos), permanecer en la VLAN de cuarentena. Un cuadro de mensaje informa al usuario cmo comunicarse con el servidor de reparaciones a fin de instalar el cliente de seguridad de LANDesk, el cual realiza el rastreo de evaluacin y la reparacin de vulnerabilidades. El usuario puede elegir entre permanecer en la VLAN de cuarentena o seguir los pasos necesarios para demostrar el cumplimiento con la poltica de seguridad de la red y obtener acceso total a la misma. El servidor de reparaciones realiza la reparacin mediante el rastreo de vulnerabilidades y de otros riesgos de seguridad (las reglas de cumplimiento mencionadas anteriormente) y la instalacin de cualquier revisin necesaria. Una vez que se repara el dispositivo, se repite el proceso de acceso a la red y el dispositivo con estado apropiado (que cumple con los requisitos y obtiene acceso a la red empresarial).
137
MANUAL DE USUARIO
Para obtener informacin de configuracin del enrutador Cisco Puede ver las instrucciones de configuracin para que un enrutador Cisco se utilice en un entorno de Cisco NAC en el Sitio web de asistencia de LANDesk Software. Tambin recomendamos consultar la documentacin de su enrutador Cisco para obtener informacin ms detallada sobre su configuracin.
Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad
A fin de comunicarse con el servidor Cisco Secure ACS y evaluar su postura, el dispositivo debe tener instalado el agente de confianza de Cisco (CTA).
138
Nota importante para la instalacin del agente estndar completo de LANDesk: Debe tener el agente estndar completo de LANDesk instalado en un dispositivo para poder evitar que los dispositivos con estado apropiado dejen su red de forma automtica a menos que se le haya otorgado acceso a la red sin haber rastreado el cumplimiento de la seguridad la prxima vez que se conecte con su red (por lo tanto, sorteando el proceso de validacin). Si un dispositivo tiene slo el agente de confianza instalado (ya sea CTA o LTA), se considerar que se encuentra en estado apropiado y se permite que vuelva a ingresar a la red sin tener la validacin de postura. Para evitar que suceda esto, instale el agente estndar completo de LANDesk en sus dispositivos tan pronto como pueda. Para instalar el agente de confianza de Cisco en dispositivos administrados y no administrados 1. En el dispositivo, cree una asignacin UNC a la ubicacin del archivo unhealthyCisco.html. Esta pgina HTML debe haberse copiado en el recurso compartido Web del servidor de reparaciones. (Se trata de la ubicacin que especific al configurar el servidor de reparaciones en el campo Ubicacin de los archivos de comprobacin). O bien, abra el navegador del dispositivo y especifique la URL del archivo unhealthyCisco.html que se encuentra en el servidor de reparaciones. Siga las instrucciones de la pgina que se abre. Cuando se instala el CTA, puede hacer clic en el vnculo para rastrear la legalidad del equipo y seguir las instrucciones a fin de obtener slo acceso a Internet o de tener acceso completo a la red empresarial mediante la instalacin del cliente de seguridad necesario.
2. 3. 4.
Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS
Este procedimiento es exclusivo para la solucin Cisco NAC. Para obtener ms informacin e instrucciones paso a paso, consulte"Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148.
139
MANUAL DE USUARIO
140
Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC
Utilice esta lista de tareas para completar la planificacin, la instalacin y las tareas de configuracin necesarias para implementar la solucin de Cisco NAC en la red LANDesk. Puede imprimir esta lista de tareas y consultarla para llevar un seguimiento de cada uno de los pasos durante el proceso de implementacin. Si est visualizando esta lista de tareas en lnea, haga clic en el enlace Ms informacin para ver informacin detallada sobre una tarea particular.
Requisitos previos: Debe haber un servidor central LANDesk Management Suite 8.6 instalado y en ejecucin en la red, el cual debe estar activado con una licencia y con suscripciones de contenido de seguridad de LANDesk Security Suite: Instalar el servidor central Active el servidor central con una licencia de Security Suite Inicie una sesin en calidad de usuario Administrador o de usuario con ambos derechos de Administrador de seguridad y revisiones y de Cumplimiento de seguridad y revisiones (permite la descarga de contenido de seguridad y revisiones y la copia al grupo de cumplimiento)
Configure un enrutador Cisco: Si an no se encuentra configurado un enrutador, es recomendable que se dirija al sitio de asistencia de LANDesk para buscar instrucciones bsicas y consultar la documentacin de Cisco.
141
MANUAL DE USUARIO
Finalizada
Tarea
Configure un Cisco Secure Access Control "Configuracin de un Cisco Secure Access Control Server (ACS)" en la Server (ACS): pgina 138 Si an no se encuentra configurado un Cisco Secure ACS, es recomendable que se dirija al sitio de asistencia de LANDesk para buscar instrucciones bsicas, y consultar la documentacin de Cisco. Instale el agente confiable de Cisco (CTA) "Instalacin del agente de confianza de Cisco en dispositivos para la en dispositivos para la activacin del rastreo de legalidad activacin del rastreo de legalidad" en la pgina 138 Para todos los dispositivos administrados, no administrados y nuevos: Instale el CTA de forma manual utilizando una ruta URL o UNC (con la pgina unhealthyCisco.html ubicada en el recurso Web compartido de reparacin) Configure un servidor de validacin de postura dedicado: Nota: Este procedimiento se aplica slo a la solucin Cisco NAC, debido a que esta funcionalidad se encuentra integrado en el servidor DHCP de LANDesk. En un equipo servidor separado, Windows 2000 o superior, con .NET Framework 1.1 Direccin IP esttica Ejecute el programa que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\PostureServer "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148 "Instalacin y configuracin de un servidor de validacin de postura dedicado" en la pgina 146
Configure una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS: Nota: Este procedimiento se aplica
142
Finalizada
Tarea slo a la solucin Cisco NAC y se proporcionan instrucciones detalladas sobre el tema al que se hace referencia a la derecha. Instale un servidor de reparacin: En un equipo servidor separado, Ejecute la secuencia de comandos de configuracin CONFIGURE.REMEDIATION.SER VER.VBS que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\RemediationServer Nota: Esta secuencia de comandos configura automticamente el servidor para realizar la reparacin mediante la - creacin de un recurso Web denominado LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon - la adicin de un acceso annimo al recurso compartido LDLogon con derechos de lectura y exploracin - la adicin de un nuevo tipo MIME para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos
"Definicin del criterio de seguridad de Defina la seguridad de legalidad en la herramienta Administrador de Seguridad y legalidad en la herramienta Revisiones: Administrador de Seguridad y Revisiones" en la pgina 151 En la herramienta Administrador de Seguridad y Revisiones de la consola, descargue las definiciones del contenido de seguridad y revisiones Agregue las definiciones de seguridad en el grupo Legalidad para poder definir su cumplimiento de la poltica de seguridad Compruebe que se descarguen las revisiones asociadas En Administrador de Seguridad y Revisiones, haga clic derecho en
143
MANUAL DE USUARIO
Finalizada
Tarea el objeto Control de acceso de red (bajo Configuracin), haga clic en Configurar NAC de LANDesk, primero asegrese de que la opcin Habilitar NAC de LANDesk est activada y luego defina las posturas apropiadas e inapropiadas Configure (agregue) el servidor de validacin de postura en la consola: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Ingrese el nombre del servidor de validacin de postura, haga clic en Agregar para agregar a la lista, y luego en Aceptar
Configure (agregue) el servidor de reparaciones en la consola: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red, y luego haga clic en Configurar servidores de reparaciones y haga clic en Agregar Ingrese la direccin IP del servidor de reparacin, la ruta UNC al recurso Web de LDLogon que cre en el servidor de reparacin donde se publican los archivos y las credenciales de acceso de usuario y haga clic en Aceptar
Publique TODAS las opciones de configuracin de NAC de LANDesk en los servidores apropiados: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto
144
Finalizada
Tarea Control de acceso de red, haga clic en Publicar los ajustes NAC de LANDesk, seleccione Todos y haga clic en Aceptar Nota: El proceso inicial de publicacin debe incluir TODAS las opciones de configuracin NAC de LANDesk; a partir de esa publicacin puede incluir solamente el contenido de legalidad
Compruebe que el proceso de validacin de postura funcione correctamente: Haga una prueba simple de Cisco NAC conectando un dispositivo a la red. "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163
Realice las tareas continuas de administracin de legalidad de seguridad: Verificacin de la activacin de los servicios NAC de LANDesk Utilizar el permiso o la restriccin de acceso de todos a la opcin Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados Visualizacin de dispositivos afectados (que no cumplen) Modificacin y actualizacin de polticas de seguridad de legalidad Adicin de dispositivos no administrados Configuracin y visualizacin de registro de cumplimiento Generacin de informes de legalidad
Para regresar al tema de ayuda principal de Cisco NAC, consulte Uso de la solucin Cisco NAC.
145
MANUAL DE USUARIO
146
Puede ver los diagramas que muestran la ubicacin del componente y el flujo de trabajo del proceso para cada solucin del NAC de LANDesk en sus secciones de introduccin respectivas. Consulte "Uso de la solucin Cisco NAC" en la pgina 129.
2. 3. 4. 5. 6.
El programa de instalacin del servidor de postura copia los archivos, inicia el servicio del servidor de postura y escucha las solicitudes entrantes en los puertos TCP 12578 y 12576 (puertos predeterminados). Debe comprobar si hay algn servidor de seguridad abierto. El servidor de validacin de postura se encuentra ahora listo para que se configure en la consola. Tarea adicional importante para los servidores de validacin de postura dedicados en el entorno Cisco NAC En la implementacin Cisco NAC, tambin debe configurar una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS. Esta conexin permite que el servidor de validacin de postura enve declaraciones de postura al ACS sobre los dispositivos que intentan el acceso a la red, en funcin del criterio de legalidad de seguridad. Para obtener ms informacin, consulte "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148.
147
MANUAL DE USUARIO
2. 3.
Ahora puede publicar el contenido del NAC de LANDesk en el servidor (siempre que tambin haya configurado un servidor de reparacin y las credenciales de usuario).
Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS
Esta tarea solamente se aplica a la implementacin Cisco NAC. Para Cisco NAC, debe configurar esta conexin entre el servidor de validacin de postura y Cisco NAC para que puedan comunicarse durante el proceso de validacin de postura al determinar el estado de condicin o postura de un dispositivo al intentar conectarse con la red. Como se dijo anteriormente, este procedimiento no es importante si se encuentra utilizando la solucin DHCP de LANDesk.
148
Para configurar una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS 1. Copie el archivo landeskattributes.txt (que se ubica en el servidor central en la carpeta C:\Archivos de programa\LANDesk\ManagementSuite\Install\TrustedAccess\Cisco a la unidad C:\ de Cisco Secure ACS. En Cisco Secure ACS, abra una ventana CMD.exe y ejecute el siguiente comando : C:\Archivos de programa\CiscoSecure ACS v3.3\Utils\csutil -addAVP c:\landeskattributes.txt Detenga y vuelva a iniciar los siguientes servicios en Cisco ACS: - csauth - csadmin - csutil Los atributos de LANDesk aparecern en la lista de Credenciales disponibles. Inicie la consola del Cisco Secure ACS. Haga clic en Base de datos de usuarios externos | Configuracin de base de datos | Control de admisin de red | Crear configuracin nueva. Escriba un nombre para la configuracin nueva y luego haga clic en Enviar. En el cuadro Configuracin de base de datos de usuarios externos, haga clic en Configurar. En el cuadro Tipo de credencial obligatorio, haga clic en Editar lista. Si ejecuta el archivo de proceso en lotes mencionado anteriormente, la lista de Credenciales disponibles debera mostrar las credenciales Landesk.LDSS. Mueva el objeto a la lista de Credenciales seleccionadas y haga clic en Enviar. En el cuadro Polticas de validacin de credenciales, haga clic en Polticas externas | Poltica externa nueva. Escriba el nombre: PVS1 Escriba una descripcin. Escriba la URL: http://nombre del servidor de validacin de postura:12576/pvs.exe Defina el tiempo de espera en 30 segundos. Marque la casilla de verificacin Configuracin del servidor principal. En el cuadro Tipos de credenciales de envo, mueva Landesk.LDSS de la lista Credenciales disponibles a la lista Credenciales seleccionadas y haga clic en Enviar. Agregue la poltica PVS1 a la lista Polticas seleccionadas y haga clic en Enviar. Haga clic en Guardar configuracin.
2.
3.
4. 5. 6. 7. 8. 9. 10.
Ha completado las tareas especficas al componente de Cisco Secure ACS requerido para la configuracin de una implementacin de Cisco NAC. Para obtener una lista completa de todas las tareas requeridas para la configuracin de un mbito de Cisco NAT, consulte la "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141. Para regresar al tema de ayuda principal de Cisco NAC, consulte"Uso de la solucin Cisco NAC" en la pgina 129.
149
MANUAL DE USUARIO
150
Y Las definiciones apropiadas o inapropiadas de las posturas del dispositivo que se especificaron en el cuadro de dilogo Configurar NAC de LANDesk en la consola.
Consulte la lista de pasos detallados a continuacin para cada una de las tareas. Consulte "Uso del grupo Legalidad para definir una poltica de seguridad de legalidad" en la pgina 152, y "Uso de la configuracin de NAC de LANDesk para definir posturas apropiadas e inapropiadas" en la pgina 152.
151
MANUAL DE USUARIO
Uso del grupo Legalidad para definir una poltica de seguridad de legalidad
Como se explica anteriormente, el contenido del grupo Legalidad determina la poltica de seguridad de legalidad base. Puede optar por una seguridad de legalidad mnima compuesta de solamente algunas definiciones de vulnerabilidad y de amenazas de seguridad o bien, crear una poltica de seguridad compleja y estricta que est formada por varias definiciones de seguridad. Tambin puede modificar la poltica de seguridad de legalidad en cualquier momento, mediante la adicin o eliminacin de definiciones del grupo Legalidad. Derecho de administracin basada en funciones necesario para utilizar el grupo Legalidad Solamente el administrador de LANDesk o un usuario con el derecho de Legalidad de seguridad y revisiones pueden agregar o eliminar las definiciones del grupo Legalidad. Los tipos de seguridad siguientes se pueden agregar al grupo Legalidad para definir una poltica de seguridad de legalidad: Definiciones de antivirus Definiciones personalizadas: Definiciones de actualizacin de controladores Definiciones de actualizacin de software LANDesk Definiciones de amenazas de seguridad (incluso definiciones de servidor de seguridad) Definiciones de actualizacin de software Definiciones de spyware Vulnerabilidades (definiciones de vulnerabilidades de aplicacin y SO)
Nota: No se pueden agregar definiciones de aplicaciones bloqueadas al grupo Legalidad para definir polticas de seguridad de legalidad Para agregar definiciones de seguridad al grupo de Legalidad 1. En el Administrador de Seguridad y Revisiones, seleccione el tipo de contenido de seguridad que desee agregar a su poltica de seguridad de cumplimiento desde la lista desplegable de Tipo y arrastre las definiciones de la lista de elementos en el grupo Legalidad. O bien, haga clic con el botn secundario en una definicin individual o en el grupo seleccionado de definiciones y haga clic en Agregar al grupo de legalidad. Compruebe que las revisiones necesarias asociadas se descarguen antes de publicar el contenido del NAC de LANDesk para los servidores de validacin de postura y los de reparacin. Haga clic con el botn secundario en una definicin, en un grupo de definiciones seleccionado o en el mismo grupo de Legalidad y haga clic en Descargar revisiones asociadas para descargar las revisiones necesarias con el fin de reparar los dispositivos afectados.
2. 3.
152
Para definir las posturas apropiadas y no apropiadas 1. Requisitos previos: Si utiliza la solucin DHCP de LANDesk, asegrese de haber configurado al menos un servidor de reparaciones y el servidor DCHP de LANDesk (que tiene integrada la funcionalidad de validacin de postura). Si utiliza la solucin Cisco NAC, cercirese de haber configurado un enrutador Cisco, un servidor Cisco Secure ACS, un servidor de validacin de postura (con conexin al servidor Cisco Secure ACS) y un servidor de reparaciones. Asegrese de haber descargado las definiciones de seguridad (spyware, vulnerabilidades, amenazas de seguridad, etc.) y las revisiones que desee incluir en su poltica de legalidad de seguridad mediante la herramienta Administrador de Seguridad y Revisiones y de haber agregado dichas definiciones al grupo Legalidad. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Active la opcin Habilitar NAC de LANDesk para activar la seguridad de legalidad. Para definir la postura o estado apropiado de lo dispositivos que intenten el acceso a la red empresarial, seleccione la cantidad de horas que han transcurrido desde el ltimo rastreo de seguridad de legalidad en la lista desplegable. El valor predeterminado es de 96 horas. (Nota: Esta configuracin se aplica a los entornos de Cisco NAC y LANDesk DHCP y a los procesos de validacin de postura). Para definir la postura o estado no apropiado, seleccione la postura no apropiada en la lista desplegable (los valores posibles incluyen: Cuarentena, Verificacin e Infectado). Estas posturas predeterminadas ya deben estar predefinidas en las listas de control de acceso (ACL) del servidor Cisco Secure ACS. (Nota: Esta configuracin se aplica actualmente slo a Cisco NAC. Con el DHCP de LANDesk, un dispositivo se considera apropiado o no apropiado de acuerdo con las definiciones de seguridad del grupo de cumplimiento y la definicin de postura apropiada. Si el dispositivo no cumple estas condiciones no es apropiado). (Opcional) Especifique el nivel mnimo de registro al seleccionar una opcin de la lista desplegable. Los niveles de registro disponibles incluyen: Informacin, Advertencia, Error, Error crtico y Depurar. Los diferentes niveles de registro determinan la cantidad de informacin que se escribe en el archivo de registro.
2.
3. 4. 5.
6.
7.
153
MANUAL DE USUARIO
Habilitar el NAC de LANDesk: Activa la seguridad de legalidad del NAC de LANDesk (para las implementaciones de DHCP de LANDesk o NAC de Cisco). De forma predeterminada esta opcin se encuentra desactivada, lo que le permite a cualquier dispositivo, apropiado o no, acceder a la red. Deje esta opcin desactivada si desea que todos tengan acceso a la red. Consideraciones: Si deja esta opcin desactivada, se puede dar suficiente tiempo para finalizar la configuracin de la red de NAC de LANDesk y la poltica de cumplimiento de seguridad base para permitir que el proceso normal del Administrador de Seguridad y Revisiones consiga que la mayor parte de sus dispositivos administrados sean compatibles, para cumplir con los diversos registros e informes de NAC de LANDesk y elegir el momento adecuado para comenzar a hacer cumplir una poltica de seguridad que restrinja el acceso a la red. Una vez que la mayora de los dispositivos administrados sean compatibles o cuando usted como administrador de red crea que es momento de comenzar a hacer cumplir la seguridad de cumplimiento de punto extremo, active esta opcin para habilitar el NAC de LANDesk en su red y bloquear el acceso a la red de los dispositivos que no cumplan.
Definicin de apropiado: Indica la cantidad de horas que han transcurrido desde el ltimo rastreo de seguridad de legalidad que no detect ninguna vulnerabilidad (tal como lo define el contenido del grupo Legalidad del Administrador de Seguridad y Revisiones en el dispositivo rastreado). Definicin de no apropiado: indica la postura no apropiada predeterminada que determina si el dispositivo rastreado no es apropiado. Las listas de control de acceso de la implementacin Cisco NAC definen las posturas predeterminadas. Intervalo mnimo de histrico: indica el nivel de registro de los archivos histricos del servidor de validacin de postura. Nombre del servidor DHCP de LANDesk o de validacin de postura: escriba el nombre del servidor en este campo (el servidor DHCP de LANDesk si utiliza la solucin de DHCP de LANDesk o un servidor de validacin de postura dedicado si utiliza la solucin Cisco NAC), y haga clic en Agregar para agregar el servidor a la red. Cuando publica configuraciones de NAC de LANDesk, stas se publican en todos los servidores incluidos en la lista. Publicar: Abre el cuadro de dilogo Publicar configuracin de NAC de LANDesk que permite especificar el contenido que desea publicar en los servidores de validacin de postura, los servidores DHCP de LANDesk y los servidores de reparaciones. Cada vez que cambie la configuracin de NAC de LANDesk, debe volver a publicar las nuevas configuraciones. (Nota: La publicacin del Contenido de NAC de LANDesk enva la configuracin de NAC de LANDesk y las reglas de cumplimiento a los servidores de validacin de postura o a los servidores DHCP de LANDesk; y las revisiones asociadas a los servidores de reparaciones. La publicacin de archivos de Infraestructura enva archivos de configuracin y compatibilidad, incluso el rastreador de seguridad del cliente y los agentes de confianza y las pginas de plantilla HTML a los servidores de reparaciones.)
154
155
MANUAL DE USUARIO
La publicacin inicial debe incluir TODAS las configuraciones La primera vez que publique los ajustes del NAC de LANDesk en sus servidores de validacin de postura y reparacin, debe incluir TODOS los ajustes del NAC de LANDesk, incluyendo: contenido de NAC de LANDesk y archivos de infraestructura (a continuacin podr ver los detalles de estos archivos). La publicacin subsiguiente slo puede incluir el contenido de NAC de LANDesk o las reglas de cumplimiento. Por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. Para publicar la configuracin de NAC de LANDesk 1. Puede acceder al cuadro de dilogo de Publicar los ajustes del NAC de LANDesk y publicar la configuracin desde varias ubicaciones en la herramienta Administrador de Seguridad y Revisiones. Por ejemplo, puede hacer clic con el botn secundario en el objeto Control de acceso de red o en el grupo Legalidad y luego en Publicar. Tambin puede buscar el botn Publicar en los cuadro de dilogo Configurar NAC de LANDesk y en Configurar servidor de reparacin. Asimismo, puede hacer clic en el botn de la barra de herramientas Publicar los ajustes del NAC de LANDesk en la ventana Administrador de Seguridad y Revisiones. Para publicar todos los ajustes del NAC de LANDesk, incluso el contenido de NAC de LANDesk y los archivos de infraestructura en todos los servidores de validacin de postura y reparacin a la misma vez, seleccione la casilla de verificacin Todos y haga clic en Aceptar. Si desea publicar slo el contenido de NAC de LANDesk (definiciones de seguridad, ajustes de NAC de LANDesk o reglas de legalidad y revisiones asociadas) a los servidores de validacin de postura y a los servidores de reparacin, marque la casilla de verificacin Contenido del NAC de LANDesk y haga clic en Aceptar. Si desea publicar slo los archivos de infraestructura (rastreador de seguridad del cliente, instalaciones de agentes de confianza y en las pginas HTML para los servidores de reparacin), seleccione la casilla de verificacin Infraestructura y luego haga clic en Aceptar. (Generalmente slo tendr que publicar los archivos de infraestructura una sola vez en los servidores de reparacin).
2.
3.
4.
156
El contenido de NAC de LANDesk representa la vulnerabilidad y otras definiciones de tipos de contenido de seguridad que se encuentran actualmente en el grupo de Legalidad en la herramienta Administrador de Seguridad y Revisiones, as como los ajustes de NAC de LANDesk, como los ajustes de postura apropiados y no apropiados, los niveles de registro, etc., que se definen en el dilogo Configurar ajustes de NAC de LANDesk. En los servidores de validacin de postura se publican las definiciones de seguridad, los ajustes de postura apropiados y no apropiados y los niveles de registro, mientras que los archivos de revisin asociados se publican en los servidores de reparacin (basados en los contenidos del grupo de Legalidad en el momento que publique). (Nota: Si cambia el contenido del grupo de Legalidad o cambia los ajustes de NAC de LANDesk en el dilogo Configurar NAC de LANDesk, debe volver a publicar esta informacin en sus servidores). Infraestructura: Publica los siguientes recursos de reparacin en todos los servidores de reparaciones que se han agregado a la red. Archivos de configuracin y compatibilidad: los archivos de instalacin y compatibilidad representan las instalaciones del rastreo del cliente de seguridad y del agente de confianza. El rastreador del cliente de seguridad lleva a cabo un rastreo de seguridad y de reparacin en los dispositivos. En este momento existen cuatro versiones del cliente de seguridad: NAC, NAC para clientes NT4 , DHCP, DHCP para clientes NT4. El rastreador del cliente de seguridad tambin incluye un agente LANDesk estndar mnimo. La instalacin del agente de confianza le permite a los usuarios finales instalar LTA y CTA en sus dispositivos mediante una URL de Web. Pginas HTML: representa las pginas HTML de plantilla que el servidor de reparaciones enva a los dispositivos con agentes de confianza instalados que intenten obtener acceso a la red empresarial. Estas pginas brindan instrucciones al usuario para obtener acceso limitado a la red o para reparar sus equipos a fin de cumplir los requisitos de la poltica de seguridad y obtener acceso total a la red empresarial. Las pginas HTML son plantillas que pueden modificarse. (Nota: por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. A diferencia del contenido de NAC de LANDesk (criterio de legalidad), no necesita publicar estos archivos cada vez que cambia la poltica de seguridad de legalidad.
157
MANUAL DE USUARIO
158
Esta pgina provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el agente de confianza y software necesario para la reparacin de modo que el dispositivo pueda repararse y rastrearse, y que se le permita el acceso completo a la red. Debe especificar la URL de esta pgina en el servidor de reparaciones, en el campo URL de primera visita cuando configure las propiedades del servidor de reparaciones con la herramienta Administrador DHCP de LANDesk.
159
MANUAL DE USUARIO
Adicin de secciones DIV para mostrar de forma dinmica las definiciones de seguridad cuya reparacin fall
Podra resultar particularmente til para los usuarios empresariales finales, al igual que para los visitantes de la red, si personalizan las pginas de estado no apropiado para que ellos puedan saber con exactitud la causa de los problemas de seguridad en sus equipos y los pasos especficos que deben realizar para reparar el problema a fin de que el dispositivo pueda volver a rastrearse, evaluarse como apropiado y se les permita el acceso completo a la red.
160
Estas pginas se han diseado para que muestren el contenido de forma dinmica cuando la herramienta de reparacin del rastreador de seguridad no logra reparar una vulnerabilidad detectada. En otras palabras, si se rastrea el dispositivo del usuario final y se detectan vulnerabilidades u otras exposiciones de seguridad (tales como amenazas de seguridad de la configuracin del sistema, spyware, etc.) y falla la tarea de reparacin, la pgina HTML de estado no apropiado puede mostrar las definiciones de seguridad especficas con sus nmeros de ID nicos, junto con otra informacin adicional que indique al usuario cmo reparar el problema, SIEMPRE Y CUANDO el administrador de sistemas haya agregado una seccin DIV para dichas definiciones de seguridad (vase un ejemplo de seccin DIV ms adelante). Si falla la reparacin de una definicin de seguridad y esta no tiene una seccin DIV correspondiente en el archivo HTML, no se mostrar informacin especfica para esa definicin en el explorador del dispositivo del usuario final. Para personalizar una pgina HTML 1. 2. Abra el archivo HTML en el editor de HTML. Edite el texto de plantilla existente a fin de proporcionar la informacin detallada deseada que desee que los usuarios finales (empleados empresariales y visitantes) vean cuando inician una sesin en la red empresarial. En el caso de las pginas HTML no apropiadas, agregue secciones DIV nuevas en el cdigo HTML (utilice las secciones de DIV de ejemplo como modelo) para las definiciones de contenido de seguridad que ha colocado en el grupo de Legalidad que define su poltica de seguridad de legalidad. No es necesario agregar secciones DIV en todas las definiciones de seguridad. Pero slo las definiciones con secciones DIV en el archivo HTLM pueden aparecer si se detecta una exposicin de seguridad Y el rastreador de seguridad no la repar. Vea la siguiente entrada DIV de muestra. Puede agregar los pasos necesarios para reparar el problema de seguridad, vnculos a los sitios de descarga de software y cualquier informacin que ayude a los usuarios finales en la resolucin del problema. Guarde los cambios. Vuelva a publicar las pginas HTML modificadas en los servidores de reparaciones.
3.
4. 5.
161
MANUAL DE USUARIO
Donde "ttip" es el identificador real de la definicin de seguridad. Puede buscar un identificador de la definicin en su pgina de propiedades en Administrador de seguridad y revisiones. Escriba el identificador tal como aparece en las propiedades de la definicin. Si esta reparacin de la definicin de seguridad especfica no funciona, el contenido de la seccin DIV aparecer dinmicamente en el explorador del usuario final y le proporciona informacin til para solucionar el problema (en la medida en que se haya especificado dicha informacin).
162
163
MANUAL DE USUARIO
Al menos una definicin de contenido de seguridad se encuentra en el grupo Legalidad de la herramienta Administrador de Seguridad y Revisiones. Puede tener la cantidad de definiciones que desee para definir la poltica de seguridad de legalidad actual en funcin de sus necesidades y objetivos de seguridad, y de los riesgos existentes. El contenido del grupo Legalidad es el factor principal que define la poltica de seguridad de legalidad y puede incluir vulnerabilidades de SO y de aplicacin, spyware, antivirus, actualizaciones de software, definiciones personalizadas y amenazas a la seguridad de la configuracin del sistema, incluso configuraciones de servidor de seguridad, lo que sea fundamental para la proteccin de la red en cualquier momento. No obstante, recuerde que debe tener al menos una definicin en el grupo Legalidad a fin de que se imponga el NAC de LANDesk y de que se produzca el proceso de validacin de postura. Si el grupo Legalidad est vaco, no existen credenciales de seguridad que verificar, no se puede realizar la validacin de postura y no funciona el NAC de LANDesk. (Solamente para Cisco NAC) Se ha configurado debidamente al menos un servidor de validacin de postura dedicado, con las reglas de legalidad de seguridad publicadas en l a partir del servidor de seguridad (por ejemplo, opciones del NAC de LANDesk que definen posturas apropiadas y no apropiadas, e informacin de contenido del grupo Legalidad). En una implementacin Cisco NAC, el servidor de validacin de postura debe configurarse para comunicarse con el Cisco Secure ACS. Se ha configurado debidamente al menos un servidor de reparaciones, con los recursos de reparacin publicados en l a partir del servidor central (por ejemplo, el cliente de seguridad o la utilidad de rastreo de vulnerabilidad, las revisiones asociadas con las vulnerabilidades contenidas en el grupo Legalidad y las pginas HTML que incluyen enlaces a: la instalacin de agentes de confianza, la realizacin de rastreos de seguridad de legalidad, la reparacin de vulnerabilidades detectadas y otros problemas). Y
Se activa la opcin Habilitar NAC de LANDesk en el cuadro de dilogo Configurar NAC de LANDesk.
164
Lo ms importante, puede cambiar la naturaleza de la poltica de seguridad de legalidad en cualquier momento a fin de satisfacer las circunstancias y los requisitos que estn en constante cambio. Simplemente recuerde que en cualquier momento que cambie su criterio de cumplimiento de seguridad (por ejemplo, el contenido del grupo de Legalidad en el Administrador de Seguridad y Revisiones, o la configuracin del NAC de LANDesk en el dilogo Configurar NAC de LANDesk), necesita volver a publicar la configuracin del NAC de LANDesk en los servidores de validacin de postura y en los servidores de reparacin.
165
MANUAL DE USUARIO
Observacin de los diagramas del proceso de validacin de postura para las soluciones NAC de LANDesk
Tambin puede ver el proceso de validacin de postura para los dispositivos con o sin agentes confiables en ambos entornos de NAC de LANDesk. Consulte las siguientes dos secciones con los diagramas: "Componentes y flujo de trabajo de proceso de DHCP de LANDesk" en la pgina 93 "Componentes y flujo de trabajo de proceso de Cisco NAC" en la pgina 131
Cuando se valida la postura de un dispositivo conectado sin el LTA instalado: El dispositivo se ubica en la red de cuarentena sin advertencia o notificacin. El dispositivo puede tener los recursos de red limitados que se proporcionan en la red de cuarentena Se registra un suceso de estado sin cliente en el archivo de registro. El usuario final puede instalar el agente de confianza en este momento O bien, el usuario final puede elegir si explorar solamente la Web (si el administrador de red lo ha configurado como opcin)
Cuando se valida la postura de un dispositivo conectado con el LTA instalado y se encuentra que no es apropiado ni compatible: Se explora el dispositivo
Cuando se valida la postura de un dispositivo conectado con el LTA instalado y se encuentra que es apropiado y compatible: Se permite el dispositivo en la red sin interrupcin Se registra un suceso de estado apropiado en el archivo de registro
166
Cuando se valida la postura de un dispositivo conectado sin el CTA instalado: El dispositivo se maneja como sin clientes y sigue cualquier regla que se haya configurado para un usuario de cliente en Cisco Secure ACS
Cuando se valida la postura de un dispositivo conectado con el CTA instalado y se encuentra que no es apropiado ni compatible: El dispositivo se presenta con un cuadro de mensaje (declaracin de condicin), que puede configurarse en las instrucciones de ACS sobre lo que debe hacer a continuacin para la reparacin Se registra un estado en el archivo de registro de ACS (Apropiado, Infectado, Verificacin, Cuarentena y Desconocido) El usuario final debe explorar de forma manual la pgina de reparacin. De forma idnea, el cuadro de mensaje de Cisco NAC (declaracin de condicin) debe configurarse para que muestre la URL El usuario final puede hacer clic en el vnculo apropiado para rastrear el dispositivo (los equipos NT4 utilizan un vnculo diferente) Se explora y repara el dispositivo Se presenta la URL apropiada Se registra un suceso de estado apropiado Se permite el acceso de los dispositivos a la red O bien, el usuario final puede elegir si explorar la Web sin tener que rastrear
Cuando se valida la postura de un dispositivo conectado con el CTA instalado y se encuentra que es apropiado y compatible: Se permite el dispositivo en la red sin interrupcin Se registra un suceso de estado apropiado
MANUAL DE USUARIO
Para ello, cambie el contenido del grupo de Legalidad en el Administrador de Seguridad y Revisiones y cambie la configuracin del NAC de LANDesk, como las definiciones de postura apropiadas y no apropiadas y el nivel de registro en el dilogo Opciones de configuracin del NAC de LANDesk en la consola. A continuacin, debe volver a publicar el contenido del NAC de LANDesk en los servidores de validacin de postura y en los servidores de reparacin. Recuerde que la publicacin de contenido del NAC de LANDesk enva configuracin del NAC de LANDesk y reglas de cumplimiento para los servidores de validacin de postura Y las revisiones asociadas a los servidores de reparacin, mientras que la publicacin de los archivos de infraestructura configura y comparte los archivos (incluyendo el rastreador de cliente de seguridad, las instalaciones de agentes confiables y las pginas de plantillas de HTML) en los servidores de reparacin. (Nota: por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. A diferencia del contenido del NAC de LANDesk, no necesita publicar estos archivos cada vez que cambia la poltica de seguridad de legalidad). Para obtener informacin detallada, consulte "Definicin del criterio de seguridad de legalidad en la herramienta Administrador de Seguridad y Revisiones" en la pgina 151.
2.
168
C:\Archivos de programa\LANDesk\PostureServer\PostureServer.log
El registro del servidor de validacin de postura muestra Todos los eventos de postura registrados (Apropiado, No apropiado, Desconocido) Razones para los eventos No apropiados y Desconocidos
Para configurar el nivel de registro en los registros de los servidores de validacin de postura 1. 2. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Seleccione un Nivel mnimo de registro en la lista desplegable. Los niveles de registro disponibles incluyen: Informacin, Advertencia, Error, Error crtico y Depurar. Nota: El nivel de registro que especifique se aplica a todos los servidores de validacin de postura y a los servidores DHCP de LANDesk de la lista.
Para ver registros de servidor de validacin de postura Puede ver el archivo de registro directamente en el servidor de validacin de postura en la ruta mencionada anteriormente. O bien, un acceso ms conveniente en los registros del servidor de validacin de postura se hace desde la herramienta Administrador de Seguridad y Revisiones de la consola. Sencillamente abra el objeto Control de acceso de red en el rbol del Administrador de Seguridad y Revisiones y haga doble clic en el archivo de registro que desee ver cuando est conectado.
El registro del servicio DHCP de LANDesk muestra: Todos los eventos de DHCP registrados desde el servicio de LDDHCP Estado de postura de los dispositivos que solicitan las direcciones IP alquiladas de DHCP
Puede configurar el nivel de detalle de los registros de DHCP de LANDesk. Para ello defina el Nivel mnimo de registro en la lista desplegable del cuadro de dilogo Configurar NAC de LANDesk.
169
MANUAL DE USUARIO
Este archivo de registro se encuentra en el equipo de Cisco Secure ACS. Puede acceder este archivo de registro desde la utilidad de Cisco Secure ACS, en el Registro de autenticaciones fallidas.
Para acceder a la herramienta Informes y poder generar y ver los mismos, los usuarios de LANDesk deben tener derecho de administrador de LANDesk (lo que implica derechos absolutos) o derecho de informes especfico. Los informes del NAC de LANDesk siguen las mismas reglas que los del grupo de monitoreo de licencias de software, incluso la capacidad para copiarse, eliminarse, exportarse, etc.; desde los grupos Mis informes e Informes de usuarios.
170
Este captulo describe cmo planear, instalar, configurar y habilitar la implementacin de LANDesk IP Security en el NAC de LANDesk. Para obtener informacin sobre LANDesk 802.1X, consulte "Uso de la solucin LANDesk 802.1X" en la pgina 181. Informacin general sobre el NAC de LANDesk Para obtener informacin general sobre el NAC de LANDesk y sobre otras soluciones de acceso de confianza mencionadas anteriormente, consulte el captulo NAC de LANDesk en el Manual del usuario de LANDesk Management Suite o el Manual del usuario de LANDesk Security Suite. Lea este captulo para obtener informacin sobre: "Informacin general sobre LANDesk IP Security" en la pgina 171 "Descripcin del proceso de LANDesk IP Security" en la pgina 172 "Configuracin de LANDesk IP Security" en la pgina 173 "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Creacin de un certificado maestro para la directiva de buena condicin de seguridad IP" en la pgina 174 "Importacin y exportacin de certificados maestros" en la pgina 175 "Personalizacin de directivas de mantenimiento de la seguridad IP (acceso a Internet, listas de exclusin)" en la pgina 178 "Instalacin y configuracin de un servidor de reparaciones" en la pgina 180 "Comprensin y uso de la pgina Reparacin de HTML de la seguridad IP" en la pgina 180 "Visualizacin de la informacin de seguridad IP en el inventario" en la pgina 180 "Supervisin de las directivas de seguridad IP con el vigilante del agente de LANDesk" en la pgina 180
171
MANUAL DE USUARIO
LANDesk IP Security funciona mediante el envo de certificados firmados por la autoridad de certificacin del servidor central de LANDesk a los dispositivos administrados que han pasado de forma satisfactoria una verificacin de postura inicial. Si la verificacin de postura inicial falla, se asigna un certificado nico al dispositivo, el cual lo asla de la comunicacin con todos los dems dispositivos de la red. Si se deniega el acceso al dispositivo, un indicador muestra al usuario la forma en que puede cumplir con las directivas de seguridad estipuladas en el servidor central. Una vez que se determina que el dispositivo cumple con la directiva de seguridad, se le asigna un certificado de estado apropiado, se le otorga acceso a la red y podr comunicarse con los dems dispositivos de estado apropiado. LANDesk IP Security no requiere una configuracin por separado de componentes de hardware adicionales, tales como VLAN, servidores de postura, etc. LANDesk IP Security permite aplicar las directivas personalizadas de seguridad de cumplimiento definidas en el servidor central.
172
3.
Los certificados en mala condicin (no comprobados) reciben una clave generada de forma aleatoria (para la directiva de mala condicin) que asegura que los equipos en mala condicin no se infecten entre ellos. Se aplica una directiva de mala condicin al dispositivo. Se deniega el acceso a la red y se aslan los dispositivos en mala condicin (en la misma red), los cuales no se pueden comunicar con ningn dispositivo excepto con los de la lista de excepcin de mala condicin. A continuacin se intenta la reparacin mediante el servidor central o el de reparacin, y se vuelve a ejecutar el rastreo de cumplimiento de la seguridad.
No se admiten los dispositivos no administrados Los dispositivos no administrados deben configurarse (a travs de la configuracin de agentes) con certificados de seguridad IP para que puedan comunicarse con los dispositivos administrados.
Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento
A fin de comunicarse con el servidor central de LANDesk y con su funcin de autoridad de certificacin (CA), y de evaluar su postura, el dispositivo debe tener instalado el agente de confianza de LANDesk (LTA). El Agente de confianza (LTA) de LANDesk se puede utilizar tanto por la solucin DHCP de LANDesk como por la solucin de seguridad de IP de LANDesk. Nota:Recuerde que para poder proporcionar capacidades adicionales de administracin de dispositivo, tambin puede instalar el LTA (que incluye el rastreo de inventario y programacin local) en los dispositivos administrados an cuando utiliza la solucin de Cisco NAC. Es decir, puede tener ambos agentes de confianza instalados en el dispositivo. Sin embargo, si utiliza la solucin de LANDesk DHCP, no deber instalar CTA en los dispositivos administrados.
173
MANUAL DE USUARIO
Para instalar el agente de confianza de LANDesk en dispositivos administrados por los empleados Si ya tiene el agente estndar de LANDesk, instale el LTA con una nueva configuracin de agente de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con una configuracin inicial de agente O instale el LTA con una configuracin de agente en los dispositivos con UDD
Para instalar el agente de confianza de LANDesk en dispositivos no administrados por los empleados Instale el agente estndar de LANDesk (wscfg32.exe) para instalar el LTA O bien, utilice la configuracin de agente autocontenida
Para instalar el agente confiable de LANDesk en los nuevos dispositivos de usuarios finales (empleado o visitante) Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin)
4. 5.
174
6. 7.
Especifique la cantidad de das para el vencimiento del certificado maestro en el servidor central. Haga clic en Aceptar para guardar el certificado maestro y su configuracin.
Nota: si utiliza varios servidores centrales, debe copiar el mismo certificado maestro en cada uno de los servidores centrales que desee administrar con el control de acceso de red basado en la seguridad IP. Copie el certificado en el directorio: \LDLogon\LTA.
Tambin puede importar, exportar, crear copias de seguridad y restaurar certificados maestros.
175
MANUAL DE USUARIO
Acerca del cuadro de dilogo Exportar (y Crear copia de seguridad para) el certificado maestro de la seguridad de IP
Utilice este cuadro de dilogo para exportar (o crear una copia de seguridad de) certificados maestros de seguridad de IP. Este cuadro de dilogo contiene las opciones siguientes Ubicacin del archivo del certificado: escriba la ruta y el archivo de certificado o haga clic en Examinar para buscarlo. Nombre de quien est realizando la accin: escriba el nombre. Esta informacin se almacena con el certificado y se utiliza para fines de control y auditora, lo que puede ser til durante la importacin y exportacin de certificados maestros entre servidores centrales.
176
Propsito: escriba la razn por la cual se realiza la accin. Esta informacin se almacena con el certificado para fines de control. Contrasea: escriba la contrasea correcta. El administrador protege los archivos de certificado maestro con contraseas.
Para implementar el cumplimiento de la seguridad IP en dispositivos de destino 1. 2. 3. 4. En la ventana Administrador de Seguridad y Revisiones, haga clic en el botn Crear una tarea de la barra de herramientas y luego en Tarea para cambiar ajustes. Seleccione el tipo de tarea que desee crear (directiva o tarea programada). En Ajustes de cumplimiento, seleccione los ajustes de cumplimiento que ha creado. Haga clic en Aceptar para guardar la tarea.
Una vez que haya configurado la seguridad IP con un certificado maestro y haya implementado los ajustes de cumplimiento con la aplicacin de la seguridad IP habilitada en los dispositivos de destino deseados, la seguridad IP est vigente en la red.
177
MANUAL DE USUARIO
Para configurar la directiva de buena condicin, haga clic con el botn secundario en Directiva de dispositivos en buena condicin y seleccione una opcin. Habilitar respuesta para la seguridad de IP permite que los dispositivos en buena condicin se comuniquen con otros dispositivos que no tengan habilitada la seguridad IP. Configurar la directiva de acceso a Internet: puede permitir o bloquear el acceso directo a Internet. La opcin Permitir acceso directo agrega las direcciones IP pblicas de Internet a la lista de exclusin para que los dispositivos administrados con la seguridad IP tengan acceso a Internet. Las direccin pblicas se usan por lo general en sitios Web pblicos. Esta opcin funciona siempre y cuando no tenga un servidor proxy y el dispositivo administrado con la seguridad IP no utilice una direccin IP en el intervalo pblico. Utilice la opcin Bloquear el acceso directo, si el dispositivo administrado tiene una direccin IP pblica. En este caso, la estacin de trabajo necesita un servidor proxy configurado con las direcciones IP del servidor proxy en la lista de exclusiones de buena condicin, caso contrario, no funcionar la seguridad IP.
178
Las excepciones de buena condicin son aquellos dispositivos que no admiten la seguridad IP o que no se han configurado con LANDesk IP Security, pero que todava pueden acceder a la red. Por ejemplo, debe agregar los dispositivos que no sean compatibles con la seguridad IP, tales como dispositivos de Linux y Unix, a la lista de exclusin de la directiva de buena condicin. Esto garantiza que se permita el acceso a dichos dispositivos. Las excepciones de mala condicin son sistemas aprobados con los cuales se pueden comunicar los dispositivos en mala condicin a fin de restaurar su condicin nuevamente. De forma predeterminada, esta lista incluye el servidor central, los servidores DNS y DHCP locales, y la puerta de enlace local. Para crear una lista de exclusin, agregue los dispositivos identificados con su informacin de direccin IP. Para crear una lista de exclusin de forma manual 1. En la ventana Administrador de Seguridad y Revisiones, ample el nodo Control de acceso de red, ample el nodo Seguridad IP, ample el nodo Directiva de dispositivos en buena condicin, haga clic con el botn secundario en Dispositivos permitidos y luego en Nuevo. Especifique los dispositivos que desee permitir, ya sea por direccin IP individual o por subred a fin de permitir toda la red. Haga clic en Aceptar.
2. 3.
Para crear listas de exclusin, tambin puede importar dispositivos con la herramienta Deteccin extendida de dispositivos (EDD) o a partir de un archivo CSV.
179
MANUAL DE USUARIO
180
Este captulo describe cmo planear, instalar, configurar y habilitar la implementacin de LANDesk 802.1X del NAC de LANDesk. Para obtener informacin sobre LANDesk IP Security, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171. Informacin general sobre el NAC de LANDesk Para obtener informacin general sobre el NAC de LANDesk y sobre otras soluciones de acceso de confianza mencionadas anteriormente, consulte el captulo NAC de LANDesk en el Manual del usuario de LANDesk Management Suite o el Manual del usuario de LANDesk Security Suite. Lea este captulo para obtener informacin sobre:
MANUAL DE USUARIO
Adems, para ms informacin sobre las tareas continuas de administracin del NAC de LANDesk, tales como: verificacin de la activacin de los servicios del NAC de LANDesk, uso de la opcin de permitir y denegar el acceso a todos, comprensin de lo que sucede cuando se determina la postura de los dispositivos conectados, actualizacin de reglas y polticas de seguridad de cumplimiento, publicacin de la configuracin del NAC de LANDesk, adicin de dispositivos a la herramienta de Deteccin de dispositivos no administrados, visualizacin de los dispositivos afectados, configuracin del inicio de sesin y generacin de informes, consulte "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163.
182
Las secciones siguientes contienen instrucciones detalladas para ambos mtodos de configuracin del servidor LANDesk 802.1X Radius.
183
MANUAL DE USUARIO
Despus de configurar el servidor Radius, debe configurar tambin un servidor de reparaciones, y su interruptor de red y enrutador para el apoyo del 802.1X.
2.
3.
Nota: el nuevo tipo EAP se verifica en la pgina Propiedades de servidor remoto. Para ello, vaya a Herramientas administrativas | Enrutamiento y acceso remoto. Haga clic con el botn secundario en el servidor remoto, haga clic en Propiedades, en la ficha Seguridad, en Mtodos de autenticacin y en Mtodos EAP. El tipo LTA EAP debe figurar en la lista de mtodos. Si LTA EAP no se encuentra en la lista, debe instalarlo a partir del servidor central. Paso 2: Configure e inicie el servicio de acceso remoto en el servidor Radius 1. 2. Haga clic en Panel de control | Herramientas administrativas | Enrutamiento y acceso remoto. Haga clic con el botn secundario en el servidor y haga clic en Configurar y habilitar el enrutamiento y acceso remoto. Se abre el Asistente para configuracin del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente. Seleccione Configuracin personalizada y a continuacin, haga clic en Siguiente. Seleccione Acceso telefnico y haga clic en Siguiente. Haga clic en Finalizar. Cuando se le solicite, haga clic en S para iniciar el servicio.
3. 4. 5. 6. 7.
184
Paso 3: Personalice el servicio de acceso remoto (configure EAP como el mtodo de autenticacin preferido para los dispositivos remotos). 1. 2. 3. En la herramienta Enrutamiento y acceso remoto, haga clic con el botn secundario en el servidor que ha configurado y haga clic en Propiedades. En la ficha General, verifique que est marcada la opcin Servidor de acceso remoto. En la ficha Seguridad, marque la casilla Protocolo de autenticacin ampliable (EAP). Quiz desee hacer clic en el botn Mtodos EAP para asegurarse de que el nuevo mtodo LTA EAP se encuentre en la lista de mtodos. Haga clic en Aceptar para salir del cuadro de dilogo Mtodos de autenticacin. Haga clic en Aceptar de nuevo para salir del cuadro de dilogo Propiedades.
4. 5.
4. 5. 6. 7.
Paso 2: Configure la directiva de acceso remoto para admitir tanto redes cableadas como inalmbricas 1. 2. 3. Haga clic con el botn secundario en la directiva de acceso remoto nueva que ha creado y luego haga clic en Propiedades. Marque la opcin Otorgar permiso de acceso remoto para habilitar la compatibilidad inalmbrica. Haga clic en Aceptar.
185
MANUAL DE USUARIO
Esta tarea se realiza en la herramienta IAS (IAS | Clientes Radius). Al agregar un conmutador como cliente Radius, el servidor Radius podr reconocer y procesar las solicitudes de autenticacin a travs de dicho conmutador.
El nombre de usuario y la contrasea especificados aqu son las credenciales de inicio de sesin que el usuario final debe proporcionar a fin de responder de forma satisfactoria a la solicitud de identificacin de autenticacin durante el proceso de autenticacin de LANDesk 802.1X. A continuacin, las credenciales se envan al servidor Radius, junto con los datos de LANDesk EAP del dispositivo, con el fin de determinar si se ha otorgado acceso a la red al dispositivo. Ahora puede habilitar LANDesk 802.1X en la consola. (El otro mtodo de implementacin de LANDesk 802.1X es mediante la configuracin e instalacin de un proxy Radius. Para obtener ms informacin, consulte "Uso del proxy Radius" en la pgina 187.)
186
Esto en esencia activa los servicios de autenticacin de LANDesk 802.1X en la red. No obstante, an debe configurar los dispositivos administrados con el agente de LANDesk 802.1X antes de administrar e imponer el acceso remoto en ellos a travs de la autenticacin de LANDesk 802.1X. Consulte "Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento" en la pgina 190. Para habilitar LANDesk 802.1X con el complemento de servidor Radius IAS 1. 2. 3. En la herramienta Administrador de Seguridad y Revisiones, ample el nodo Configuracin y tambin el nodo NAC de LANDesk. Haga clic con el botn secundario en el objeto 802.1X y haga clic en Configurar 802.1X | Servidor Radius. Marque la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacin 802.1X en la red (para dispositivos con el agente 802.1X) mediante el servidor Radius IAS con el complemento LANDesk EAP que ha configurado. Seleccione el Tipo EAP 4. Seleccione Utilizar el complemento LTA EAP IAS. Haga clic en Aceptar.
4. 5. 6.
La seccin siguiente describe la configuracin de LANDesk 802.1X con el mtodo de proxy Radius.
Coexistencia con el software de servidor Radius El proxy Radius de LANDesk 802.1X puede coexistir en servidores que ejecutan el software del servidor Radius. Si el servidor Radius est basado en hardware, debe instalar el proxy Radius de LANDesk 802.1X en otro servidor. El proxy Radius se comunica entre el conmutador y el dispositivo que tiene instalado el agente de LANDesk 802.1X. El proxy se encuentra en medio y el dispositivo se autentica con el proxy Radius, y el proxy pasa el Id. y la contrasea al servidor Radius. Si el agente no est instalado en el dispositivo que intenta realizar la conexin, el proxy Radius deniega el acceso.
187
MANUAL DE USUARIO
4. 5. 6. 7.
8.
Para instalar un proxy Radius 1. En el servidor que desee configurar con el proxy Radius de LANDesk 802.1X, conctese con el servidor central y navegue hasta la carpeta donde haya guardado el archivo de instalacin de proxy. Haga doble clic en el archivo MSI para ejecutar la instalacin. Haga clic en Cerrar cuando se haya completado la instalacin. No es necesario reiniciar el sistema.
2. 3.
La instalacin del proxy Radius agrega datos (tal como informacin de direccin y puerto) al registro del servidor. No se admite en plataformas de 64 bits NO instale el proxy Radius en Windows 98 ni en ninguna plataforma de 64 bits.
188
La seccin siguiente describe los cuadros de dilogo mencionados en las tareas anteriores.
189
MANUAL DE USUARIO
Clave compartida: especifica la clave compartida (por ejemplo, el secreto compartido) que proporciona seguridad a la comunicacin entre el conmutador y el servidor Radius. La clave compartida es una cadena de texto. La cadena que especifique aqu debe coincidir con la cadena de clave compartida configurada en el conmutador y en el servidor Radius. Puerto de proxy Radius: especifica el nmero de puerto del proxy Radius. Este puerto se comunica con el conmutador. Tenga en cuenta que este nmero de puerto debe ser distinto del puerto del servidor Radius (mencionado anteriormente) si se encuentran en el mismo equipo. Puerto de reenvo de proxy Radius: especifica el nmero de puerto de reenvo del proxy Radius. Este puerto reenva los datos al servidor Radius. Nombre del archivo de instalacin de proxy: identifica el archivo de instalacin del proxy Radius. El archivo de instalacin se crea en el directorio LDMain, bajo Install\Radius\. Puede crear varios archivos de instalacin de proxy Radius. El proxy Radius se admite en todas las plataformas de 32 bits de Windows.
Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento
Como paso final de la configuracin de la autenticacin de LANDesk 802.1X, debe implementar el agente de LANDesk 802.1X en los dispositivos administrados de destino. Esto permite la autenticacin de los dispositivos administrados, y que se les permita el acceso a la red o bien que se los coloque en cuarentena y se los repare. Para implementar el agente de LANDesk 802.1x en los dispositivos administrados 1. 2. En la herramienta Configuracin del Agente, haga clic en Nueva configuracin de Windows. En la pgina Asistencia de LANDesk 802.1X, marque la casilla Habilitar la asistencia de LANDesk 802.1X. Nota: Esta opcin no est disponible si no ha habilitado el servidor Radius 802.1X en la herramienta NAC de LANDesk de la consola. LANDesk 802.1X utiliza el tipo EAP especificado en NAC de LANDesk de la herramienta Administrador de Seguridad y Revisiones. La configuracin del tipo EAP abarca todo el servidor central. En otras palabras, todos los dispositivos configurados con esta configuracin de agente tendrn el tipo EAP especificado en la consola.
190
3.
4.
5. 6.
Seleccione el mtodo que desea utilizar para colocar en cuarentena a todos los dispositivos no apropiados. (Use la direccin IP en el rango auto asignado, o use DHCP en la red de cuarentena.) Configure la cuarentena automtica por medio de la especificacin de cuntas horas pueden pasar desde la ejecucin del ltimo rastreo de mantenimiento en un dispositivo antes de que se lo considere no apropiado, se lo desconecte de la red empresarial y se lo coloque en la red de cuarentena. Especifique cualquier otra opcin de configuracin de agente de dispositivo que desee para los dispositivos de destino que se estn configurando. Haga clic en Guardar.
Ahora puede implementar la configuracin de agente en los dispositivos de destino en que desee usar la autenticacin 802.1X, y despus crear tareas de rastreo de cumplimiento que rastreen a los dispositivos habilitados por 802.1X para el cumplimiento de las directivas de seguridad.
191
MANUAL DE USUARIO
Restablecimiento manual de la autenticacin 802.1X Puede restablecer de forma manual la tarjeta de red local para forzar otro intento de autenticacin. En el dispositivo administrado, haga clic en Inicio | LANDesk Management | Restablecer 802.1X. Comportamiento del cuadro de dilogo de inicio de sesin: Cuando ejecute la opcin de restablecimiento de 802.1X, asegrese de cerrar antes todos los cuadros de dilogo abiertos de ventanas emergentes de Windows, ya que de lo contrario no se mostrar el cuadro de dilogo de inicio de sesin. Si el cuadro de dilogo de inicio de sesin desaparece con demasiada rapidez, es probable que la causa sea que el estado LINK-3-UPDOWN ha agotado el tiempo de espera, y todo lo que debe hacer es intentar nuevamente la funcin de restablecimiento de 802.1X.
192
LANDesk Antivirus
LANDesk Antivirus es una solucin de antivirus totalmente integrada de LANDesk Security Suite y LANDesk Management Suite que protege a los dispositivos administrados de los ataques de virus mal intencionados a travs del rastreo y la limpieza de virus basados en los ltimos archivos conocidos de definiciones de virus. LANDesk Antivirus ofrece funciones de proteccin contra virus que pueden configurarse, entre ellas: actualizaciones a peticin y automticas de las actualizaciones de los archivos de definiciones de virus, control de las operaciones de rastreo de antivirus y de las opciones interactivas del usuario final, manejo de objetos infectados, proteccin en tiempo real de archivos y mensajes de correo electrnico e informacin e informes sobre los dispositivos rastreados. Lea este captulo para obtener informacin sobre: "Informacin general de LANDesk Antivirus" en la pgina 194 "Plataformas de dispositivos compatibles" en la pgina 195 "Administracin basada en funciones con LANDesk Antivirus" en la pgina 196 "Flujo de trabajo de las tareas de antivirus" en la pgina 197 "Configuracin de dispositivos para la proteccin de LANDesk Antivirus" en la pgina 197 "Productos de antivirus que se pueden eliminar automticamente durante la configuracin" en la pgina 198 "Eliminacin de LANDesk Antivirus de los dispositivos" en la pgina 199 "Actualizacin de los archivos de definiciones de virus" en la pgina 200 "Evaluacin de los archivos de definiciones de virus con una prueba piloto" en la pgina 202 "Copia de seguridad de los archivos de definiciones de virus" en la pgina 203 "Exploracin de virus de dispositivos" en la pgina 203 "Mtodos de rastreo" en la pgina 203 "Habilitacin de la proteccin de antivirus en tiempo real (archivo, correo electrnico)" en la pgina 205 "Configuracin de las opciones de rastreo de antivirus con la configuracin de antivirus" en la pgina 207 "Configuracin de qu archivos se deben rastrear (solamente archivos infectables, exclusiones, heursticos, software riesgoso)" en la pgina 208 "Lo que sucede en un dispositivo durante un rastreo de antivirus" en la pgina 212 "Interfaz del cliente y acciones del usuario final de LANDesk Antivirus" en la pgina 212 "Cuando se detecta un objeto infectado" en la pgina 213 "Rastreo automtico de archivos en cuarentena" en la pgina 214 "Visualizacin de la informacin de actividad y estado de antivirus" en la pgina 214 "Uso de las alertas de antivirus" en la pgina 214 "Generacin de informes de antivirus" en la pgina 215 "Vista de informacin sobre antivirus en el tablero digital ejecutivo de la consola Web" en la pgina 216
193
MANUAL DE USUARIO
194
Actualizaciones de controladores Actualizaciones de software LANDesk Amenazas de seguridad (exposiciones de la configuracin del sistema; incluye la deteccin y configuracin de servidores de seguridad) Actualizaciones de software Spyware Vulnerabilidades (vulnerabilidades de plataforma conocidas y especficas de las aplicaciones)
Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk. Tenga en cuenta que la ficha Actualizaciones del cuadro de dilogo Descargar actualizaciones incluye varias actualizaciones de antivirus en la lista de tipos de definiciones, incluso una denominada Actualizaciones de LANDesk Antivirus. Cuando selecciona Actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y las actualizaciones de los archivos de definiciones de virus de LANDesk Antivirus. En los motores rastreadores de terceros, las actualizaciones de antivirus incluyen definiciones del rastreador que detectan: La instalacin de motores rastreadores de antivirus comunes (entre ellos la herramienta de LANDesk Antivirus) El estado del rastreo en tiempo real (habilitado o deshabilitado) Versiones de los archivos de patrones especficos del rastreador (actualizadas o anteriores) Fecha del ltimo rastreo (si el ltimo rastreo se encuentra dentro del mximo perodo de tiempo permitido especificado por el administrador)
En el rastreador de LANDesk Antivirus, las actualizaciones de antivirus incluyen no slo el contenido de deteccin del rastreador mencionado anteriormente sino tambin los archivos de definiciones de virus que ste utiliza. Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones/patrones de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases.
MANUAL DE USUARIO
Windows NT (4.0 SP6a y posterior) Windows 2000 SP2 Windows 2003 Windows XP SP1 Windows XP de 64 bits Windows XP Home Edition/Professional Windows Vista de 32 bits y 64 bits
Se deben reiniciar los equipos con Windows NT 4.0 Para activar el servicio de LANDesk Antivirus se deben reiniciar los equipos con Windows NT 4 despus de implementar la configuracin de agente.
196
Implementar tareas de rastreo de antivirus y cambiar las tareas de configuracin asociadas con los ajustes de antivirus Habilitar la proteccin en tiempo real de archivos y mensajes de correo electrnico Configurar rastreos de antivirus para rastrear determinados tipos de archivos Excluir determinados archivos, carpetas y tipos de archivos (por extensin) de los rastreos de antivirus Visualizar la informacin de actividad y estado de rastreo del antivirus en los dispositivos rastreados Habilitar alertas de antivirus Generar informes de antivirus
Consideraciones de implementacin
Si implementa LANDesk Antivirus en un dispositivo que ya tiene otra solucin de antivirus instalada y ejecutndose, LANDesk Antivirus no habilita su funcin de proteccin en tiempo real para prevenir posibles conflictos de software. Cuando se elimina el otro producto de antivirus se puede habilitar la proteccin de antivirus en tiempo real de LANDesk Antivirus.
197
MANUAL DE USUARIO
Ahora puede seleccionar la eliminacin automtica del software antivirus existente de los dispositivos de destino al implementar LANDesk Antivirus durante la configuracin inicial del agente o como una tarea de instalacin o actualizacin de LANDesk Antivirus por separado. Consulte a continuacin la lista de productos antivirus que se pueden eliminar. Borrar software de antivirus protegido con contrasea Si el software de antivirus existente est protegido con contrasea, primero debe borrar la contrasea para que LANDesk Antivirus pueda desinstalar el software.
6.
Si desea instalar o actualizar LANDesk Antivirus ms adelante, puede hacerlo como una tarea aparte desde la herramienta del Administrador de Seguridad y Revisiones. Para instalar o actualizar LANDesk Antivirus como una tarea programada aparte 1. En la consola, haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones.
198
2. 3. 4. 5. 6.
7.
8.
Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Instalar/Actualizar LANDesk Antivirus. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU. Seleccione una configuracin de antivirus de la lista disponible y aplquela a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccione una configuracin de rastreo y reparacin de la lista disponible para aplicar su configuracin de reinicio a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk Antivirus. Haga clic en Aceptar.
7.
199
MANUAL DE USUARIO
5. 6.
7.
200
8.
9. 10.
11.
12. 13.
14.
Seleccione el lugar donde desea descargar los archivos de definiciones de virus. Haga clic en Aprobar inmediatamente si desea que las definiciones se descarguen en la carpeta predeterminada (\LDLogon\Antivirus\Bases del servidor central) desde donde pueden implementarse en los dispositivos de destino. Si desea evaluar los archivos de definiciones de virus antes de implementarlos, puede seleccionar hacerlo con la opcin de prueba piloto (tambin puede determinar un perodo de tiempo de aprobacin automtica para no tener que hacerlo de forma manual despus de la prueba). Si selecciona realizar una prueba piloto primero, los archivos de definiciones de virus se descargan en una carpeta de prueba piloto para implementarlos slo en los dispositivos cuya configuracin de antivirus diga descargar versin "piloto" de los archivos de definiciones. Si desea descargar los ltimos archivos de definiciones ahora, haga clic en Obtener las ltimas definiciones. Si desea aprobar las definiciones de virus que actualmente residen en la carpeta de prueba piloto, haga clic en Aprobar ahora. Esto mueve los archivos de definiciones desde la carpeta de prueba piloto hacia la carpeta predeterminada (\LDLogon\Antivirus\Bases). Si desea guardar los contenidos actuales de la carpeta Bases, active la opcin Hacer copias de seguridad. Puede restaurar las copias de seguridad de los archivos de definiciones en cualquier momento. Las copias de seguridad son tiles para volver a una versin anterior de los archivos de definiciones de virus. (Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacin bajo: \LDLogon\Antivirus\Backups\) Haga clic en Aplicar en una de las fichas en cualquier momento para guardar la configuracin. Haga clic en Actualizar ahora para descargar las actualizaciones de contenido de seguridad seleccionadas. En el cuadro de dilogo Actualizacin de definiciones se muestra el estado y la operacin actual. Una vez completada la actualizacin, haga clic en Cerrar. Tenga en cuenta que si hace clic en Cancelar antes de que finalice la actualizacin, solamente se descargar en la base de datos central el contenido de seguridad y revisiones que se ha procesado hasta ese momento. Tendr que ejecutar la actualizacin de nuevo a fin de obtener el resto del contenido de seguridad y revisiones.
Nota: Siempre que se actualizan los archivos de definicin de virus en los dispositivos administrados, se ejecuta un minirastreo de los procesos de memoria en los mismos. Este rastreo se realiza para garantizar que los procesos que se ejecutan en la memoria durante la actualizacin an estn limpios.
201
MANUAL DE USUARIO
Para hacerlo, configure las opciones de descarga de contenido de seguridad en el cuadro de dilogo Actualizar descargas, asegrese de seleccionar las actualizaciones de LANDesk Antivirus de la lista de tipos de definiciones en la ficha Actualizaciones, configure las opciones de los archivos de definiciones de virus en la ficha LANDesk Antivirus y luego haga clic en el botn Programar actualizacin.& ;El cuadro de dilogo Informacin de actualizaciones programadas muestra la configuracin especfica de la tarea. Haga clic en Aceptar para crear una tarea Descargar contenido de seguridad y revisiones en la ventana Tareas programadas, donde puede especificar las opciones de programacin. Configuracin especfica de la tarea y configuracin globalObserve que slo la configuracin de la descarga de los tipos de definiciones, idiomas y definiciones y parches se guardan y asocian con una tarea especfica cuando la crea. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
3. 4. 5.
202
6.
Aplique dicha configuracin de antivirus de prueba piloto a una tarea de rastreo de antivirus (consulte Creacin de una tarea de rastreo de antivirus ms adelante) que pueda utilizar para seleccionar su grupo de equipos de prueba. Observe la actividad y los resultados del rastreo de antivirus en estos dispositivos para evaluar la eficacia de los archivos de definiciones de virus descargados antes de implementarlos en una audiencia ms amplia.
Mtodos de rastreo
Existen varios mtodos diferentes para ejecutar un rastreo de antivirus en los dispositivos administrados que tienen LANDesk Antivirus instalado: Rastreo de antivirus programado Rastreo de antivirus a peticin Rastreo de antivirus iniciado por el usuario Proteccin de archivos en tiempo real Proteccin de mensajes de correo electrnico en tiempo real
203
MANUAL DE USUARIO
204
Al hacer clic en Aceptar, el cuadro de dilogo Estado de las acciones requeridas muestra la siguiente informacin: Progreso Resultados Informacin del tiempo de rastreo
MANUAL DE USUARIO
Cuando se ejecuta la proteccin de mensajes de correo electrnico en tiempo real, los mensajes y los datos adjuntos: Se rastrean cuando se abren o se les hace una vista previa No se rastrean cuando estn seleccionados
Si se detecta un mensaje de correo electrnico infectado en el dispositivo administrado, LANDesk Antivirus intenta limpiarlo. Si no puede limpiarse: se coloca un nuevo encabezado en el cuerpo del mensaje para informarle al usuario final. Si el mensaje de correo electrnico no puede limpiarse: se elimina todo el cuerpo del mensaje y se reemplaza con un nuevo encabezado. Cuando se detecta un mensaje de correo electrnico sospechoso, el cuerpo del mensaje se transforma a texto simple y se le agrega un encabezado. Tambin aparece un cuadro de dilogo en el dispositivo del usuario final que muestra: Ruta del archivo Nombre de archivo Nombre del virus Nota que le informa al usuario que debe ponerse en contacto con su administrador de red
206
Ruta del archivo Nombre de archivo Nombre del virus Nota que le informa al usuario que debe ponerse en contacto con su administrador de red
Todas las configuraciones de antivirus que crea se almacenan en el grupo LANDesk Antivirus que se encuentra bajo Configuracin en la vista de rbol del Administrador de Seguridad y Revisiones.
207
MANUAL DE USUARIO
Para crear ajustes de antivirus 1. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de LANDesk Antivirus. Haga clic en Nuevo. (O bien, puede hacer clic en Editar o Configurar en cualquier cuadro de dilogo de tarea que permita aplicar una configuracin de antivirus). Escriba un nombre para la configuracin de antivirus. Especifique la configuracin de las fichas como lo desee para la tarea en particular. Para obtener ms informacin sobre una opcin, haga clic en Ayuda.
2. 3. 4.
Una vez configurado, puede aplicar la configuracin de antivirus a las tareas de rastreo de antivirus (o a una tarea de cambiar configuracin).
Configuracin de qu archivos se deben rastrear (solamente archivos infectables, exclusiones, heursticos, software riesgoso)
Puede especificar qu archivos (o elementos) desea rastrear y qu archivos no desea rastrear, tanto con los rastreos de antivirus como con la proteccin de archivos de antivirus en tiempo real.
208
Consulte las secciones siguientes para obtener informacin sobre la personalizacin de lo que se rastrea: "Todos los archivos o solamente los archivos infectables" en la pgina 209 "Exclusin de elementos de los rastreos de antivirus y de la proteccin en tiempo real" en la pgina 210 "Uso del anlisis de heursticos para rastrear objetos sospechosos" en la pgina 211 "Rastreo de software riesgoso (base de datos ampliada)" en la pgina 211
MANUAL DE USUARIO
DOC DOT DRV EXE HLP HTA HTM HTML HTT INF INI JS JSE JTD MDB MSO OBD OBT OCX PIF PL PM POT PPS PPT RTF SCR SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
210
Lista de elementos de confianza en los dispositivos administrados Observe que tambin puede habilitar una opcin que le permite a los usuarios finales especificar los archivos y las carpetas que no deseen que LANDesk Antivirus rastree. Esta funcin se denomina lista de elementos de confianza y se configura en la ficha General de la configuracin de antivirus.
211
MANUAL DE USUARIO
212
Elementos de confianza (muestra los elementos que el usuario final ha agregado a su lista de elementos de confianza y en los que no se realizar el rastreo de virus o software riesgoso)
Observe que los usuarios finales no pueden configurar los ajustes del rastreo de antivirus ni deshabilitar el rastreo de mensajes de correo electrnico.
Si los usuarios finales tienen habilitada la opcin correspondiente en la configuracin de antivirus (predeterminada o especfica de la tarea), pueden restaurar, eliminar y volver a rastrear los objetos en cuarentena.
213
MANUAL DE USUARIO
Adems, haga clic con el botn secundario en el dispositivo rastreado, seleccione Informacin de Seguridad y Revisiones y en la lista desplegable Tipo seleccione Antivirus. Se puede ver: Actualizaciones de antivirus faltantes Actualizaciones de antivirus instaladas Purgar historial de reparaciones
214
Para configurar alertas de antivirus La configuracin de las alertas de antivirus se encuentra en la ficha LANDesk Antivirus del cuadro de dilogo Configuracin de alertas. Primero debe configurar las alertas de antivirus en la herramienta Configuracin de alertas de la consola. Las alertas de antivirus incluyen: Error en la accin activada por alerta Accin correcta activada por alerta Alerta de brotes de virus (por virus)
Los siguientes eventos de antivirus pueden generar alertas de antivirus: Error al eliminar virus Correcta eliminacin del virus Error al poner en cuarentena Cuarentena correcta Error al eliminar Eliminacin correcta
Seleccione las alertas que desea que se generen. La opcin del intervalo de tiempo le permite evitar demasiadas alertas. Ms de una alerta (para cualquier activacin de antivirus) durante el intervalo de tiempo especificado se ignora. Puede visualizar el historial completo de alertas de antivirus de un dispositivo en el cuadro de dilogo Informacin de Seguridad y Revisiones. Haga clic con el botn secundario en un dispositivo, seleccione Informacin de Seguridad y Revisiones, seleccione el tipo de antivirus en la lista desplegable Tipo y luego seleccione el objeto Historial de antivirus.
MANUAL DE USUARIO
Tambin puede publicar los informes en un recurso seguro de archivos compartidos donde cualquier usuario los pueda ver, en caso de que tenga las credenciales necesarias para acceder. Para obtener ms informacin sobre el uso de la herramienta Informes y un listado completo de los informes del Administrador de Seguridad y Revisiones con descripciones, consulte la Administracin de informes.
216
217
MANUAL DE USUARIO
LANDesk HIPS proporciona la siguiente seguridad a nivel de sistema: Proteccin de sistema de archivos basada en reglas y a nivel del kernel Proteccin del registro Control de inicio Deteccin de rootkits indetectables Filtro de red Certificacin de procesos, archivos y aplicaciones Las reglas de proteccin de archivos que restringen las acciones que los programas ejecutables pueden realizar en archivos especficos
218
El software de cliente de HIPS utiliza tcnicas comprobadas heursticas y de reconocimiento de comportamiento que identifican patrones y acciones habituales de cdigo malicioso. Por ejemplo, se podra bloquear un archivo que intente escribir en el registro del sistema y marcarlo como con potencial malicioso. El cliente de LANDesk HIPS utiliza una variedad de tcnicas privadas con el fin de detectar el malware de manera fiable an antes de que se haya identificado una firma.
LANDesk HIPS no se admite en los servidores centrales ni en los servidores centrales de resumen No debe instalar o implementar LANDesk HIPS en servidores centrales o en servidores centrales de resumen. No obstante, puede implementar LANDesk HIPS en una consola adicional.
219
MANUAL DE USUARIO
Para obtener ms informacin sobre las licencias de LANDesk HIPS, pngase en contacto con su distribuidor de LANDesk o visite la pgina Web de LANDesk.
3.
220
4. 5.
Aplicacin de la proteccin de HIPS en los dispositivos administrados con el modo automtico (de bloqueo) de HIPS. Visualizacin de la actividad de HIPS en los dispositivos protegidos
4. 5.
6.
Si desea instalar o actualizar LANDesk HIPS ms adelante, puede hacerlo como una tarea aparte desde la herramienta HIPS en la consola. Para instalar o actualizar LANDesk HIPS como una tarea aparte 1. 2. 3. 4. 5. En la consola, haga clic en Herramientas | Seguridad | Host Intrusion Prevention. Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Instalar/Actualizar LANDesk HIPS. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU.
221
MANUAL DE USUARIO
6.
7.
8.
Seleccione una configuracin de HIPS de la lista disponible y aplquela a la configuracin de agente que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. Las configuraciones de HIPS determinan si el cliente de LANDesk HIPS tiene proteccin de contrasea, administracin de cdigo firmado WinTrust, acciones en programas agregados al inicio del sistema, proteccin contra desbordamientos de bfer, modo de operacin, dispositivos permitidos, certificaciones de archivos y reglas de proteccin de archivos. Seleccione una configuracin de rastreo y reparacin de la lista para aplicar su configuracin de reinicio (solamente) a la configuracin de agente que est creando. Al igual que con la configuracin de HIPS anterior, para crear una configuracin nueva o editar una existente, haga clic en Configurar. Recuerde que SOLAMENTE las opciones de reinicio especificadas en la configuracin de rastreo y reparacin que ha seleccionado se utilizan en esta implementacin del agente de LANDesk HIPS de la configuracin del agente en los dispositivos de destino. Puede utilizar una configuracin de rastreo y reparacin que ya incluya la configuracin de reinicio que desee o bien, crear una configuracin de rastreo y reparacin nueva especfica para la implementacin de LANDesk HIPS. Haga clic en Aceptar.
La seccin siguiente describe los campos del cuadro de dilogo utilizado en las tareas anteriores.
222
Configuracin de LANDesk HIPS: Especifica la configuracin de HIPS asociada con esta instalacin particular del agente de LANDesk HIPS. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Configuracin de Host Intrusion Prevention" en la pgina 226. Configuracin de rastreo y reparacin (slo en el reinicio): Especifica la configuracin de rastreo y reparacin asociada con esta instalacin particular del agente de LANDesk HIPS. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk HIPS.
7.
223
MANUAL DE USUARIO
Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la eliminacin del agente de LANDesk HIPS de los dispositivos de destino. Configuracin de rastreo y reparacin: Especifica la configuracin de rastreo y reparacin asociada con esta tarea de eliminacin particular del agente de LANDesk HIPS. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente.
El modo de aprendizaje se puede aplicar a dispositivos administrados, lo que por lo general permite que ocurran violaciones al HIPS hasta que se implementa una nueva configuracin de HIPS, o el modo de aprendizaje se puede aplicar inicialmente durante un perodo especificado de tiempo para descubrir las aplicaciones que se ejecutan y su comportamiento y para crear un dispositivo permitido (aplicaciones que se pueden ejecutar en dispositivos). Si el modo de proteccin general es el bloqueo automtico, todava podr utilizar el modo de aprendizaje para descubrir el comportamiento de aplicaciones y luego volver a aplicar el modo de bloqueo una vez que caduque el perodo de aprendizaje. Note que tanto el servidor central como el dispositivo administrado deben operar en el modo de aprendizaje para que se produzca la comunicacin con el historial de acciones.
224
3.
4.
225
MANUAL DE USUARIO
5.
6.
En la pgina Reglas de proteccin de archivos, agregue, modifique, asigne prioridades o elimine las reglas de proteccin de archivos. LANDesk HIPS incluye un conjunto (predeterminado) predefinido de reglas de proteccin. Haga clic en Ayuda para obtener informacin sobre una opcin (vase a continuacin). En una de las pginas de configuracin de HIPS, haga clic en Guardar en cualquier momento para guardar las opciones establecidas para la configuracin de HIPS, o haga clic en Cancelar para salir del cuadro de dilogo sin guardar la configuracin.
Una vez configurado, puede implementar la configuracin de HIPS en los dispositivos de destino mediante la aplicacin de tareas de instalacin y actualizacin de HIPS (o de una tarea de cambio de configuracin).
226
Si desea modificar la configuracin predeterminada de HIPS del dispositivo sin volver a instalar el agente de LANDesk HIPS o a implementar una configuracin completa del agente, realice los cambios deseados en cualquier opcin del cuadro de dilogo Configuracin de HIPS, asigne la nueva configuracin a una tarea de cambio de configuracin y luego implemntela en los dispositivos de destino. Una vez definida, puede aplicar la configuracin de HIPS a las tareas de instalacin o actualizacin de LANDesk HIPS (y a las tareas de cambio de configuracin). El cuadro de dilogo Configuracin de HIPS contiene las siguientes pginas: "Acerca de la pgina Configuraciones de HIPS" en la pgina 227 "Acerca de la pgina Configuracin de modo de HIPS" en la pgina 228 "Acerca de la pgina Certificaciones de archivos de HIPS" en la pgina 229 "Acerca de la pgina Reglas de proteccin de archivos de HIPS" en la pgina 230
MANUAL DE USUARIO
Usar la proteccin contra desbordamientos de bfer: Le permite proteger los dispositivos de explotaciones de la memoria del sistema que se aprovechan de un programa o proceso que est en espera de la entrada del usuario. Establecer como predeterminado: Asigna esta opcin como la opcin predeterminada para las tareas que utilizan la configuracin de HIPS. Id: Identifica esta configuracin particular. Esta informacin se almacena en la base de datos y se utiliza para llevar un control de cada una de las configuraciones. Guardar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios.
228
Dispositivos del modelo de seguridad: Especifica el modo de proteccin de HIPS para un subconjunto de dispositivos que se configuran con las mismas configuraciones de HIPS. Puede utilizar esta funcin para observar o aprender las modificaciones del software o del sistema y cules son las aplicaciones que se ejecutan en un grupo limitado de dispositivos. Por ejemplo, podra utilizar la misma configuracin de HIPS con el modo de proteccin establecido en el Modo de bloqueo automtico, pero identificar algunos dispositivos de destino sobre los que desea aprender al agregar dichos equipos a la lista de dispositivos del modelo de seguridad con el modo de proteccin establecido en Aprendizaje.
MANUAL DE USUARIO
Seguridad del sistema Modificar archivos ejecutables: Otorga a la aplicacin el derecho para modificar otros archivos ejecutables. Modificar archivos protegidos: Otorga a la aplicacin el derecho para modificar archivos protegidos. Puede generar una lista de los archivos protegidos, tales como los agentes de dispositivos de LANDesk. Modificar claves de registro protegidas: Otorga a la aplicacin el derecho para modificar claves de registro protegidas. Las claves protegidas previenen las infecciones de malware. Seguridad de red Enviar mensajes de correo electrnico: Permite que la aplicacin enve mensajes de correo electrnico. (Nota:LANDesk HIPS reconoce las aplicaciones de cliente de correo electrnico estndar y las certifica de forma automtica para que puedan enviar mensajes de correo electrnico. Archivos en disco Agregar al inicio del sistema: Otorga a la aplicacin el derecho para agregar archivos al inicio del sistema. Permitir ejecucin: Permite que la aplicacin (proceso) se ejecute en el dispositivo. Los archivos certificados tienen habilitada automticamente la opcin permitir ejecucin. Adems, si el certificado de un archivo proporciona derechos parciales, entonces se habilita automticamente la opcin permitir ejecucin. Reglas de seguridad avanzadas Proteger la aplicacin en la memoria: Impone la proteccin en la aplicacin cuando se ejecuta en la memoria. La aplicacin tiene proteccin contra terminaciones o modificaciones. Heredar a procesos secundarios: Asigna las mismas certificaciones de archivos (derechos) a cualquier proceso subordinado que sea ejecutado por esta aplicacin. Por ejemplo, se puede utilizar con un ejecutable de configuracin o instalacin para que pase los mismos derechos a los procesos subsiguientes ejecutados por el programa de configuracin. Instalador autorizado: Indica que la aplicacin puede realizar la instalacin o implementacin del software. ste es el caso de la herramienta de distribucin de software de LANDesk, y tambin se puede aplicar a otras aplicaciones de distribucin de software. Certificacin de bloqueo de archivos (las autorizaciones no se actualizarn a travs del modo de aprendizaje): Aceptar: Guarda las certificaciones del archivo y lo agrega a la lista de archivos certificados en el cuadro de dilogo Configuracin de HIPS principal. Cancelar: Cierra el cuadro de dilogo sin guardar las certificaciones de archivos.
230
Reglas de proteccin: muestra todas las reglas de proteccin de archivos (predeterminadas) predefinidas que proporciona LANDesk, as como tambin todas las reglas de proteccin de archivos que cre. Nombre de la regla: identifica la regla de proteccin de archivos. Restricciones: visualiza las acciones especficas de los programas en los archivos restringidos por la regla de proteccin de archivos. Aplicar regla a: muestra los programas ejecutables protegidos por la regla de proteccin. Subir \ Bajar: determinar la prioridad de la regla de proteccin de archivos. Una regla de proteccin de archivos superior en la lista precede a la regla que est debajo en la lista. Por ejemplo, podra crear una regla que restrinja que un programa tenga acceso o modifique cierto archivo o tipo de archivo, pero luego crear otra regla que permita una excepcin a dicha restriccin para uno o ms programas mencionados. Siempre y cuando la segunda regla permanezca arriba en la lista de reglas, tendr efecto. Restablecer: restaura las reglas de proteccin de archivos (predeterminadas) predefinidas que se proporcionan en LANDesk. Agregar: abre el cuadro de dilogo Configurar regla de proteccin de archivos en el que puede agregar o quitar programas y archivos y especificar las restricciones. Configurar: abre cuadro de dilogo Configurar regla de proteccin de archivos en el que puede editar una regla de proteccin de archivos existente. Eliminar: elimina la regla de proteccin de archivos de la base de datos.
Nota: Las reglas de proteccin de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo de programas\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP.
MANUAL DE USUARIO
Denegar creacin: impide que los programas especificados anteriormente creen los archivos. Denegar ejecucin: impide que los programas especificados anteriormente ejecuten los archivos protegidos. Excepciones Permitir excepciones para programas certificados: permite que cualquiera de los programas ejecutables que pertenecen actualmente a la lista de archivos certificados omitan las restricciones asociadas a la regla de proteccin de archivos. Archivos Cualquier archivo: especifica que todos los archivos tienen proteccin de los programas especificados anteriormente segn sus restricciones. Archivos mencionados: especifica que slo los archivos en la lista tienen proteccin. Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar nombres de archivos o comodines. Editar: le permite modificar el nombre del archivo. Eliminar: Elimina el archivo de la lista. Aplicar tambin a subdirectorios: aplica las reglas de proteccin de archivos a cualquier subdirectorio de un directorio mencionado.
232
Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Configuracin de HIPS: Especifica la configuracin de HIPS asociada con esta tarea de cambio de configuracin particular. Seleccione la configuracin de HIPS que desee implementar en los dispositivos de destino, modifique las configuraciones existentes mediante su seleccin y haga clic en Editar o bien, haga clic en Configurar | Nueva para crear una configuracin nueva.
233
MANUAL DE USUARIO
Los usuarios finales pueden hacer clic con el botn secundario en el icono de HIPS para tener acceso a su men contextual y seleccionar las opciones siguientes: Abrir: Abre el cliente de LANDesk HIPS. Opciones: Muestra las opciones de HIPS que el administrador ha configurado en la consola (slo lectura). Modo automtico: Permite que LANDesk HIPS se ejecute en el modo automtico en el cual se bloquean todas las violaciones de seguridad predefinidas. Modo de aprendizaje: Permite que LANDesk HIPS se ejecute en el modo de aprendizaje, en el cual se permiten todas las violaciones de seguridad, las cuales se supervisan y se registran en el archivo de historial de acciones. Instalar software: Abre una ventana de exploracin de archivos donde el usuario final puede seleccionar un programa de instalacin o configuracin que ejecutar. Descargar: Permite que el usuario final desinstale LANDesk HIPS de su equipo.
234
Tambin puede ver la actividad de intrusin de host especfica en la parte inferior de la ventana, donde se incluyen los detalles siguientes: Fecha de la accin Accin Descripcin Aplicacin Versin de archivo Tamao de archivo Fecha de archivos Modo Hash de MD5
235
MANUAL DE USUARIO
236
237
MANUAL DE USUARIO
Programador local LANDesk Antivirus Control remoto de LANDesk Supervisin de software de LANDesk Multidifusin dirigida LANDesk Monitor USB de LANDesk
No se deberan seleccionar servicios que no se estn implementando para que el vigilante del agente los supervise Cuando configure el vigilante del agente, no seleccione servicios que no pretenda instalar en los dispositivos de destino. De lo contrario, el servidor central recibir alertas para servicios no instalados que no se instalaron a propsito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo, no se envan alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse. Al supervisar los servicios del agente, el vigilante del agente de LANDesk: Reinicia los servicios cuando stos se apagan (una vez). Cambia el tipo de inicio del servicio a automtico cuando este se modifica Enva alertas al servidor central cuando los servicios no estn instalados Enva alertas al servidor central cuando los servicios no pueden reiniciarse Enva alertas al servidor central cuando un tipo de inicio del servicio no puede cambiarse a automtico
Los siguientes archivos de LANDesk se pueden supervisar: Ldiscn32.exe Vulscan.dll Vulscan.exe Sdclient.exe Amclient.exe Usbmon.exe Usbmon.ini
El vigilante del agente de LANDesk, cuando supervisa los archivos: Quita del registro los archivos que se programaron para eliminarse en el reinicio. Enva alertas al servidor central cuando los archivos estn programados para eliminarse en el reinicio Enva alertas al servidor central cuando los archivos se han eliminado
238
Microsoft Windows XP 64 Bit Professional (procesador Intel Pentium de 64 bits o compatible; 128 MB de RAM, se recomienda ms; 72 MB disponibles en HDD para instalar) Windows 2000 Professional (SP2 y superior; procesador Intel Pentium de 133 MHz o compatible; 64 MB de RAM, se recomienda 96MB; 50 MB disponibles en HDD para instalar) Microsoft Windows XP Professional (Microsoft Internet Service Pack 2.0 o superior; procesador Intel Pentium de 300 MHz o compatible; 128 MB de RAM, se recomienda ms; 72 MB disponibles en HDD para instalar)
6.
7.
Si desea activar el vigilante del agente (o actualizar su configuracin) ms adelante, puede hacerlo en uno o ms dispositivos administrados directamente desde la consola. Tambin puede deshabilitar el vigilante del agente en uno o ms dispositivos con la tarea Actualizar vigilante del agente.
239
MANUAL DE USUARIO
Para habilitar el vigilante del agente de LANDesk (o actualizar su configuracin) como una tarea aparte 1. 2. 3. En la consola, haga clic con el botn derecho en uno o ms dispositivos y luego seleccione Actualizar la configuracin del vigilante del agente. Active Usar vigilante del agente. Si desea buscar cambios para la configuracin del vigilante del agente aplicada con el objeto de asegurar que la configuracin del dispositivo de destino est actualizada, seleccione Buscar cambios en la configuracin seleccionada, y luego especifique un intervalo de tiempo. Seleccione una configuracin para el vigilante del agente de la lista disponible y aplquela a la configuracin de agente que est creando. Puede crear una configuracin nueva o editar una existente haciendo clic en Configurar. La configuracin del vigilante del agente que se aplica determina qu servicios y archivos se van a supervisar y con qu frecuencia y si el vigilante del agente ejecutable permanece residente en la memoria de los dispositivos supervisados. Haga clic en Aceptar.
4.
5.
Cuando selecciona el botn Aceptar, todos los dispositivos de destino seleccionados se actualizan con la nueva configuracin y aparece un mensaje de estado. Para deshabilitar el vigilante del agente de LANDesk 1. 2. 3. En la consola, haga clic con el botn derecho en uno o ms dispositivos y luego seleccione Actualizar la configuracin del vigilante del agente. Asegrese de desactivar la casilla de verificacin Usar vigilante del agente Haga clic en Aceptar.
240
No se deberan seleccionar servicios que no se estn implementando para que el vigilante del agente los supervise Cuando configure el vigilante del agente, no seleccione servicios que no pretende instalar en los dispositivos de destino. De lo contrario, el servidor central recibir alertas para servicios no instalados que no se instalaron a propsito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo, no se envan alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse.
Acerca del cuadro de dilogo Actualizar la configuracin del Vigilante del agente
Utilice este cuadro de dilogo para actualizar los cambios de configuracin del vigilante del agente en los dispositivos de destino y para habilitar o deshabilitar la utilidad del Vigilante del agente de LANDesk en los dispositivos de destino. Si el vigilante del agente no se encuentra activo en los equipos de escritorio seleccionados, active la casilla de verificacin Usar vigilante del agente, configure el vigilante del agente y luego haga clic en Aceptar. El vigilante del agente se activar cuando se enve la configuracin a los dispositivos seleccionados. Para cambiar los archivos o servicios que se van a supervisar, haga clic en el botn Configurar para mostrar el cuadro de dilogo Configuracin del vigilante del agente.
241
MANUAL DE USUARIO
Con el cuadro de dilogo Actualizar la configuracin del vigilante del agente tambin puede desactivar el vigilante del agente si deshabilita la casilla de verificacin Usar vigilante del agente y hace clic en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Usar Vigilante del agente Habilita el servicio del Vigilante del agente en los dispositivos de destino. Buscar cambios en la configuracin seleccionada: Compara automticamente la versin actual de la configuracin del vigilante del agente seleccionada con la que se implement en los dispositivos de destino (en el intervalo de tiempo especificado a continuacin). Si la configuracin se ha modificado durante dicho perodo, se implementa la nueva configuracin del vigilante del agente y este se reinicia. Intervalo de verificacin: Especifica el perodo de tiempo de la comparacin peridica. Seleccione una configuracin para el vigilante del agente: Especifica qu configuracin se utiliza para la tarea. Seleccione una configuracin de la lista desplegable o haga clic en Configurar para crear una nueva.
Cuando selecciona el botn Aceptar, todos los dispositivos de destino seleccionados se actualizan con la nueva configuracin y aparece un mensaje de estado.
242
No se pudo cambiar el tipo de servicio Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio que no pudieron modificar el tipo de inicio de un servicio LANDesk supervisado. Servicios requeridos de LANDesk no instalados Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se ha desinstalado un servicio supervisado. Servicios requeridos de LANDesk no iniciados Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de trabajo donde dicho Vigilante no pudo reiniciar un servicio supervisado. Archivos de LANDesk no encontrados en los clientes Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se han eliminado archivos del agente supervisados. Archivos pendientes por eliminar encontrados en clientes Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se ha programado eliminar los archivos del agente supervisados despus del reinicio. El Vigilante del agente tambin quita automticamente estos archivos del registro de Windows para que no se eliminen.
243
MANUAL DE USUARIO
244
Uso de las configuraciones del control de conexiones para restringir el acceso a la red
El uso de las configuraciones del control de conexiones le ayuda a limitar las redes en las cuales puede residir una estacin de trabajo. Si una estacin de trabajo no reside en una red permitida, se puede deshabilitar la conectividad de redes. Un control de conexin en un dispositivo administrado monitorea las conexiones a travs de la red y las conexiones que usan dispositivos de E/S. El control de conexin aplica reglas en base a los elementos seleccionados para la configuracin del control de conexiones. Estas reglas incluyen la terminacin de conexiones no permitidas y el envo de alertas al servidor central. Puede crear varias configuraciones y aplicarlas a distintos dispositivos administrados. Sin embargo, un dispositivo administrado solo puede tener una configuracin de red aplicada por vez. Las restricciones de red se configuran de dos formas generales: Mediante la especificacin de las direcciones de red que se permiten. En este caso, el dispositivo slo puede recibir direcciones IP que se encuentren dentro del rango de direcciones permitidas de manera explcita. Mediante la especificacin de las direcciones de red que se permiten. En este caso, si cualquier dispositivo de red recibe una direccin IP que est dentro del rango de direcciones bloqueadas, el mismo quedar deshabilitado.
Pueden aplicarse restricciones a dispositivos de E/S junto con restricciones de red que se seleccionen. Estas restricciones pueden ubicarse en dispositivos que permiten el acceso a los datos, tales como puertos, mdems, unidades y conexiones inalmbricas. Cuando hay una restriccin vigente, el dispositivo queda deshabilitado en Windows y no se puede acceder al mismo. Para crear una configuracin del control de conexiones 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador del control de conexiones. En el panel inferior, en el men de acceso directo de la opcin Configuracin del control de conexiones, haga clic en Nueva configuracin del control de conexiones. Introduzca un Nombre de configuracin. Marque Limitar conexiones a redes de la lista para que aparezcan en la lista las direcciones permitidas. Si se pueden conectar los dispositivos a otras redes cuando no estn conectados a direcciones de red restringidas, seleccione Permitir redes que no estn en la lista si no hay conexin. O BIEN Seleccione Bloquear conexiones a redes de la lista e incluya las direcciones de red que no se permiten.
245
MANUAL DE USUARIO
5.
6.
7. 8.
Escriba un intervalo de direcciones IP y haga clic en Agregar. Repita este paso como sea necesario. Para eliminar un intervalo de direcciones IP, seleccinelo de la lista y haga clic en Eliminar. Para verificar que el servidor central est en ejecucin en la red con la que establece conexin el dispositivo, marque la opcin Verificar la existencia del servidor central en la red. Esta opcin se aplica solamente si se ha seleccionado Limitar conexiones a redes de la lista. Si lo desea, seleccione una configuracin de control de conexiones que desee aplicar durante la conexin a redes que formen parte de la lista o que no se encuentren en ella. Haga clic en Guardar al finalizar.
246
Si marca ambas opciones Permitir redes que no estn en la lista si no hay conexin y Aplicar otra configuracin al conectar a redes que no estn en la lista, puede especificar otra configuracin que solamente se aplique a los equipos que estn conectados a una red que no se encuentre en la lista. Puede especificar las configuraciones en la parte inferior del cuadro de dilogo Configuracin de control de conexiones. Las opciones de dicho cuadro de dilogo estn disponibles una vez que marca la opcin Aplicar la configuracin de dispositivo si hay conexin y/o Aplicar otra configuracin al conectar a redes que no estn en la lista. Si define la configuracin que se aplicar en Ninguna, el administrador del control de conexiones no aplicar una configuracin de control de dispositivos mientras est conectado a la red. Esto significa que aunque una configuracin de control de dispositivos haya estado activa antes de una conexin de red, una vez que se establece la conexin de red, no habr ninguna configuracin de control de dispositivos activa y el acceso a todos los dispositivos no tendr restriccin. Si selecciona una configuracin en la lista, una vez que se establece una conexin de red coincidente, el administrador del control de conexiones cambia la configuracin de control de dispositivos en el equipo a fin de concordar con la seleccin. Las configuraciones de control de dispositivos aplicadas a travs de una configuracin de control de conexiones se aplican al equipo y no al usuario. Las configuraciones de control de dispositivos activas basadas en el usuario tienen precedencia sobre las configuraciones de control de dispositivos basadas en el equipo. Si existe una configuracin activa de control de dispositivos basada en el usuario, la configuracin de control de dispositivos aplicada a travs de una configuracin de control de conexiones no tiene ningn efecto. Si desea que siempre se aplique la configuracin de control de dispositivos especificada en una configuracin de control de conexiones, asegrese de que en el equipo no exista ninguna configuracin de control de dispositivos basada en el usuario. La seleccin de una configuracin de control de dispositivos a aplicar en el cuadro de dilogo Configuracin del control de conexiones no implementa dicha configuracin en los equipos. Las configuraciones de control de dispositivos y las de control de conexiones se implementan de forma independiente. Asegrese de implementar configuraciones de control de dispositivos a las cuales haga referencia una configuracin de control de conexiones. Si la configuracin no est disponible en un equipo, ste enva una alerta de error de configuracin al servidor central. Consulte las alertas en el registro de alertas AMS (Ver | Historial de alertas).
MANUAL DE USUARIO
Aplicar otra configuracin al conectar a redes que no estn en la lista: Aplica otra configuracin cuando el usuario se conecta a una red que no se encuentra en la lista. Deben permitirse las conexiones a redes que no estn en la lista para que esta opcin est disponible. Bloquear conexiones a redes de la lista: Bloquea las conexiones a los intervalos de direcciones IP de la lista. Direccin IP inicial: Direccin IP inicial del intervalo que desee controlar. Direccin IP final: Direccin IP final del intervalo que desee controlar. Agregar: Agrega intervalos de direccin IP vlidos a la lista controlada. Quitar: Elimina el intervalo de direcciones IP seleccionado de la lista controlada. Verificar la existencia del servidor central en la red: En ocasiones un intervalo de direcciones IP podra ser utilizado por ms de una red. Para mayor seguridad en la restriccin del acceso a redes, podra cerciorarse de que se est ejecutando el servidor central antes de permitir que un dispositivo establezca conexin con una red. Marque esta opcin para implementar esta seguridad adicional. Si no se encuentra el servidor central en la red a la que se est accediendo, se deshabilita la conexin. Configuracin de dispositivo a aplicar al conectar a redes de la lista: Si ha marcado la opcin Aplicar la configuracin de dispositivo si hay conexin, puede especificar la configuracin que desee aplicar. Configuracin de dispositivo a aplicar al conectar a redes que no estn en la lista: Si ha marcado la opcin Aplicar otra configuracin al conectar a redes que no estn en la lista, puede especificar la configuracin que desee aplicar.
Uso de las configuraciones del control de dispositivos para restringir el acceso a los dispositivos USB
Las configuraciones del Administrador del control de conexiones pueden tener dos partes. La parte principal es la configuracin del control de conexiones, donde se limita el acceso a la red. La segunda parte que consta de la configuracin del control de dispositivos es opcional. El servicio de configuracin de control de dispositivos, usbmon, se ejecuta en dispositivos administrados, donde monitorea y restringe las conexiones USB y las conexiones a dispositivos especificados. Las configuraciones del control de dispositivos son independientes y puede implementar una configuracin del control de dispositivos sin implementar una configuracin del control de conexiones. De forma predeterminada, las configuraciones del control de dispositivos pueden restringir diversos tipos de dispositivos. Puede utilizar la configuracin avanzada de USB para restringir cualquier dispositivo USB o clase de dispositivo USB que especifique. Entre los dispositivos que puede restringir se encuentran: Dispositivos USB, tales como controladores, teclados, ratones, impresoras y escneres Dispositivos de bolsillo RIM Blackberry*, Pocket PC* y Palm* Volmenes de red Redes de rea personal Bluetooth* Redes inalmbricas 802.11x Mdems
248
Dispositivos PCMCIA* Puertos serie, paralelos, infrarrojos y FireWire 1394 Unidades de disquete y de CD/DVD
El servicio usbmon puede: Evitar el uso de dispositivos USB y PCMCIA no autorizados. Evitar el uso de dispositivos de almacenamiento extrables no autorizados. Activar un programa o una secuencia de comandos externos al detectar un dispositivo no autorizado.
Para crear una configuracin del control de dispositivos 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador del control de conexiones. En el panel inferior, en el men de acceso directo de la opcin Configuracin del control de dispositivos, haga clic en Nueva configuracin del control de dispositivos. Introduzca un Nombre de configuracin. Seleccione si desea que el perfil se aplique al Usuario actual o a todos los usuarios del Equipo. Para obtener ms informacin, consulte "Descripcin de los perfiles" en la pgina 252. Personalice las opciones que desee. Si desea obtener informacin adicional, consulte la seccin siguiente que describe las opciones que se encuentran en los dilogos de configuracin del Control de dispositivos. Haga clic en Guardar para guardar el perfil.
5.
6.
El Administrador del control de conexiones almacena las configuraciones de control de dispositivo en la carpeta LDLogonmon del servidor central. Las configuraciones de control de dispositivos son archivos .INI con el nombre de la configuracin que ha especificado.
Acerca de la Pgina Configuraciones generales del cuadro de dilogo Configuracin del control de dispositivos
Nombre: Nombre de la configuracin. Este nombre aparece en la ventana principal del Administrador del control de conexiones. Aplicar configuracin a: Usuario: Aplica la configuracin solamente al usuario conectado en el momento de la implementacin. Para obtener ms informacin, consulte "Descripcin de los perfiles" en la pgina 252. Equipo: Aplica la configuracin a todos los usuarios del dispositivo. Comandos: Permite configurar comandos que se ejecutan cuando se detecta un dispositivo no autorizado. Para obtener ms informacin, consulte "Configuracin de comandos que se ejecutan cuando se detecta un dispositivo no autorizado" en la pgina 256.
249
MANUAL DE USUARIO
Acerca de la Pgina Dispositivos USB del cuadro de dilogo Configuracin del control de dispositivos
Crear almacenamiento en USB de slo lectura: Especifica que con esta configuracin los usuarios pueden leer el dispositivo de almacenamiento USB, pero no grabar en el mismo. Utilizar cifrado: Esta opcin implementa un programa llamado EncArchive.exe en los dispositivos de destino, de manera que los archivos sean cifrados cuando se los grabe en un dispositivo y descifrados cuando se los lea desde el dispositivo. Slo se permite el acceso mediante la contrasea correcta. Puede usar esta opcin que brinda proteccin adicional en dispositivos que contengan datos confidenciales. Porcentaje de espacio en el dispositivo USB para el cifrado: Especifica el porcentaje de espacio total en un dispositivo de almacenamiento USB que puede usarse para archivos cifrados. Bloquear los dispositivos USB: Permite lo siguiente: Teclados y ratones: Si se marca esta opcin se permiten teclados y ratones USB, y se agrega Service=hidusb a la lista de reglas de USB. Para ms informacin sobre las listas de reglas, consultar "Configuracin avanzada de USB" en la pgina 254. PC de bolsillo: Si se marca esta opcin se permiten dispositivos de bolsillo y se agrega Service=wceusbsh a la lista de reglas de USB. Almacenamiento: Si se marca esta opcin se permiten dispositivos de almacenamiento USB, y se agrega Service=usbstor a la lista de reglas de USB. Impresoras: Si se marca esta opcin se permiten impresoras USB, y se agrega Service=usbprint a la lista de reglas de USB. Dispositivos Palm: Si se marca esta opcin se permiten dispositivos de bolsillo Palm y se agrega Service=PalmUSBD a la lista de reglas de USB. Escneres: Si se marca esta opcin se permiten escneres USB, y se agrega Service=usbscan a la lista de reglas de USB. RIM Blackberry: Si se marca esta opcin se permiten dispositivos RIM Blackberry y se agrega Service=RimUsb a la lista de reglas de USB. Lector biomtrico de huellas digitales: Si se marca esta opcin se permiten lectores biomtricos de huellas digitales y se agrega Service=TcUsb a la lista de reglas de USB. Permitir sobrescribir las contrasea de los dispositivos bloqueados: La seleccin de esta opcin permite un acceso temporal a un dispositivo bloqueado. Una vez seleccionada esta casilla de verificacin, puede especificar una contrasea dos veces para confirmarla. Para tener acceso al dilogo de la contrasea en el cliente: A fin de mostrar el dilogo de la contrasea en un equipo cliente, es necesario que pulse la secuencia de teclas: CTRL + MAYSC + FLECHA ARRIBA en el teclado del cliente. Luego puede especificar la contrasea. Si la contrasea coincide con la especificada en la configuracin del control de dispositivos, entonces los dispositivos USB bloqueados ahora le permiten acceso. Para finalizar el acceso y restaurar la restriccin de acceso original, vuelva a pulsar la secuencia de teclas CTRL + MAYSC + FLECHA ARRIBA y haga clic en Terminar la sesin.
250
Notificar al usuario cuando se detectan dispositivos USB no autorizados: Si se marca esta opcin se muestra un cuadro de mensaje cuando el usuario conecta un dispositivo USB no autorizado. Para obtener ms informacin, consulte "Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados" en la pgina 256. Configuracin avanzada de USB: Abre el cuadro de dilogo Configuracin avanzada del control de dispositivos, en el cual puede ver los dispositivos bloqueados y crear sus propias reglas para desbloquear dispositivos. Para obtener ms informacin, consulte "Configuracin avanzada de USB" en la pgina 254.
Acerca de la Pgina Volmenes y red del cuadro de dilogo Configuracin del control de dispositivos
Bloquear todos los volmenes desconocidos: Bloquea el acceso a cualquier volumen que no estaba presente cuando se instal la configuracin del control de dispositivos. Observe que si un dispositivo que contiene un volumen se encontraba conectado al instalar la configuracin, el servicio usbmon permite el dispositivo en el futuro, aunque sea extrable. Notificar al usuario cuando se detectan volmenes no autorizados: Si se marca esta opcin se muestra un cuadro de mensaje cuando el servicio usbmon detecta un volumen de almacenamiento no autorizado. Para obtener ms informacin, consulte "Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados" en la pgina 256. Bloquear redes de rea personal Bluetooth (PAN): Bloquea el acceso a redes Bluetooth. Bloquear wireless LAN 802.11X: Bloquea el acceso a redes inalmbricas 802.11X. Bloquear wireless LAN 802.11X slo cuando existe una conexin con cable: Bloquea el acceso a redes inalmbricas 802.11X cuando existe una conexin con cable.
Acerca de la Pgina Otros dispositivos del cuadro de dilogo Configuracin del control de dispositivos
Bloquear mdems: Bloquea los mdems. Bloquear dispositivos PCMCIA, permitir lo siguiente: Tarjetas de red: Si se marca esta opcin se permiten las tarjetas de red PCMCIA. Almacenamiento: Si se marca esta opcin se permiten las tarjetas de almacenamiento PCMCIA. Bloquear todos los puertos: Marca y desmarca todas las opciones de bloqueo de puertos. Serie: Bloquea los puertos serie. Paralelo: Bloquea los puertos paralelos. Infrarrojo: Bloquea los puertos infrarrojos. FireWire 1394: Bloquea los puertos 1394. Bloquear todas las unidades: Marca y desmarca todas las opciones de bloqueo de unidades. Disquete: Bloquea las unidades de disquete. CD/DVD: Bloquea las unidades de CD/DVD.
251
MANUAL DE USUARIO
Ajustar grabadoras de CD/DVD a slo lectura Configura un dispositivo interno o externo de grabacin o escritura de CD o DVD, de manera que los datos puedan leerse pero no grabarse en el mismo.
252
Las unidades que se consideran extrables incluyen (sin limitacin) los dispositivos de almacenamiento USB. Las unidades de CD (de slo lectura o de lectura y escritura) no se consideran de almacenamiento extrable. El SO no considera las unidades de disco duro como extrables. La llamada GetDriveType() las describe como "unidades fijas" aunque estn conectadas a travs de un puerto USB o de cualquier otro puerto externo. Para permitir que las unidades de disco duro extrables se manejen del mismo modo que otros dispositivos de almacenamiento extrables, el servicio usbmon registra la lista de unidades de disco duro al mismo tiempo que se instala el servicio. Por ejemplo, si un tiene dos unidades de disco duro (C: y D:) al momento en que se instala el servicio usbmon, ste considera ambas unidades como fijas y no las verifica. Sin embargo, si ms adelante se encuentra una unidad de disco duro con la letra E:, el servicio usbmon la considera como dispositivo extrable. El servicio usbmon mantiene la lista de "unidades fijas" en el registro que se encuentra en HKLM\Software\LANDesk\usbmon\FixedDrives. La lista se crea durante la instalacin del servicio. La opcin Bloquear todos los volmenes desconocidos bloquea el acceso a cualquier volumen que no estaba presente cuando se instal la configuracin del control de dispositivos. Observe que si un dispositivo que contiene un volumen se encontraba conectado al instalar la configuracin, el servicio usbmon permite el dispositivo en el futuro, aunque sea extrable. Si detecta un dispositivo de almacenamiento extrable, el servicio usbmon har lo siguiente: Bloquear el volumen. Los usuarios que intenten el acceso al volumen recibirn un error de "acceso denegado". De forma opcional, mostrar un mensaje configurable al usuario. De forma opcional, cargar un programa externo. Por ejemplo, el programa externo podra ser una secuencia de comandos que enva una alerta a la consola central. Enva una alerta AMS de "Dispositivo desactivado fue activado" al servidor central. La alerta indica que se ha activado el volumen, pero no existe informacin adicional disponible sobre el volumen.
El bloqueo de todos los volmenes desconocidos solamente funciona en Windows XP o Windows 2003 En Windows 2000, el sistema operativo indica que el volumen ha sido bloqueado cuando en realidad no lo est. LANDesk recomienda que para Windows 2000, bloquee los dispositivos especficos a fin de impedir la adicin de volmenes nuevos.
253
MANUAL DE USUARIO
Si el control de dispositivos no est configurado con la funcin para anular la contrasea, puede intentar los mtodos siguientes: Iniciar una sesin con derechos administrativos y desactivar el servicio usbmon de forma temporal. Iniciar una sesin con derechos administrativos, ejecutar la GUI de usbmon y agregar el dispositivo a la lista de volmenes autorizados. Utilizar perfiles. Los dispositivos que no se permiten al usuario final podran permitirse cuando el tcnico inicia una sesin en el mismo equipo con su cuenta de asistencia debido a que posee un perfil usbmon distinto.
Son los mismos nombres que se utilizan en el registro bajo la clave HKLM\System\CurrentControlSet\Enum\USB. El campo ms til en el cual se basan las reglas es por lo general el campo Servicio. Esto corresponde a un controlador de Windows. Por ejemplo, el controlador para conexiones USB ActiveSync en PDA de Windows CE se denomina wceusbsh (consulte HKLM\CurrentControlSet\Services\wceusbsh). Las reglas se pueden basar en cualquiera de las seis columnas, no obstante, usted elige las reglas que desea utilizar en su situacin.
Comodines
Las reglas permiten el uso de comodines, por ejemplo, la instruccin siguiente permite cualquier dispositivo que contenga la cadena "floppy" en su descripcin:
DeviceDesc=*floppy*
254
La primera regla permite dispositivos de almacenamiento USB. La segunda regla no permite los dispositivos que contengan la cadena "floppy" en su descripcin. Si se definen tanto reglas de dispositivos permitidos como de no permitidos, el servicio usbmon primero verifica los dispositivos en funcin de las reglas de dispositivos permitidos. Si no existe ninguna regla de dispositivos permitidos que permita el dispositivo, se prohbe el mismo. Si existe al menos una regla de dispositivos permitidos que permita el dispositivo, el servicio usbmon verifica ste en funcin de las reglas de dispositivos no permitidos. Si el dispositivo no satisface ninguna de las reglas de dispositivos no permitidos, se permite el mismo. De lo contrario, se prohbe. Si solamente existen reglas de dispositivos permitidos, el dispositivo se prohbe a menos que satisfaga una de estas reglas. Si solamente existen reglas de dispositivos no permitidos, el dispositivo se permite menos que satisfaga una de estas reglas.
Reglas compuestas
Todas las reglas ilustradas hasta ahora han sido reglas simples, en las cuales se prueba un solo campo. Usbmon tambin admite reglas compuestas, tal como el ejemplo siguiente:
Service=wceusbsh,DeviceDesc=*iPAQ*
Esta regla slo permite dispositivos Windows CE que contengan la cadena IPAQ en su descripcin. Tambin son posibles las reglas compuestas de dispositivos no permitidos. Ejemplo:
Service=wceusbsh -Service=wceusbsh,Mfg=*iPAQ*
Las dos lneas anteriores permiten dispositivos Windows CE, con excepcin de los que contienen la cadena IPAQ en el campo del fabricante. Dichas lneas son equivalentes a la lnea individual siguiente:
Service=wceusbsh,-Mfg=*iPAQ*
255
MANUAL DE USUARIO
Usbmon garantiza que solamente est en ejecucin una instancia de la secuencia de comandos al mismo tiempo. Para configurar comandos 1. 2. 3. En una configuracin del control de dispositivos, haga clic en Comandos. Escriba los comandos que desee. Haga clic en Aceptar.
256
Configuracin de alertas
Las configuraciones del Administrador del control de conexiones utiliza el sistema de administracin de alertas para las alertas (Herramientas | Configuracin de alertas | Administrador de control de conexiones). El Administrador del control de conexiones puede iniciar las alertas en estos eventos: Error de Configuracin Dispositivo desactivado fue activado Intento de conexin de red restringida Intento de conexin de red no listada Sesin de red no listada detectada
Implementacin de configuraciones
Una vez que ha creado una configuracin del control de conexiones o una configuracin del control de dispositivos, debe implementarla en los dispositivos administrados para activarla. Para implementar una configuracin 1. 2. 3. En el men contextual de la configuracin guardada, seleccione Programar. La configuracin se agrega a la ventana Tareas programadas. En esa ventana, arrastre los dispositivos al icono de configuracin. Una vez que se han agregado todos los dispositivos, en el men contextual de la tarea, seleccione Propiedades. En el rbol, haga clic en Programar tarea y configure las opciones de programacin.
Para obtener ms informacin sobre la programacin de tareas, consulte "Tareas y secuencias de comando" en la pgina 360. Al programar una configuracin de control de dispositivos para la implementacin, el Administrador del control de conexiones realiza lo siguiente: Crea un paquete de distribucin ejecutable que tiene el nombre de la configuracin de control de dispositivos de origen. El archivo principal del paquete es usbmon.exe. Los archivos adicionales son usbmon.reg, devactalert.exe, netres.mrl y <nombre de la configuracin de control de dispositivos>.ini.
257
MANUAL DE USUARIO
Si el objetivo de la tarea de configuracin de control de dispositivos son usuarios, el Administrador del control de conexiones utiliza un mtodo de entrega basado en polticas de nombre "Entrega a peticin de Usbmon". Si no existe este mtodo, el Administrador del control de conexiones lo crea. Cuando los destinos de las tareas son usuarios, el Administrador del control de conexiones tiene un mtodo de entrega basado en polticas, para asegurarse de que el usuario correcto obtenga la configuracin. Cuando los usuarios de destino inician una sesin, se activa el mtodo de entrega basado en polticas e instala la configuracin. Si el objetivo de la tarea de configuracin de control de dispositivos son equipos, el Administrador del control de conexiones utiliza un mtodo de entrega de instalacin automtica compatible con polticas de nombre "Entrega automtica de Usbmon". Si no existe este mtodo, el Administrador del control de conexiones lo crea. Debido a que la configuracin tiene como destino el dispositivo, cualquier usuario que inicie una sesin en el dispositivo obtendr la configuracin de control de dispositivos; sin importar quin inicia una sesin cuando se instala la configuracin. Puede utilizar los mtodos de entrega de instalacin automtica o de polticas para los equipos.
Una vez que el Administrador del control de conexiones cree los mtodos de entrega de instalacin automtica de polticas o basado en polticas de usbmon, puede personalizar los mismos. Siempre y cuando no cambie el nombre del mtodo, el Administrador del control de conexiones utilizar el mtodo de entrega modificado. Si desea ms informacin sobre la creacin de configuraciones de control de dispositivos de forma manual en los equipos administrados y sobre la implementacin de dichas configuraciones de forma manual, consulte el archivo de ayuda de usbmon, usbmon.chm, en el recurso compartido LDMain del servidor central.
258
Si selecciona las opciones siguientes en el Administrador de control de conexiones y el servidor central no se encuentra disponible en una de las redes de la lista, los clientes tendrn acceso ilimitado a los dispositivos de E/S durante la conexin a la red: Limitar conexiones a redes de la lista Permitir redes que no estn en la lista si no hay conexin Verificar la existencia del servidor central en la red Si la opcin "Permitir redes que no estn en la lista si no hay conexin" est marcada y el agente no puede encontrar el servidor central en una red de la lista, supondr que la red no se encuentra en la lista. En este punto, podra otorgarse el acceso no intencionado a los dispositivos de E/S locales. Esto podra crear un riesgo de seguridad. Asegrese de que el servidor central est disponible para evitar que esto suceda.
259
MANUAL DE USUARIO
Uso de la consola
LANDesk Management Suite proporciona una gama completa de herramientas de administracin de sistemas que le permiten ver, configurar, administrar y proteger los dispositivos de la red. Todas estas tareas se pueden realizar a travs de una sola consola. Este captulo describe la interfaz de la consola, al igual que la configuracin y navegacin de la vista de red y las ventanas de herramientas de la consola. Lea este captulo para obtener informacin sobre: "Introduccin a la consola" en la pgina 260 "Inicio de la consola" en la pgina 261 "Cambio de la conexin al servidor central" en la pgina 262 "Vista de red" en la pgina 262 "Creacin de grupos" en la pgina 265 "Iconos de dispositivos" en la pgina 267 "Visualizacin de dispositivos administrados en el grupo Todos los dispositivos" en la pgina 268 "Mens contextuales" en la pgina 269 "Configuracin de la vista de red con conjuntos de columnas" en la pgina 270 "Opciones de la barra de herramientas" en la pgina 273 "Uso de las herramientas de la consola" en la pgina 274 "Ventanas de herramientas acoplables" en la pgina 274 "Ocultar automticamente" en la pgina 275 "Guardar disposiciones de ventanas" en la pgina 275 "Barra Buscar" en la pgina 276 "Barra de estado" en la pgina 276 "Visualizacin de las propiedades del dispositivo" en la pgina 277 "Configuracin de la deteccin de agentes" en la pgina 278 "Supervisin de dispositivos para la conectividad de red" en la pgina 280
Introduccin a la consola
El poder de la consola radica en que se pueden llevar a cabo todas las funciones crticas de la administracin de la red desde una cmoda ubicacin, por lo que no es necesario desplazarse hasta cada dispositivo administrado para realizar el mantenimiento rutinario o solucionar problemas. Desde una nica consola, puede distribuir y actualizar el software o las opciones de configuracin, diagnosticar problemas de hardware y software, implementar imgenes del SO y migrar perfiles de usuario, utilizar la administracin basada en funciones para controlar el acceso de los usuarios a las funciones y a los dispositivos, utilizar las funciones de control remoto para orientar a los usuarios finales o resolver problemas. Puede disponer de varios servidores y bases de datos para satisfacer sus necesidades especficas de administracin de redes. Si desea obtener informacin sobre la instalacin de un servidor y una consola centrales, consolas adicionales o una consola Web, e informacin sobre la administracin de varios servidores y bases de datos centrales, consulte el Manual de instalacin e implementacin (este manual se encuentra disponible como archivo PDF imprimible).
260
Ms adelante en este captulo se explica cmo desplazarse y utilizar la nueva consola para visualizar y organizar los dispositivos y obtener acceso a las diferentes herramientas de administracin. (Cada una de las herramientas, como la distribucin de software, el control remoto, la seguridad y Patch Manager, etc. se describen en detalle en los siguientes captulos de este manual).
Inicio de la consola
Para iniciar la consola 1. Haga clic en Inicio | Programas | LANDesk | LANDesk Management Suite 8. (El nombre real del programa puede cambiar dependiendo del producto LANDesk que se haya instalado y de la licencia que se us para la activacin en el servidor central). Escriba un nombre de usuario y una contrasea vlidos. Si se va conectar a un servidor central remoto, siga las reglas habituales de Windows para el inicio de sesin remoto (por ejemplo, si el usuario es local para el servidor central, escriba nicamente el nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de dominio o de usuario). Seleccione el servidor central al que desea conectarse. El usuario debe disponer de las credenciales de autenticacin adecuadas para el servidor central. Haga clic en Aceptar.
2.
3. 4.
La consola se abre con la disposicin (tamao, posicin, ventanas de herramientas abiertas, etc.) utilizada la ltima vez que el usuario finaliz una sesin. En las consolas adicionales, las credenciales que utiliza para iniciar una sesin en Management Suite deben coincidir con las credenciales utilizadas para las unidades que ha asignado al servidor central. Caso contrario, podra ver un error de "Conexiones mltiples" en el cuadro de dilogo de la consola.
261
MANUAL DE USUARIO
Siga las normas habituales de Windows NT para el inicio de sesin remoto (por ejemplo, si el usuario es local para el servidor central, escriba nicamente el nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de usuario o de dominio). Una vez conectado al servidor central, el nombre de ste se agrega automticamente a la lista desplegable Central de la barra de herramientas.
Vista de red
La vista de red es la ventana principal de la consola y constituye el punto de inicio de la mayor parte de las funciones. Aqu puede ver los datos de inventario del dispositivo, crear consultas para buscar y agrupar dispositivos, seleccionar dispositivos para el control remoto, etc. La ventana de la vista de red se encuentra siempre abierta y contiene dos paneles. En el panel izquierdo se muestra una vista de rbol jerrquica del servidor o la base de datos central a la que est conectado actualmente, as como los grupos de Dispositivos, Consultas y Configuracin correspondientes. Los objetos del rbol se pueden expandir o contraer segn sea necesario. En el panel derecho de la vista de red se muestra una lista detallada de los dispositivos, consultas o elementos de configuracin del grupo seleccionado en funcin del tipo de grupo.
Iconos de grupo
Los iconos siguientes se utilizan para representar distintos tipos de grupos en la vista de red: Carpeta azul: Indica los grupos pblicos y privados. Carpetas amarillas dobles: Indica los grupos pblicos que contienen una lista completa de elementos de un tipo especfico, tal como Todos los dispositivos.
262
Puede cambiar el tamao de la ventana de la vista de red y de los paneles y columnas correspondientes, aunque no se puede cerrar. Al contrario que las ventanas de herramientas, la ventana de la vista de red no es acoplable. Administracin basada en funciones Los dispositivos que puede visualizar y administrar en la vista de red y las herramientas que puede utilizar dependern de los derechos de acceso y del mbito de los dispositivos que le haya asignado el administrador. Para obtener ms informacin, consulte "Administracin basada en funciones" en la pgina 282. LaVista de red contiene los siguientes grupos y subgrupos:
Central
El objeto Central identifica el servidor central al que est conectado actualmente. El objeto Central se encuentra justo debajo de la raz de la vista de la red y se puede contraer y expandir. Sintaxis del nombre del objeto central La sintaxis para el nombre de objeto central es: Nombre de servidor\Instancia de base de datos
Dispositivos
El grupo Dispositivos incluye los siguientes subgrupos de dispositivos. Mis dispositivos: Muestra una lista de los dispositivos del usuario que ha iniciado sesin en funcin del mbito de dicho usuario. El usuario puede crear subgrupos de dispositivos nicamente en Mis dispositivos. Para agregar dispositivos al grupo Mis dispositivos o a uno de sus subgrupos, el usuario debe copiarlos de los grupos Dispositivos pblicos y Todos los dispositivos. Los usuarios tambin pueden hacer clic y arrastrar los dispositivos de Dispositivos pblicos y Todos los dispositivos al grupo Mis dispositivos.
Arrastre y colocacin de elementos en la vista de red Al hacer clic en un elemento para arrastrarlo a otro grupo en la vista de red, el cursor indica dnde puede o no colocar dicho elemento. Al mover el cursor sobre un objeto del grupo, el signo ms (+) indica que puede agregar el elemento al grupo; el signo de tachado indica que no puede agregar el elemento al grupo. Dispositivos pblicos: muestra una lista de los dispositivos que un administrador (es decir un usuario con derecho de administrador de LANDesk) ha agregado desde el grupo Todos los dispositivos. El administrador ve todos los dispositivos del grupo y los dems usuarios ven solamente los dispositivos permitidos en su mbito. Asimismo, slo el administrador puede crear un subgrupo en Dispositivos pblicos.
263
MANUAL DE USUARIO
Todos los dispositivos: Se muestra un listado no jerrquico (sin subgrupos) de todos los dispositivos que puede ver el usuario que actualmente ha iniciado sesin en funcin del mbito de dicho usuario. Para el administrador, Todos los dispositivos incluye la totalidad de los dispositivos administrados que se han rastreado en la base de datos central. Los dispositivos configurados con los agentes LANDesk estndar aparecen automticamente en el grupo Todos los dispositivos cuando el rastreador de inventario los rastrea en la base de datos central.
Para los usuarios regulares, Todos los dispositivos es un compuesto de los grupos Mis dispositivos y Dispositivos pblicos del usuario. Los administradores y usuarios pueden ejecutar informes de activos en los dispositivos de este grupo. Tambin puede agregar de forma manual los equipos a la vista de red. Para ello, haga clic con el botn secundario en el grupo Todos los dispositivos, seleccione y haga clic en Insertar nuevo equipo, complete la informacin de dispositivo y de red, y haga clic en Aceptar. Estos equipos tambin aparecen en el subgrupo Equipos agregados por el usuario bajo el grupo Configuracin. Dispositivos de usuario: Muestra una lista de todos los dispositivos de la base de datos central, organizados en subgrupos de usuario. A los subgrupos de usuario se les asigna un nombre compuesto por los ID de inicio de sesin del usuario (por ejemplo, nombre de equipo\cuenta de usuario o cuenta de dominio\usuario). Cada grupo de usuario incluye los dispositivos que aparecen en el grupo Mis dispositivos de dicho usuario.
Tenga en cuenta que SLO los administradores pueden ver el grupo Dispositivos de usuario y sus subgrupos. El resto de los usuarios no pueden ver el grupo Dispositivos de usuario.
Consultas
El grupo Consultas incluye los siguientes subgrupos de consultas. Mis consultas: Muestra una lista de las consultas creadas por el usuario que ha iniciado una sesin o de aquellas consultas agregadas al grupo Consultas de usuarios por un administrador. El usuario puede crear, modificar y eliminar grupos de consultas y consultas en el grupo Mis consultas. Adems, puede copiar consultas a este grupo desde el grupo Consultas pblicas.
Toda consulta ejecutada por un usuario est limitada a la serie de dispositivos definida por el mbito del usuario. Por ejemplo, si el mbito de un usuario es Todos los equipos, la consulta buscar todos los dispositivos de la base de datos central, pero si el mbito del usuario se limita a 20 equipos, la consulta slo buscar estos 20 equipos. Para obtener ms informacin sobre la creacin de consultas, consulte "Creacin de consultas de base de datos" en la pgina 325. Consultas pblicas: muestra una lista de las consultas agregadas por un administrador o usuario con derecho de Administracin de consultas pblicas (PQM). nicamente un usuario con derechos de administrador de LANDesk o derecho de PQM puede agregar, modificar o eliminar grupos de consultas o consultas del grupo Consultas pblicas. No obstante, todos los usuarios pueden ver las consultas del grupo y pueden copiarlas en su propio grupo Mis consultas.
264
Todas las consultas: Se muestra un listado no jerrquico (sin subgrupos) de todas las consultas que puede ver el usuario que actualmente ha iniciado sesin en funcin del mbito de dicho usuario. Todas las consultas es un compuesto de los grupos Mis consultas y Consultas pblicas del usuario. Consultas de usuarios: Muestra una lista de todas las consultas de la base de datos central, organizadas en subgrupos por usuario. A los subgrupos de usuario se les asigna un nombre compuesto por los ID de inicio de sesin del usuario (por ejemplo, nombre de equipo\cuenta de usuario o cuenta de dominio\usuario). Cada grupo de usuario incluye las consultas que aparecen en el grupo Mis consultas de dicho usuario.
Tenga en cuenta que SLO los administradores pueden ver el grupo Consultas de usuarios y sus subgrupos. El resto de los usuarios no pueden ver el grupo Consultas de usuarios. Los administradores pueden utilizar este grupo para ejecutar las consultas de un usuario que quedan fuera del mbito de dicho usuario, actuando como si fueran el propio usuario. De este modo, el administrador puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar la consulta.
Configuracin
El grupo Configuracin incluye los siguientes grupos de configuracin. Cola de espera de PXE: Se muestra un listado de las colas de espera de PXE y de los dispositivos que estn esperando en stas. Para obtener ms informacin, consulte Using the PXE holding queue. Representantes de dominio de multidifusin: Muestra una lista de los representantes de dominio de multidifusin que se pueden utilizar para el equilibrio de carga de la distribucin de software. Para obtener ms informacin, consulte "Uso de la multidifusin dirigida con distribucin de software" en la pgina 395. Representantes de PXE: Muestra una lista de los dispositivos configurados como representantes de PXE que pueden implementar imgenes del SO en los dispositivos de su subred. Para obtener ms informacin, consulte Using PXE representatives. Implementaciones de los clientes no administrados pendientes: Muestra un listado de dispositivos que se han detectado con la herramienta de Deteccin de dispositivos no administrados y que estn esperando una tarea de configuracin de agente. Para obtener ms informacin, consulte "Deteccin de dispositivos no administrados" en la pgina 416. Equipos agregados por los usuarios: lista de los equipos que se han agregado de forma manual a la vista de red a travs del cuadro de dilogo Insertar nuevo equipo (haga clic con el botn secundario en el grupo Todos los dispositivos).
Creacin de grupos
Los grupos le ayudan a organizar los dispositivos y consultas en la vista de red de la consola. Puede crear grupos para organizar los dispositivos de red segn la funcin, ubicacin geogrfica, departamento, atributos del dispositivo o cualquier otra categora que satisfaga sus necesidades. Puede crear, por ejemplo, un grupo de marketing para todos los dispositivos del departamento de marketing o un grupo que incluya todos los dispositivos que ejecutan un SO concreto.
265
MANUAL DE USUARIO
Para crear un grupo 1. En la vista de red de la consola, haga clic con el botn derecho sobre el grupo principal (como por ejemplo Mis dispositivos) y, a continuacin, seleccione Nuevo grupo. O bien, seleccione el grupo principal y, a continuacin, haga clic en Edicin | Mis dispositivos | Nuevo grupo. Escriba un nombre para el nuevo grupo y, a continuacin, pulse la tecla Intro.
2.
Puede hacer clic con el botn derecho en los grupos para realizar diversas tareas segn el tipo de grupo. Por ejemplo, si ha creado un subgrupo de dispositivos, el men contextual le permitir: Agregar dispositivos Crear un subgrupo nuevo Ejecutar un informe de inventario Ver un informe Cortar Copiar Pegar Quitar Cambiar nombre
Para obtener ms informacin sobre las funciones del botn secundario, consulte "Mens contextuales" en la pgina 269 a continuacin.
266
Iconos de dispositivos
Los iconos de dispositivos aparecen en la vista de red de la consola y muestran el agente actual y la integridad de un dispositivo. El agente y la integridad se pueden actualizar para los dispositivos de uno en uno a medida que se seleccionan en la vista de red o bien para todos los dispositivos visibles en la vista de red al mismo tiempo. Asimismo, puede actualizar el estado de un dispositivo si lo selecciona y hace clic en el botn Actualizar de la barra de herramientas. Para obtener informacin sobre la configuracin de la forma de utilizacin del agente de deteccin, consulte "Configuracin de la deteccin de agentes" en la pgina 278 ms adelante en este captulo. En la tabla siguiente se muestra un listado de los iconos de dispositivos y de estado posibles as como de sus significados: Icono Tipo y descripcin Servidor: Representa un dispositivo de servidor.
A continuacin se muestran los iconos de estado que pueden aparecer junto a los iconos de dispositivo enumerados anteriormente, en funcin de la configuracin y el estado actuales del dispositivo.
Desconocido: Indica que el estado del dispositivo no se conoce actualmente. Este icono aparece unos instantes mientras se actualiza el estado del dispositivo.
Agente de LANDesk estndar: Indica que el agente LANDesk estndar est cargado en el dispositivo.
267
MANUAL DE USUARIO
Icono
Tipo y descripcin Control remoto: Indica que el agente de control remoto est cargado en el dispositivo.
Advertencia: Indica una alerta de integridad para el dispositivo. Un icono de integridad puede aparecer slo si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo.
Crtica: Indica una integridad crtica para el dispositivo. Un icono de integridad puede aparecer slo si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo.
Calidad de visualizacin de iconos Se trata de iconos de colores de alta densidad que requieren como mnimo una configuracin de color de 16 bits. Si los iconos de la consola aparecen desenfocados, cambie la configuracin de color en Propiedades de pantalla de Windows. Si el servidor de seguridad bloquea los paquetes UDP Si administra dispositivos a travs de un servidor de seguridad que bloquea paquetes UDP, no podr utilizar las funciones de men contextual de dispositivo siguientes: Reactivar, Apagar, Reiniciar y Rastreo de inventario.
268
Cuando se encuentra conectado con un servidor central especfico, el administrador puede ver todos los dispositivos administrados por ese servidor central. Los usuarios normales, por otra parte, tienen restricciones y nicamente pueden ver los dispositivos que residen dentro del mbito que tengan asignado (un mbito est definido por una consulta de base de datos o por una ubicacin de directorio). Para obtener ms informacin, consulte "Administracin basada en funciones" en la pgina 282.
Mens contextuales
Los mens contextuales se han ampliado considerablemente para incluir todos los elementos de la consola, incluidos grupos, dispositivos, consultas, tareas programadas, secuencias de comandos, informes, etc. Los mens contextuales proporcionan un acceso rpido a las tareas comunes y a la informacin esencial de un elemento. Para ver el men contextual de un elemento, seleccione y haga clic con el botn derecho en el elemento. Opciones disponibles en el men contextual Las opciones que aparecen en el men contextual del dispositivo, al igual que las opciones que estn desactivadas o atenuadas, podran depender de la plataforma de dispositivo y de los agentes de LANDesk que estn instalados en el dispositivo. Por ejemplo, si hace clic con el botn derecho en un dispositivo administrado en la vista de red, el men contextual mostrar por lo general las siguientes opciones: Inventario: Muestra todos los datos de inventario del dispositivo rastreados en la base de datos central. Historial de inventario: Muestra los cambios en los datos de inventario de los atributos que se hayan seleccionado para realizar un seguimiento. Se puede imprimir el historial de inventario o exportarlo a un archivo .CSV. Control remoto: Abre una sesin de control remoto con el dispositivo. Conversacin: Abre una sesin de conversacin remota con el dispositivo. Transferencia de archivos: Abre el cuadro de dilogo de transferencia de archivos desde donde se pueden transferir archivos al dispositivo y desde l. Ejecucin remota: Permite desplazarse hasta un archivo por lotes o una aplicacin que se encuentren en el dispositivo y ejecutarlos. Reactivar: Reactiva de forma remota un dispositivo cuyo BIOS admite la tecnologa Wake on LAN*. Apagar: Apaga de forma remota el dispositivo. Reiniciar: Reinicia el dispositivo de forma remota. Rastreo de inventario: Ejecuta un rastreo de inventario en el dispositivo. Tareas programadas y polticas: Muestra las tareas programadas actuales y las polticas de administracin de aplicaciones del dispositivo. Agregar a nuevo grupo: Agrega una copia del dispositivo a un nuevo grupo definido por el usuario en el grupo Mis dispositivos. Se le solicitar que escriba un nombre para el grupo nuevo. Agregar a grupo existente: Permite seleccionar el grupo en que desea agregar una copia del dispositivo. Pertenencia a grupos: Muestra todos los grupos de los que el dispositivo es actualmente miembro.
269
MANUAL DE USUARIO
Ejecutar consultas de informes: Abre el cuadro de dilogo Informes desde el que puede seleccionar de entre una lista de informes para ejecutarlos en el dispositivo. Haga doble clic sobre el nombre del informe para ejecutarlo. Actualizar la configuracin del Vigilante del agente: Abre el cuadro de dilogo Actualizar la configuracin del Vigilante del agente, donde puede habilitar o deshabilitar el monitoreo en tiempo real de agentes y servicios especficos de LANDesk, elegir una configuracin para el Vigilante del agente o configurar una nueva y especificar un intervalo de tiempo para buscar cambios en la configuracin seleccionada. Informacin de revisiones y seguridad: Abre el cuadro de dilogo Informacin de Revisiones y Seguridad, el cual muestra los datos de rastreo de vulnerabilidad y de reparacin del dispositivo: incluye las vulnerabilidades detectadas y otros riesgos de seguridad, las revisiones instaladas y el historial de reparacin. Rastrear ahora la seguridad y revisiones: Abre un cuadro de dilogo que permite seleccionar las opciones de rastreo y reparacin. A continuacin, haga clic en Aceptar para ejecutar un rastreo de seguridad de inmediato en el dispositivo. Rastrear ahora con LANDesk Antivirus: Abre un cuadro de dilogo que permite seleccionar la configuracin de LANDesk Antivirus. Luego haga clic en Aceptar para ejecutar un rastreo antivirus inmediato en el dispositivo. Administrar usuarios y grupos locales: Abre el cuadro de dilogo Usuarios y grupos locales, el cual permite administrar de forma remota los usuarios y grupos locales de un dispositivo Windows. Cortar: Elimina elementos de un grupo definido por el usuario. No se pueden cortar elementos de los grupos "Todos". Copiar: Crea una copia del elemento que se puede agregar a otro grupo. Pegar. Coloca el elemento que se ha cortado o copiado en un grupo definido por el usuario. Quitar: quita el elemento del grupo definido por el usuario. Eliminar: Elimina el elemento del grupo "Todos" Y, al mismo tiempo, de cualquier otro grupo del que sea miembro. Propiedades: Muestra el resumen de inventario, informacin sobre dispositivos, el estado del agente y la configuracin del control remoto del dispositivo.
Este manual no cubre el posible men de acceso directo de todos los tipos de elementos. Es recomendable que haga clic con el botn secundario en cualquier elemento para ver las opciones que estn disponibles.
270
Los usuarios pueden copiar un conjunto de columnas del grupo Conjuntos de columnas pblicos en su propio grupo Mis conjuntos de columnas y luego modificar las propiedades de los conjuntos de columnas. Puede crear subgrupos bajo el objeto Mis conjuntos de columnas para organizar los conjuntos de columnas an ms.
5.
6.
7.
271
MANUAL DE USUARIO
Restauracin de las columnas predeterminadas originales Para restaurar las columnas predeterminadas en la vista de red, cree un conjunto personalizado de columnas que incluya el nombre de dispositivo, el tipo y los atributos de nombre de SO, y luego aplquelo a los grupos de dispositivos y a los objetos de consulta. O bien, puede utilizar el conjunto de columnas predefinidas de nombre Original en el grupo Mis conjuntos de columnas.
272
De forma similar al campo Alias, una vez que seleccione un valor de clave principal y lo agregue al campo Calificador del componente de software, podr modificarlo de forma manual al hacer clic en el campo.
273
MANUAL DE USUARIO
Actualizar mbito: Actualiza el grupo o elemento seleccionado en la vista de red, en funcin del mbito del usuario que ha iniciado la sesin (tal como se define en la herramienta Usuarios). Disposicin: Muestra un listado de las disposiciones de ventana que tenga guardadas. Seleccione una disposicin de la lista desplegable para restaurar la consola a esa disposicin. Si desea guardar la disposicin actual, haga clic en el botn Guardar la disposicin actual. Servidor central: Muestra un lista de los servidores centrales a los cuales se ha conectado antes (lo cual hace que figuren en la lista). Puede seleccionar un servidor central de la lista o bien escribir el nombre de uno y pulsar Escribir. Se busca el servidor central en la red y si se encuentra, se le solicita que inicie sesin con un nombre de usuario y una contrasea vlidos.
274
El acoplamiento de una ventana de herramientas implica adjuntarla en uno de los vrtices de la consola. Se dice que la ventana se encuentra acoplada cuando est adjunta a un vrtice de la consola. Asimismo, puede desacoplar la ventana de herramientas y dejarla como flotante fuera de la consola. Puede acoplar las ventanas en sentido horizontal o vertical en la consola. Para acoplar una ventana de herramientas 1. 2. Haga clic en la barra de ttulo de la ventana y arrastre la ventana a un vrtice de la consola. Cuando aparezca el rectngulo de acoplamiento (contorno atenuado de la ventana que indica que la ventana se va a acoplar), suelte el botn del ratn. La ventana se adjuntar a ese vrtice de la consola.
Observe que nicamente las ventanas de herramientas (aqullas a las que se puede tener acceso desde el men Herramientas o el Cuadro de herramientas) pueden existir como ventanas acopladas, flotantes o con fichas. Se puede cambiar el tamao de la ventana de vista de red, pero no puede organizar con fichas junto con otras ventanas, convertir en una ventana flotante fuera de la consola o cerrar. Si minimiza y, a continuacin, restaura la ventana principal de la consola, todas las ventanas acopladas y flotantes, incluidas las ventanas con fichas, tambin se minimizan y restauran.
Ocultar automticamente
Las ventanas de herramientas tambin admiten la funcin de ocultar automticamente. Ocultar automticamente es un botn en forma de chincheta en la esquina superior derecha de una ventana que permite mantener una ventana en su lugar u ocultarla. Cuando la chincheta est clavada (por ejemplo, la imagen de la chincheta apunta hacia abajo), la ventana permanecer fija en ese lugar y la funcin de ocultar automticamente estar temporalmente inhabilitada. Cuando la chincheta est desclavada (por ejemplo, la imagen de la chincheta apunta hacia la izquierda) la ventana entra en el modo de ocultar automticamente cuando el cursor se desplaza fuera de ella. Mediante la funcin de ocultar automticamente se minimiza y acopla la ventana en uno de los vrtices de la consola y, en su lugar, se muestra una ficha. El Cuadro de herramientas tambin admite esta funcin.
275
MANUAL DE USUARIO
Para guardar la disposicin actual 1. 2. 3. 4. Configure la interfaz de consola del modo que desee. Haga clic en el botn Disco situado junto a la lista desplegable Disposicin de la barra de herramientas. Escriba un nombre exclusivo para la disposicin. Haga clic en Aceptar.
Barra Buscar
Buscar le permite realizar bsquedas en una lista de elementos que contienen una palabra o frase concretas. La barra Buscar est disponible en la vista de red y las ventanas de herramientas que contienen listas no jerrquicas de elementos. La barra Buscar se muestra, por ejemplo, al visualizar: Grupo Todos los dispositivos Grupo Todas las consultas Grupo de implementaciones de los clientes no administrados pendientes Ventana de la herramienta de deteccin de dispositivos no administrados Todos los informes de activos
Para buscar un elemento con la barra Buscar 1. 2. 3. 4. Seleccione el grupo Todos los dispositivos. La barra Buscar aparece al principio de la lista. En el cuadro de texto Buscar, escriba el texto que desea buscar. En la lista desplegable En la columna, seleccione la columna que desea buscar. Haga clic en el botn de la barra de herramientas Buscar.
La lista resultante muestra slo los elementos que coinciden con los criterios de bsqueda.
Barra de estado
La barra de estado de la parte inferior de la consola muestra la siguiente informacin (de izquierda a derecha):
276
Nmero de elementos seleccionados en un listado Nombre y estado de la tarea actual Nombre del usuario que actualmente ha iniciado sesin Das que faltan para que el servidor central intente comunicarse con el servidor de licencias
Ficha Inventario
La ficha Inventario contiene un resumen de los datos de inventario del dispositivo. Para obtener ms detalles, consulte "Visualizacin de un inventario resumen" en la pgina 337.
Ficha Dispositivo
La ficha Dispositivo contiene informacin bsica acerca de un dispositivo, incluidas su ubicacin e identidad en la red. Esta ficha tambin aparece al insertar manualmente un dispositivo (en el men contextual del grupo Todos los dispositivos, haga clic en Insertar equipo nuevo). Dispositivo: Nombre: El nombre que aparece en la base de datos central y en la vista de red del dispositivo. Si inserta un dispositivo de forma manual, podr asignar un nombre fcil de recordar. Si no escribe un nombre, el nombre predeterminado del dispositivo ser el nombre del equipo Windows. Tipo: El tipo de dispositivo como, por ejemplo, Windows 2000 Server o XP Workstation. Red: Nombre de IP: El nombre del equipo Windows del dispositivo. Direccin IP: La direccin IP asignada al dispositivo.
277
MANUAL DE USUARIO
Ficha Agentes
La ficha Agentes contiene informacin acerca del estado actual de los agentes y la configuracin del control remoto del dispositivo. Estado del CBA (Common Base Agent): Indica si el agente LANDesk estndar (Agente base comn) est cargado en el dispositivo. Estado del Administrador de sistema de LANDesk: Indica si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo. Este agente nicamente se cargar si tiene el Administrador de sistema de LANDesk instalado en el servidor central y si ha implementado el agente de Administrador de sistema en este dispositivo. Para obtener ms informacin, consulte "Configuracin de agentes de dispositivo" en la pgina 314. Estado del agente de control remoto: Indica si el agente de control remoto est cargado en el dispositivo. Si este agente no est cargado en el dispositivo, las operaciones de control remoto (como por ejemplo, la transferencia de archivos y la conversacin) no estarn disponibles. Tipo de seguridad: Indica el modelo de seguridad de control remoto utilizado para el dispositivo. Entre las opciones se incluyen: Plantilla local, Seguridad de Windows NT/plantilla local y Basada en certificado/plantilla local. Permitir: Muestra las operaciones de control remoto que se permiten en el dispositivo. Estas operaciones se habilitaron en la configuracin del agente de dispositivo. Configuracin: Indica el modo en que funciona el control remoto cuando intenta interactuar con el dispositivo.
La deteccin de agentes utiliza TCP/IP para comprobar los agentes que se ejecutan en los dispositivos. Se utilizan las direcciones IP se utilizan como criterio de bsqueda para llevar a cabo una deteccin de agentes LANDesk estndar con TCP/IP. LANDesk busca los agentes LANDesk estndar y de control remoto en los dispositivos en un mbito especfico de direcciones IP. Este mbito de direcciones depender de la direccin de red IP que se proporcione. Si no designa direcciones de red de subred cuando realiza la bsqueda en TCP/IP, la deteccin se realiza nicamente en el segmento de red en el que reside la consola que inicia la deteccin. Por ejemplo, si ha instalado cuatro consolas y cada una reside en un segmento de red diferente, deber iniciar cuatro rastreos, uno desde cada una de las cuatro consolas.
278
En los segmentos de red en los que no existen consolas, DEBER utilizar direcciones de red de subredes para tener acceso a la informacin de ese segmento de red. Nota sobre los servidores de seguridad: Si dispone de uno o ms servidores de seguridad en la red, la deteccin de agentes no se puede utilizar para buscar fuera de los servidores de seguridad, ya que stos generalmente limitan el flujo del trfico de paquetes a los puertos designados. Para configurar las opciones de deteccin de agentes 1. 2. Haga clic en Configurar | Opciones de deteccin del agente. Seleccione si desea que la deteccin de agentes actualice el estado del agente nicamente para el elemento seleccionado en la vista de red o todos los elementos visibles en sta. Especifique la frecuencia de actualizacin del estado del agente. Configure el modo en que desea detectar el agente de control remoto y establecer prioridad entre los mtodos de resolucin de direcciones. Especifique el tiempo de espera durante el que la deteccin de agentes intentar detectar el agente de control remoto en el dispositivo. Haga clic en Aceptar.
3. 4. 5. 6.
279
MANUAL DE USUARIO
280
3. 4. 5.
6.
Seleccione la alerta que desea configurar y haga clic en Configurar. Seleccione una accin de alerta y haga clic en Siguiente. Seleccione el dispositivo en el que desea que se lleve a cabo la accin de alerta. No seleccione el dispositivo que est supervisando puesto que si se queda sin conexin, no podr procesar la accin de alerta. Finalice el asistente para la configuracin de alertas.
Nota: Cuando configura las alertas, la configuracin se aplica a todos los dispositivos que est supervisando.
281
MANUAL DE USUARIO
Nota: los usuarios que no tengan derechos de Administrador, no podrn ver la herramienta Usuarios. Puede crear funciones para los usuarios segn sus responsabilidades, las tareas de administracin que desea que realicen y los dispositivos a los que desea que tengan acceso, vean y administren. El acceso a los dispositivos se puede limitar a una ubicacin geogrfica como un pas, regin, estado, ciudad o incluso una sola oficina o departamento. El acceso tambin se puede limitar a una plataforma de dispositivo, tipo de procesador o cualquier otro atributo de hardware o software determinado del dispositivo. Con la administracin basada en funciones, puede elegir el nmero de funciones que desea crear, qu usuarios pueden actuar en dichas funciones y la dimensin del mbito de acceso al dispositivo. Por ejemplo, puede haber uno o ms usuarios cuya funcin sea la de administrador de distribucin de software, otro usuario responsable de las operaciones de control remoto, un usuario que ejecute informes, etc.
282
Configurar servidores centrales, instalar consolas Administrador de adicionales, realizar resmenes de bases de LANDesk datos, administrar usuarios, configurar alertas, (todos los derechos integrar el Administrador de sistema de LANDesk, implcitos) etc. (Los administradores con derechos completos pueden realizar cualquier tarea de administracin).
Detectar dispositivos, configurar dispositivos, ejecutar el rastreo de inventario, crear y distribuir formularios de datos personalizados, activar el seguimiento del historial de inventario, etc.
Deteccin de dispositivos no administrados, distribucin de software, configuracin de distribucin de software y administracin de consultas pblicas
Asistencia tcnica Controlar de forma remota a los dispositivos, conversar, transferir archivos, ejecutar software, apagar, reiniciar, ver el agente e integridad, etc.
Control remoto
Administrador de aplicaciones
Distribuir paquetes de software, utilizar la multidifusin dirigida y la descarga entre iguales, etc.
Administrador de migracin
Crear imgenes, implementar imgenes del SO, Implementacin de SO migrar perfiles de usuario, crear y distribuir paquetes de migracin de perfiles iniciados por el usuario, implementar representantes de PXE, asignar colas de espera de PXE, configurar el men de inicio de PXE, crear discos de inicio, etc.
Administrador de
283
MANUAL DE USUARIO
Funcin informes
Configurar aplicaciones para su monitoreo, agregar licencias, actualizar y degradar licencias, comprobar informes, etc.
Descargar actualizaciones de contenido de seguridad y revisiones, configurar dispositivos para el rastreo de seguridad y antivirus, crear rastreos de vulnerabilidades y configurar los ajustes del rastreador de seguridad, crear rastreos de antivirus y configurar los ajustes de antivirus, editar variables personalizadas y configurar ajustes de reemplazo de variable personalizada y muchas otras tareas relacionadas con la seguridad.
Administrador de Seguridad y Revisiones Cumplimiento de seguridad y revisiones Antivirus Editar variables personalizadas
Nota: algunas de las funciones administrativas de ejemplo requieren el derecho de consola Web bsico a fin de utilizar las funciones en la consola Web. Los anteriores slo son ejemplos de funciones administrativas. La administracin basada en funciones es lo suficientemente flexible para permitirle crear tantas funciones personalizadas como sea necesario. Puede asignar los mismos derechos a varios usuarios, aunque deber restringir el acceso a una serie limitada de dispositivos con un mbito reducido. Se puede limitar incluso el mbito de un administrador, sobre todo si pasa a ser administrador de un rea geogrfica o un tipo de dispositivo administrado especficos. El modo en que aproveche las ventajas de la administracin basada en funciones depende tanto de los recursos de red y personal como de sus necesidades concretas. Para implementar y hacer efectiva la administracin basada en funciones, slo tiene que designar a los usuarios actuales de NT o crear y agregar nuevos usuarios de NT, como los usuarios de LANDesk, y asignarles a continuacin los derechos (para las funciones) y mbitos (para los dispositivos administrados) necesarios.
284
El usuario que ha iniciado la sesin en el servidor durante la instalacin de LANDesk se coloca automticamente en el grupo de LANDesk Management Suite de Windows NT, se agrega como usuario de LANDesk y se le asignan derechos como administrador. Este individuo es responsable de agregar usuarios a la consola y asignar derechos y mbitos. Una vez que se han creado los dems administradores, stos pueden realizar las mismas tareas administrativas. Todos los usuarios agregados a la consola tras la instalacin de LANDesk asumen los mismos derechos y mbitos que el Usuario de plantilla predeterminado. Este usuario funciona como plantilla de propiedades del usuario (derechos y mbito) que se utiliza para configurar nuevos usuarios. Cuando se agregan usuarios al grupo de LANDesk Management Suite en el entorno de Windows NT, los usuarios heredan los mismos derechos y mbitos definidos actualmente en las propiedades del usuario de plantillas predeterminado. Para cambiar la configuracin de propiedades para el usuario de plantillas predeterminado, haga doble clic en l y haga clic en Propiedades. La capacidad para configurar los derechos y mbitos que los usuarios reciben al ser agregados a la consola, facilita considerablemente la administracin de usuarios. Por ejemplo, si desea agregar un elevado nmero de usuarios a la vez pero no desea que tengan acceso a todas las herramientas o dispositivos, primero debe cambiar la configuracin del usuario de plantillas predeterminado y agregar a continuacin los usuarios al grupo de LANDesk Management Suite. Nota: El usuario de plantillas predeterminado no se puede eliminar. Al agregar un usuario a la consola, se muestran el nombre de usuario, los mbitos y los derechos. Adems, se crean subgrupos para el nuevo usuario, con el ID exclusivo de inicio de sesin del usuario, en los grupos Dispositivos de usuario, Consultas de usuarios, Informes de usuarios y Secuencias de usuario (tenga en cuenta que adems del usuario actual, SLO el administrador puede ver los grupos de usuarios). Para actualizar el grupo Todos los usuarios y mostrar los usuarios recin aadidos, haga clic con el botn derecho en Todos los usuarios y haga clic en Actualizar.
4. 5. 6.
Nota: Recuerde agregar el usuario al grupo de LANDesk Management Suite para que aparezca en el grupo Todos los usuarios de la consola.
285
MANUAL DE USUARIO
Para crear un usuario de LANDesk en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. 3. 4. 5. 6. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Usuarios. Haga clic con el botn secundario en Usuarios y, a continuacin, haga clic en Nuevo usuario. En el cuadro de dilogo Nuevo usuario, escriba un nombre y una contrasea. Especifique la configuracin de la contrasea. Haga clic en Crear. El cuadro de dilogo Nuevo usuario permanece abierto para que pueda crear usuarios adicionales. Haga clic en Cerrar para salir del cuadro de dilogo.
Nota: Recuerde agregar el usuario al grupo de LANDesk Management Suite para que aparezca en el grupo Todos los usuarios de la consola.
Para agregar usuarios al grupo de LANDesk Management Suite en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Grupos. Haga clic con el botn secundario en el grupo de LANDesk Management Suite y, a continuacin, seleccione Agregar al grupo.
286
3. 4. 5. 6.
En el cuadro de dilogo Propiedades de LANDesk Management Suite, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios y grupos, seleccione los usuarios (y grupos) que desee y haga clic en Agregar. Haga clic en Aceptar. En el cuadro de dilogo Propiedades de LANDesk Management Suite, haga clic en Aceptar.
Nota: Para agregar un usuario al grupo de LANDesk Management Suite, tambin puede hacer clic con el botn derecho en la cuenta de usuario de la lista de usuarios, hacer clic en Propiedades | Miembro de y, a continuacin, hacer clic en Agregar para seleccionar el grupo y agregar el usuario. Ahora puede asignar los derechos y mbitos de usuario de LANDesk.
Para eliminar un usuario en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. 3. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Usuarios. Haga clic con el botn secundario en el usuario que desee eliminar y haga clic en Eliminar. Haga clic en S para verificar el procedimiento.
287
MANUAL DE USUARIO
Para eliminar de forma permanente un usuario de la base de datos 1. Asegrese de que el usuario se ha eliminado del grupo LANDesk Management Suite de Windows NT en la consola o en el cuadro de dilogo Administracin de equipos de Windows NT. En la consola, haga clic en Herramientas | Administracin | Usuarios. Haga clic con el botn secundario en el usuario (con una X roja) y haga clic en Eliminar. Recuerde que esta accin resulta en la prdida permanente de los datos del usuario. Haga clic en S para verificar el procedimiento.
2. 3. 4.
Administracin de grupos
LANDesk interacta con Microsoft Active Directory Services* (ADS) a fin de asignar derechos a grupos y unidades de organizacin (OU). Cualquier usuario, grupo u OU que se agregue al grupo u OU, heredar los mismos derechos. Para clasificar los usuarios, colquelos en grupos y OU a los cuales se hayan asignado derechos especficos. Solamente debe asignar al grupo u OU los derechos especficos y luego agregar los usuarios deseados, en lugar de configurar los derechos para cada usuario, uno a la vez. Esto simplifica la administracin de usuarios y acelera la asignacin de derechos, al igual que reduce la probabilidad de asignar derechos de forma incorrecta a los usuarios.
288
Para activar los directorios a fin de que funcionen debidamente con la administracin basada en funciones, debe configurar las credenciales del servidor COM+ en el servidor central. Esto permite que el servidor central utilice una cuenta en el grupo LANDesk Management Suite de Windows NT, la cual cuenta con los derechos necesarios para enumerar los miembros del dominio Windows, tal como la cuenta de administrador. Para obtener instrucciones sobre cmo realizar la configuracin, consulte Configuracin de credenciales del servidor COM+.
Para obtener ms informacin sobre LDAP, incluso las consultas LDAP, consulte "Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP) " en la pgina 332.
4.
289
MANUAL DE USUARIO
1. 2. 3. 4.
Haga clic en Herramientas | Administracin | Usuarios. Haga clic en Active Directories. Haga clic con el botn secundario en el grupo u OU y haga clic en Propiedades. Bajo la ficha Derechos, seleccione los derechos correspondientes y haga clic en Aceptar.
La administracin basada en funciones incluye los derechos siguientes: Administrador de LANDesk Configuracin de agentes Alertas Configuracin de activos Entrada de datos de activos Consola Web bsica Administrador del control de conexiones Implementacin de SO Aprovisionamiento - Configuracin Aprovisionamiento - Programacin Administracin de consultas pblicas Control remoto Informes Administrador de Seguridad y Revisiones Administrador de revisiones Cumplimiento de revisiones Antivirus Editar variables de revisin personalizadas Host Intrusion Prevention System Distribucin de software Configuracin de la distribucin de software (slo privada): Configuracin de la distribucin de software (pblica o privada) Supervisin de licencias de software Deteccin de dispositivos no administrados
Consulte las descripciones que se incluyen a continuacin si desea obtener ms informacin sobre los derechos y el modo en que se pueden utilizar estos derechos para crear funciones administrativas.
290
El mbito controla el acceso a los dispositivos Recuerde que al utilizar las funciones permitidas por estos derechos, los usuarios siempre estarn limitados por su mbito (los dispositivos que pueden ver y manipular).
Administrador de LANDesk
El derecho de administrador (Admin) de LANDesk proporciona un acceso completo a todas las herramientas de aplicacin (no obstante, el uso de estas herramientas est limitado a los dispositivos incluidos en el mbito del administrador). Es el derecho predeterminado de un usuario recin agregado, a menos que haya modificado la configuracin del usuario de plantillas predeterminado. El derecho de administrador de LANDesk confiere a los usuarios capacidad para: Ver y acceder a la herramienta Usuarios del men Herramientas y el Cuadro de herramientas Ver y administrar los grupos de Dispositivos de usuarios en la Vista de red Ver y administrar los grupos de Consultas de usuarios en la Vista de red Ver y administrar los grupos de Secuencias de usuario en la ventana Administrar secuencias de comandos Ver y administrar los grupos de Informes de usuario en la ventana Informes Ver y configurar licencias de productos en el men Configurar Ver y configurar el Escritorio ejecutivo (slo los administradores obtienen un vnculo de la consola Web que les brinda acceso al escritorio ejecutivo) Importante: Realizar TODAS las tareas de Management Suite permitidas por el resto de los derechos
Reglas bsicas sobre los derechos y las herramientas El derecho de administrador de LANDesk se asocia exclusivamente con la herramienta Usuarios. En otras palabras, si un usuario no tiene derechos de administrador de LANDesk, la herramienta Usuarios no aparecer en la consola. Todos los usuarios, sin considerar los derechos asignados a ellos, pueden ver y utilizar las siguientes funciones universales. opciones de inventario, historial de alertas, consultas y configuracin de alertas. Todas las dems herramientas de la consola de Management Suite estn asociadas al derecho correspondiente (como se describe a continuacin).
Configuracin de agentes
El derecho a la Configuracin de agentes ofrece a los usuarios la posibilidad de abrir la herramienta de configuracin de agentes y programar una tarea de configuracin de agentes. Alertas El derecho a la configuracin de alertas ofrece a los usuarios la posibilidad de abrir la herramienta de alerta y configurarlas.
291
MANUAL DE USUARIO
Configuracin de activos
El derecho de configuracin de activos es especfico al producto complementario Asset Manager. Si no se ha instalado el producto complementario, los derechos correspondientes an figuran en la lista de LDMS (estn marcados), pero estn atenuados. Por supuesto, las herramientas y funciones respectivas de los productos complementarios no estn disponibles. Despus que se instala un producto complementario, los derechos respectivos se activan en la lista y pueden marcarse para permitir el acceso a las funciones complementarias o desmarcarse para denegar el acceso. Para obtener ms informacin, consulte Uso del complemento Asset Manager. El derecho de Configuracin de activos es un derecho de nivel administrativo que brinda a los usuarios la capacidad para: Ver y acceder a todos los vnculos de administracin de activos de la consola Web: Activos, Contratos, Facturas, Proyectos, Listas globales, Plantillas de detalles e Informes. (Y el nuevo vnculo Acceso a activos.) Crear tipos nuevos Editar tipos (predefinidos y personalizados) Eliminar tipos Crear, editar y eliminar subgrupos utilizados para organizar tipos Crear detalles nuevos para tipos Editar detalles (predefinidos y personalizados) Crear y modificar plantillas de detalles Crear y modificar tablas de detalles Crear, editar y eliminar secciones utilizadas para organizar detalles Realizar todas las tareas de Asset Manager permitidas por el resto de los derechos que se especifican a continuacin.
292
Implementacin de SO
El derecho de implementacin de SO confiere a los usuarios capacidad para: Ver y acceder a la herramienta Administrar secuencias de comandos del men Herramientas y el Cuadro de herramientas Crear y ejecutar la implementacin de SO y las secuencias de comandos de migracin de perfiles Programar las tareas de implementacin de SO y migracin de perfiles Configurar los representantes de PXE con la secuencia de comandos de implementacin de representantes PXE Designar colas de espera de PXE Configurar el men de inicio de PXE Crear e implementar formularios de datos personalizados
Aprovisionamiento - Configuracin
El derecho de Aprovisionamiento - Configuracin le permite a los usuarios crear y modificar plantillas de aprovisionamiento.
Aprovisionamiento - Programacin
El derecho de aprovisionamiento - programacin le permite a los usuarios programar las plantillas de aprovisionamiento existentes para que se ejecuten en los dispositivos de destino.
293
MANUAL DE USUARIO
Haga clic en el botn Configuracin del control remoto en la parte inferior del dilogo para configurar derechos de control remoto y restricciones de tiempo especficos.
Informes
Para utilizar la herramienta de informes debe pertenecer al grupo Informes de LANDesk de Windows NT y recibir el derecho Informes. El derecho de informes confiere a los usuarios capacidad para: Ver y utilizar la herramienta Informes del men Herramientas y el Cuadro de herramientas Ejecutar informes predefinidos Ver informes que se han ejecutado Crear y ejecutar informes de activos personalizados Publicar informes a fin de que estn disponibles para los usuarios que tienen credenciales de acceso
294
Configurar dispositivos para el rastreo en tiempo real de spyware y de aplicaciones bloqueadas Configurar dispositivos para el rastreo de alta frecuencia de riesgos de seguridad crticos Descargar las actualizaciones de seguridad (definiciones y reglas de deteccin) y las revisiones asociadas a los tipos de seguridad para los cuales posee una suscripcin de contenido de Security Suite Crear tareas programadas que descargan definiciones o actualizaciones de revisiones de forma automtica Crear definiciones de vulnerabilidad y reglas de deteccin personalizadas Importar, exportar y eliminar definiciones personalizadas Ver el contenido de seguridad y revisin descargado por tipo (incluye: todos los tipos, aplicaciones bloqueadas, definiciones personalizadas, actualizaciones de LANDesk, amenazas de seguridad, spyware, vulnerabilidades, actualizaciones de controladores y actualizaciones de software) Personalizar las amenazas de seguridad seleccionadas con variables personalizadas Configurar y ejecutar rastreos de seguridad en dispositivos administrados en forma de tarea programada o de directiva Dividir el rastreo de una tarea programada en una fase de preparacin y una de implementacin Crear y configurar las configuraciones de rastreo y reparacin que determinan las opciones de rastreo, tales como: el tipo de contenido que rastrear, la visualizacin de la informacin y el progreso del rastreador, el comportamiento del reinicio del dispositivo y la cantidad de interaccin con el usuario final A continuacin, aplique las configuraciones de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio. Ver los resultados detallados del rastreo (datos de seguridad detectados) ordenados por: grupo detectado, definicin especfica, dispositivo individual o grupo de dispositivos seleccionados Realizar la reparacin en forma de tarea programada o de directiva Utilizar la correccin automtica para reparar de forma automtica los tipos de seguridad siguientes, si se detectan: vulnerabilidades, spyware, actualizaciones de software LANDesk y definiciones personalizadas (debe ser administrador de LANDesk). Controlar y verificar el estado de la implementacin y la instalacin de revisiones (historial de reparacin) en dispositivos rastreados. Purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de LANDesk) Desinstalar revisiones de dispositivos rastreados Quitar revisiones de la base de datos central Configurar alertas de vulnerabilidad Generar una variedad de informes relacionados con la seguridad (tambin requiere el derecho de Informes)
295
MANUAL DE USUARIO
Nota: Aunque tenga este derecho, un usuario no puede configurar los servicios del NAC de LANDesk, tales como agregar servidores de postura o reparacin o configurar y publicar reglas de cumplimiento. El usuario debe ser administrador de LANDesk para poder configurar el NAC de LANDesk.
Antivirus
El derecho de Antivirus es un derecho subordinado del derecho del Administrador de Seguridad y Revisiones. Confiere a los usuarios capacidad para: Implementar configuraciones de agente con LANDesk Antivirus en los dispositivos de destino Descargar actualizaciones de archivos de definiciones de virus Crear actualizaciones programadas de archivos de definiciones de virus Crear tareas programadas de rastreo de antivirus Crear y editar configuraciones de antivirus Habilitar la proteccin en tiempo real de archivos y mensajes de correo electrnico Configurar rastreos de antivirus para rastrear determinados tipos de archivos Excluir determinados archivos, carpetas y tipos de archivos (por extensin) de los rastreos de antivirus Visualizar la informacin de actividad y estado de rastreo del antivirus en los dispositivos rastreados Habilitar alertas de antivirus Generar informes de antivirus
Distribucin de software
El derecho de distribucin de software confiere a los usuarios capacidad para: Ver y acceder a la herramienta Administrar secuencias de comandos del men Herramientas y el Cuadro de herramientas. Los usuarios pueden crear secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos. Ver y acceder a la herramienta Programar tareas del men Herramientas y el Cuadro de herramientas. Los usuarios pueden programar secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos.
296
Ver y acceder a las herramientas Mtodos de entrega y Paquetes de distribucin en el men Herramientas y Cuadro de herramientas (solamente se pueden seleccionar los elementos) Ejecutar secuencias de comandos para la distribucin de software. Los usuarios pueden crear y programar secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos. Ejecutar configuraciones de agente de dispositivo (no se puede crear, editar ni eliminar) Programar otras tareas basadas en secuencias de comandos (con la excepcin de la implementacin del SO y las secuencias de comandos de migracin de perfiles) Implementar formularios de datos personalizados. Los usuarios pueden crear, editar y eliminar formularios personalizados, incluso los creados por otros usuarios. Ver directorios LDAP
Nota: los usuarios requieren el derecho de consola Web bsico para utilizar la distribucin de software en la consola Web.
297
MANUAL DE USUARIO
Creacin de mbitos
El mbito define los dispositivos que puede visualizar y administrar el usuario de Management Suite. El mbito puede tener una dimensin tan amplia o reducida como desee y abarcar as todos los dispositivos administrados que se rastrean en la base de datos central o bien un solo dispositivo. Esta flexibilidad, combinada con el acceso a las herramientas modulares, es lo que hace que la administracin basada en funciones sea una funcin de administracin tan verstil.
mbitos predeterminados
La administracin basada en funciones de Management Suite incluye un mbito predeterminado. Este mbito predefinido puede resultar til al configurar las propiedades del usuario de plantillas predeterminado. mbito predeterminado Todos los equipos: Incluye todos los dispositivos administrados de la base de datos.
mbitos personalizados
Existen tres de mbitos personalizados que puede crear y asignar a los usuarios: Consulta LDMS: controla el acceso tan slo a aquellos dispositivos que coinciden con una bsqueda de consultas personalizadas. Puede seleccionar una consulta existente o crear consultas nuevas en el cuadro de dilogo Propiedades de mbito, para definir un mbito. Tenga en cuenta que tambin puede copiar las consultas de los grupos Consultas de la vista de red directamente en el grupo mbitos. Para obtener ms informacin sobre la creacin de consultas, consulte "Creacin de consultas de base de datos" en la pgina 325.
298
LDAP: controla el acceso solamente a los dispositivos recopilados por el rastreador de inventario que se encuentran en una estructura de directorio compatible con LDAP. Seleccione ubicaciones de directorios en el cuadro de dilogo Seleccionar dispositivos visibles para definir un mbito. Este tipo de mbito basado en directorios admite las ubicaciones de directorios personalizadas (si ingres rutas de directorio personalizadas como parte de la configuracin de agentes). Los directorios personalizados disponibles aparecen en el dilogo Seleccionar dispositivos visibles. Utilice directorios personalizados para definir un mbito si no se dispone de una estructura de directorios compatible con LDAP, o si desea limitar el acceso a los dispositivos por un detalle especfico de organizacin, como la ubicacin geogrfica o el departamento. Grupo de dispositivos: controla solamente el acceso a los dispositivos que pertenecen a un grupo de dispositivos especfico en la vista de red.
A un usuario de Management Suite se le puede asignar uno o ms mbitos al mismo tiempo. Adems, un mbito puede asociarse a varios usuarios.
Creacin de mbitos
Para crear un mbito 1. 2. 3. 4. Haga clic en Herramientas | Administracin | Usuarios. Haga clic con el botn secundario en mbitos y seleccione mbito nuevo. En el cuadro de dilogo Propiedades de mbito, escriba un nombre para el nuevo mbito. Para especificar el tipo de mbito que desee crear (consulta LDMS, directorio LDAP o personalizado, o grupo de dispositivos), haga clic en el tipo de mbito deseado en la lista desplegable y en Nuevo. Si est creando un mbito basado en una consulta LDMS, defina la consulta en el cuadro de dilogo Consulta de mbito nuevo y haga clic en Aceptar. Si est creando un mbito basado en directorio, seleccione las ubicaciones (directorio LDAP y/o uno personalizado) en la lista Seleccionar dispositivos visibles y haga clic en Aceptar.
5. 6.
Haga clic en los signos ms (+) y menos (-) para expandir y contraer los nodos del rbol de directorios. Para seleccionar varias ubicaciones a la vez, utilice Ctrl-clic. En el mbito se incluirn todos los nodos del nodo principal seleccionado.
299
MANUAL DE USUARIO
Las ubicaciones de directorio LDAP se determinan mediante la ubicacin del servicio de directorio del dispositivo. Para obtener ms informacin, consulte "Uso de directorios activos" en la pgina 288. Las ubicaciones de directorio personalizado se determinan mediante el atributo de ubicacin de equipo del dispositivo en la base de datos del inventario. Este atributo se define durante la configuracin del agente de dispositivo. 7. 8. Si est creando un mbito basado en un grupo de dispositivos, seleccione un grupo en la lista de grupos de dispositivos disponibles y haga clic en Aceptar. Haga clic en Aceptar de nuevo para guardar el mbito y cierre el cuadro de dilogo.
300
El panel derecho muestra una lista de usuarios, incluyendo su nombre, mbito actual y derechos asignados (el carcter x indica si el derecho se ha habilitado o est activo). Para actualizar esta lista, haga clic con el botn derecho en Todos los usuarios y haga clic en Actualizar. 3. 4. Haga clic con el botn secundario en un usuario y haga clic en Propiedades. En el cuadro de dilogo Propiedades de usuario, haga clic en la ficha Derechos y a continuacin, marque o desmarque los derechos, segn lo desee (consulte "Conocimiento de los derechos" en la pgina 290). Haga clic en la ficha mbitos y defina un mbito compuesto para el usuario seleccionado mediante la adicin y eliminacin de mbitos. Para obtener ms informacin, consulte "Funcionamiento de los mbitos mltiples" en la pgina 299. Haga clic en Aceptar.
5.
6.
Los nuevos derechos y mbito se muestran junto al nombre del usuario en la lista y surten efecto la prxima vez que el usuario se conecta al servidor central. Nota: Si el usuario tiene ms de un mbito asignado, la columna mbito indica Mltiple.
301
MANUAL DE USUARIO
Configuracin de servicios
Muchas de las funciones ms integrales y fundamentales proporcionadas por los componentes de LANDesk, tales como el servidor de inventario y el servicio programador, pueden y deben configurarse a fin de optimizar el rendimiento del entorno de red particular. Para hacer esto, utilice el subprograma Configurar los servicios de LANDesk que puede ejecutar en el grupo de programas del men Inicio de LANDesk. La configuracin de servicios est restringida solamente a los administradores de LANDesk Solamente los usuarios con derechos de administrador de LANDesk pueden modificar la configuracin de los servicios. Adems, la opcin Configurar servicios est disponible nicamente en la consola principal y no en las consolas adicionales que se configuren. Lea este captulo para obtener informacin sobre: "Seleccin de un servidor y una base de datos centrales con la configuracin General" en la pgina 302 "Configuracin del servicio de Inventario" en la pgina 303 "Resolucin de registros de dispositivo duplicados en la base de datos" en la pgina 305 "Configuracin del servicio programador" en la pgina 307 "Configuracin de credenciales del servidor preferido" en la pgina 309 "Configuracin del servicio de tareas personalizadas" en la pgina 310 "Configuracin del servicio de multidifusin" en la pgina 311 "Configuracin del servicio de implementacin de SO" en la pgina 312 Managing Intel* vPro devices
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha General
Utilice este cuadro de dilogo para seleccionar el servidor y la base de datos centrales para los que desea configurar un servicio especfico. A continuacin, seleccione la ficha de servicios oportuna y especifique la configuracin para ese servicio. Nombre del servidor:muestra el nombre del servidor central al que est actualmente conectado.
302
Servidor:le permite escribir el nombre de un servidor central diferente y el directorio de la base de datos del mismo. Base de datos:le permite escribir el nombre de la base de datos central. Nombre de usuario: Identifica un usuario con credenciales de autenticacin a la base de datos central (especificada durante la configuracin). Contrasea: Identifica la contrasea de usuario necesaria para tener acceso a la base de datos central (especificada durante la configuracin). Base de datos Oracle:indica que la base de datos central especificada anteriormente es de Oracle. Actualizar configuracin: Restaura la configuracin que exista al abrir el cuadro de dilogo.
Al especificar los nombres de usuario y las contraseas de una base de datos, el nombre de usuario y la contrasea no pueden contener un apstrofe ('), un punto y coma (;) o un signo de igual (=).
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Inventario
Utilice esta ficha para especificar las opciones de inventario siguientes: Nombre del servidor:muestra el nombre del servidor central al que est actualmente conectado. Registrar estadsticas: Mantiene un registro de las acciones y estadsticas de la base de datos central. Puede ver los datos de registro en el registro de Aplicacin del Visor de eventos de Windows. Transporte de datos cifrados: habilita el rastreador de inventario para enviar los datos de inventario del dispositivo rastreado de regreso al servidor central como datos cifrados a travs de SSL. Rastrear el servidor en: Especifica la hora en que se rastrear el servidor central. Realizar el mantenimiento en: Especifica la hora en que se realizar el mantenimiento estndar de la base de datos central. Das que conservar los rastreos de inventario: Define el nmero de das anteriores a la eliminacin del registro de rastreo de inventario. Inicios de sesin del propietario primario: Define el nmero de veces que el rastreador de inventario realiza un seguimiento de los inicios de sesin para determinar el propietario primario de un dispositivo. El propietario principal es el usuario que ha iniciado sesin la mayora de las veces dentro de este nmero especificado de inicios de sesin. El valor predeterminado es 5 y los valores mnimo y mximo son 1 y 16 respectivamente. Si todos los inicios de sesin son exclusivos, el ltimo usuario que ha iniciado una sesin se considera el propietario principal. Un dispositivo slo puede tener un propietario principal asociado cada vez. Los datos de inicio de sesin del usuario principal incluyen el nombre completo del usuario en formato ADS, NDS, nombre de dominio o nombre local (en este orden), as como tambin la fecha del ltimo inicio de sesin.
303
MANUAL DE USUARIO
Avanzada: Muestra el cuadro de dilogo Configuracin avanzada. Aqu puede cambiar la configuracin avanzada pertinente al inventario. Al hacer clic en cada uno de los elementos, el texto de ayuda aparece en la parte inferior del cuadro dilogo y explica cada opcin. Los valores predeterminados deben ser adecuados para la mayora de las instalaciones. Para cambiar un valor, haga clic en l, cambie el Valor y haga clic en Establecer. Al finalizar, reinicie el servicio de inventario. Software: Muestra el cuadro de dilogo Valores del Rastreo de software. Especifique en qu momento se ejecuta el rastreo de software y por cunto tiempo se guarda el historial de inventario. Administrar duplicados: Dispositivos: Abre el cuadro de dilogo Dispositivos duplicados, en el cual puede configurar la forma en que se manejan los dispositivos duplicados. Administrar duplicados: ID de dispositivo: Abre el cuadro de dilogo Id. de dispositivos duplicados desde donde se pueden seleccionar atributos que identifican de modo exclusivo a los dispositivos. Puede utilizar esta opcin para evitar rastrear Id. de dispositivos duplicados en la base de datos central (consulte "Resolucin de registros de dispositivo duplicados en la base de datos" en la pgina 305). Estado del servicio de inventario: Indica si el servicio se inicia o se detiene en la base de datos central. Iniciar: Inicia el servicio en el servidor central. Detener: Detiene el servicio en el servidor central. Reiniciar: reinicia el servicio en el servidor central.
304
De forma predeterminada, el servicio de inventario inserta todos los atributos de rastreo en la base de datos. Los cambios que realice en el filtro de atributos no tendrn efecto en los datos que ya se encuentran en la base de datos. A fin de limitar los datos que se almacenan, realice los pasos siguientes. Para configurar el filtro de datos de rastreo de inventario 1. 2. Haga clic en Configurar | Servicios | ficha Inventario| botn Atributos. Los atributos de la columna Atributos seleccionados de la derecha se insertan en la base de datos. Coloque los atributos que no desee incluir en la base de datos en la columna Atributos disponibles de la izquierda. Para reiniciar el servicio de inventario, haga clic en Reiniciar en la ficha Inventario. Haga clic en Aceptar.
3. 4.
3. 4.
305
MANUAL DE USUARIO
5. 6.
Haga clic en Aceptar para guardar la configuracin y regresar al cuadro de dilogo Configuracin de inventario. (Opcional) Si tambin desea resolver los dispositivos duplicados por nombre y/o direccin, haga clic en Dispositivos para abrir el cuadro de dilogo Dispositivos duplicados, en el cual puede especificar las condiciones cuando se eliminan dispositivos duplicados, como por ejemplo, cuando coinciden los nombres de los dispositivos, cuando coinciden las direcciones MAC o cuando coinciden ambos.
306
Configure "TaskRefreshIntervalSeconds" en el nmero de segundos entre las actualizaciones de una tarea activa. Configure "TaskAutoRefreshIntervalSeconds" para el intervalo de actualizacin de toda la ventana Tareas programadas.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Programador
Utilice esta ficha para ver el nombre del servidor y la base de datos centrales que se seleccionaron previamente as como para especificar las opciones de tareas programadas siguientes: Nombre de usuario: Nombre de usuario con el que se ejecutar el servicio de tareas programadas. Para cambiarlo haga clic en el botn Cambiar inicio de sesin. Nmero de segundos entre reintentos: Cuando una tarea programada se configura con varios reintentos, esta configuracin controla el nmero de segundos que el programador esperar antes de reintentar la tarea. Nmero de segundos para intentar la activacin: Cuando se configura una tarea programada para que utilice Wake On LAN, esta configuracin controla el nmero de segundos que el servicio de tareas programadas esperar para que se active un dispositivo. Intervalo entre las evaluaciones de las consultas: Nmero que indica el periodo de tiempo entre las evaluaciones de las consultas, y la unidad de medida para el nmero (de minutos, horas, das o semanas). Configuracin de reactivacin Wake On LAN: Puerto IP que utilizar el paquete Wake On LAN configurado por las tareas programadas para activar los dispositivos. Estado del servicio programador: Indica si el servicio se inicia o se detiene en la base de datos central. Iniciar: Inicia el servicio en el servidor central. Detener: Detiene el servicio en el servidor central. Reiniciar: reinicia el servicio en el servidor central.
307
MANUAL DE USUARIO
Avanzada: Muestra el cuadro de dilogo Configuracin avanzada del programador. Aqu puede cambiar la configuracin avanzada pertinente al programador. Al hacer clic en cada uno de los elementos, el texto de ayuda aparece en la parte inferior del cuadro dilogo y explica cada opcin. Los valores predeterminados deben ser adecuados para la mayora de las instalaciones. Para cambiar una configuracin, haga clic en ella, luego en Editar, inrgrese un valor nuevo y por ltimo haga clic en Aceptar. Al finalizar, reinicie el servicio de programacin.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Cuadro de dilogo Cambiar inicio de sesin
Utilice el cuadro de dilogo Cambiar inicio de sesin (haga clic en Cambiar inicio de sesin en la ficha Programador) para cambiar el inicio de sesin predeterminado del programador. Tambin puede especificar credenciales alternativas que el servicio programador puede intentar cuando necesite ejecutar una tarea en dispositivos no administrados. Para instalar agentes de LANDesk en dispositivos no administrados, el servicio programador debe tener la capacidad de establecer conexin con dispositivos mediante una cuenta administrativa. La cuenta predeterminada que utiliza el servicio programador es LocalSystem. Por lo general, las credenciales de LocalSystem funcionan en dispositivos que no se encuentran en un dominio. Si los dispositivos estn en un dominio, especifique una cuenta de administrador de dominio. Si desea cambiar las credenciales de inicio de sesin del servicio programador, puede especificar otra cuenta administrativa a nivel de dominio para utilizarla en los dispositivos. Si administra dispositivos a travs de varios dominios, puede agregar credenciales adicionales para el programador. Si desea utilizar una cuenta diferente a LocalSystem para el servicio programador o si desea proveer credenciales alternativas, debe especificar un servicio de inicio de sesin primario para el programador que posea derechos administrativos en el servidor central. Las credenciales alternativas no requieren derechos administrativos en el servidor central, pero s en los dispositivos. El servicio programador intenta las credenciales predeterminadas y utiliza cada credencial especificada en la lista Credenciales alternativas hasta que tiene xito o se terminan las credenciales. Las credenciales especificadas se codifican y almacenan de forma segura en el registro del servidor central. Defina las opciones siguientes para las credenciales predeterminada del programador: Nombre de usuario:escriba el dominio\nombre de usuario o el nombre de usuario predeterminado que el programador va a utilizar. Contrasea:escriba la contrasea para las credenciales especificadas. Confirme la contrasea:vuelva a escribir la contrasea para confirmarla.
Defina las opciones siguientes para las credenciales adicionales del programador: Agregar: haga clic para agregar el nombre de usuario y la contrasea especificados a la lista de credenciales alternas. Quitar:haga clic para quitar las credenciales seleccionadas de la lista. Modificar:haga clic para cambiar las credenciales seleccionadas.
308
Cuando agregue credenciales alternativas, especifique lo siguiente: Nombre de usuario:escriba el nombre de usuario que el programador va a utilizar. Dominio:escriba el dominio para el nombre de usuario especificado. Contrasea:escriba la contrasea para las credenciales especificadas. Confirme la contrasea:vuelva a escribir la contrasea para confirmarla.
Cuando se controla el acceso al servidor preferido a travs de rangos de direcciones IP, observe que los dispositivos que se encuentran dentro del mismo dominio de multidifusin comparten sus archivos de configuracin y pueden utilizar los mismos servidores, aunque algunos no se encuentran en un rango de direcciones IP del servidor preferido en particular.
309
MANUAL DE USUARIO
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Tareas personalizadas
Utilice esta ficha para configurar las opciones siguientes de tareas personalizadas: Opciones de ejecucin remota Deshabilitar ejecucin por TCP: inhabilita TCP como protocolo de ejecucin remota y utiliza el protocolo de agente LANDesk estndar de forma predeterminada. Inhabilitar ejecucin/transferencia de archivos por CBA: Deshabilita el agente LANDesk estndar como protocolo de ejecucin remota. Cuando el agente LANDesk estndar est deshabilitado y el protocolo TCP no se encuentra en el dispositivo, la ejecucin remota fallar. Habilitar tiempo de espera de ejecucin remota: Habilita un tiempo de espera de ejecucin remota y especifica el nmero de segundos que deben transcurrir hasta que finalice el tiempo de espera. Los tiempos de espera de ejecucin remota se activan cuando el dispositivo enva transacciones de control pero la tarea en el dispositivo est bloqueada o en un bucle. Esta configuracin se aplica a los dos protocolos (TCP o agente LANDesk estndar). El valor se puede establecer entre 300 segundos (5 minutos) y 86.400 segundos (1 da). Habilitar tiempo de espera del cliente: Habilita un tiempo de espera del dispositivo y especifica el nmero de segundos que deben transcurrir hasta que finalice el tiempo de espera. De forma predeterminada, la ejecucin remota por TCP enva una transaccin de control desde el dispositivo al servidor a intervalos de 45 segundos hasta que la ejecucin remota se completa o finaliza el tiempo de espera. Los tiempos de espera del dispositivo se activan cuando el dispositivo no enva una transaccin de control al servidor. Puerto de ejecucin remota (el predet. es el 12174): Puerto a travs del cual tiene lugar la ejecucin remota por TCP. Si se cambia este puerto, se deber cambiar asimismo en la configuracin del dispositivo.
310
Opciones de distribucin Distribuir a <nn> equipos simultneamente: Nmero mximo de dispositivos a los que se distribuir el trabajo personalizado simultneamente.
Opciones de deteccin UDP: Al seleccionar UDP se utiliza un ping UDP al agente LANDesk . La mayora de los componentes de dispositivo de LANDesk dependen del agente LANDesk estndar, de modo que los dispositivos administrados deben tenerlo. Constituye el mtodo de deteccin predeterminado y el ms rpido. Con UDP, tambin puede seleccionar Reintentos y Tiempo de espera del ping de UDP. TCP: al seleccionar TCP se utiliza una conexin HTTP al dispositivo en el puerto 9595. Este mtodo de deteccin tiene la ventaja de que es capaz de funcionar a travs de un servidor de seguridad si se abre el puerto 9595. No obstante, est sujeto a los tiempos de espera de conexin HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser de 20 segundos o ms. Si muchos de los dispositivos de destino no responden a la conexin TCP, la tarea tardar mucho en iniciarse. Ambos:al seleccionar Ambos, el servicio intenta la deteccin primero con UDP, luego con TCP y finalmente con DNS/WINS, si est seleccionado. Inhabilitar difusin en subred:si se selecciona, se deshabilita la deteccin a travs de una difusin de subred. DNS/WINS:si se selecciona, se deshabilita la bsqueda del servicio de nombre para cada dispositivo, si falla el mtodo de deteccin TCP/UDP seleccionado.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Multidifusin
Utilice esta ficha para establecer las opciones de multidifusin siguientes: Utilizar representante de dominio de multidifusin: utiliza la lista de representantes de dominio de multidifusin almacenados en el grupo Configuracin | Dominio de multidifusin, en la vista de red. Usar archivo guardado en cach: consulta cada dominio de multidifusin para averiguar quin podra tener el archivo, por lo que no es necesario descargar el archivo en un representante. Usar archivo de cach antesdel representante de dominio preferido: Cambia el orden de deteccin de modo que Usar archivo guardado en cach sea la primera opcin que se intente. Usar difusin:enva una difusin dirigida por subred para encontrar los dispositivos de esa subred que podran ser representantes de dominio de multidifusin.
311
MANUAL DE USUARIO
Registrar perodo de descarte (das): especifica el nmero de das que se mantendrn las entradas en el registro antes de eliminarse.
Acerca del cuadro de dilogo Configurar servicios de Management Suite: Ficha Despliegue de SO
Utilice esta ficha para asignar los servidores proxy PXE (representantes) de la cola de espera y para especificar las opciones de inicio de PXE. Servidores proxy disponibles: muestra una lista de todos los servidores proxy PXE en la red, identificados por nombre de dispositivo. Esta lista se genera cuando el rastreo de inventario detecta software de PXE (protocolos PXE y MTFTP) que se ejecuta en el dispositivo. Servidores proxy de cola de espera: muestra un listado de los servidores proxy PXE que se han desplazado de la lista de Servidores proxy disponibles y, por lo tanto, designa el proxy como una cola de espera de PXE. Los dispositivos habilitados para PXE que estn en la misma subred que el proxy de cola de espera de PXE se agregarn automticamente al grupo de Cola de espera de PXE de la vista de red de la consola cuando se inicie PXE. Posteriormente, los dispositivos se pueden programar para una tarea de implementacin de imgenes. Restablecer: este botn hace que todos los dispositivos habilitados para PXE en la misma subred que el representante de PXE seleccionado vuelvan a entrar en el grupo de la Cola de espera de PXE en la vista de red de la consola. Posteriormente, los dispositivos se pueden programar para una tarea de creacin de imgenes. El botn Restablecer se activa cuando se selecciona un proxy de PXE en la lista de servidores proxy de la cola de espera.
Nota: Los cambios realizados aqu a las opciones de inicio de PXE no surtirn efecto en ninguno de los representantes de PXE hasta que se ejecute la secuencia de comandos de implementacin de representantes PXE en ese representante. Tiempo de espera: Indica por cunto tiempo se mostrar la indicacin de inicio antes de que finalice el tiempo de espera y se reanude el proceso de inicio predeterminado. 60 es el nmero mximo de segundos que se puede indicar.
312
Mensaje: especifica el mensaje de indicacin de inicio de PXE que aparece en el dispositivo. Puede escribir cualquier mensaje que desee en el cuadro de texto, con un mximo de 75 caracteres de longitud.
La contrasea no debe tener ms de 15 caracteres y los mismos deben ser nmeros (0-9) o letras maysculas o minsculas (a-z).
313
MANUAL DE USUARIO
La ventana Configuracin de agentes permite crear nuevas configuraciones de agente para los dispositivos de Windows, Linux y Macintosh. Las configuraciones de agente creadas se instalan automticamente en los clientes mediante la ventana Tareas programadas de la consola. Implementacin de agentes en dispositivos con Windows 95/98/NT Management Suite ya no incluye agentes que admitan dispositivos Windows 95, Windows 98, o Windows NT. Puede comunicarse con el Servicio de atencin al cliente de LANDesk si necesita el agente heredado que funciona con estos dispositivos. Creacin de configuraciones de dispositivo para dispositivos con Windows 2000/2003/XP no habilitados para la administracin Si dispone de dispositivos de Windows 2000/2003/XP que formen parte de un dominio de Windows 2000/2003/XP, puede instalar automticamente una configuracin en dichos dispositivos aunque no estn presentes el agente LANDesk estndar y el agente de control remoto. Para obtener ms informacin, consulte el Manual de instalacin e implementacin.
314
Para crear una configuracin de agente 1. 2. En la consola, haga clic en Herramientas | Configuracin | Configuracin de agentes. Haga clic en el botn Nuevo de la barra de herramientas.
315
MANUAL DE USUARIO
3. 4. 5.
6. 7.
Introduzca un Nombre de configuracin. En la ventana Configuracin de agentes, en la pgina Inicio, seleccione el agente que desea implementar. Utilice el rbol para navegar a travs de los dilogos pertinentes a las opciones seleccionadas. Personalice las opciones que ha seleccionado, como sea necesario. Haga clic en Ayuda para obtener ms informacin sobre una pgina determinada. Haga clic en Guardar y cerrar. Si desea que la configuracin sea la predeterminada, (se instala el archivo LDLOGON\WSCFG32.EXE o LDLOGON\IPSETUP.BAT de la configuracin), en el men de acceso directo de la configuracin, haga clic en Configuracin predeterminada.
Para obtener ms informacin sobre opciones de configuracin de dispositivos, consulteManaged device help y el Manual de instalacin e implementacin.
316
Una vez que implemente el agente de avance en los dispositivos, ste empieza la descarga de la configuracin asociada de agentes. El agente se ejecuta de forma silenciosa en el dispositivo administrado, sin mostrar ningn dilogo o informacin de estado. El agente de avance utiliza las preferencias de ancho de banda que ha especificado en el cuadro de dilogo Configuracin del Agente de avance, tales como la descarga entre iguales y el lmite de ancho de banda dinmico. Una vez que se instala .MSI y se configuran los agentes de forma satisfactoria en un dispositivo, se elimina el paquete de configuracin completa de agentes. La porcin .MSI permanece en el dispositivo y si se ejecuta el mismo .MSI de nuevo no vuelve a instalar los agentes. Para crear una configuracin del agente de avance 1. 2. 3. 4. Cree una configuracin de agentes basada en Windows (Herramientas | Configuracin | Configuracin del Agente). En el men contextual de la configuracin, seleccione Agente de avance. Seleccione las opciones que desee. Si selecciona Descarga de iguales, debe asegurarse de que que el agente de avance de un archivo .msi y el paquete .EXE de configuracin de agente completo estn en el cach de distribucin de software de un dispositivo en el dominio de difusin. Si selecciona Peer download y no hace esto antes de implementar la configuracin del agente de avance, la implementacin fallar debido a que los cachs o los iguales que se encuentran en el dominio de difusin no cuentan con los archivos necesarios. Si cambia la ubicacin del paquete de configuracin de agentes asociado (el archivo .EXE), cambie la ruta del paquete de configuracin de agentes para que coincida con la ubicacin nueva. Haga clic en Aceptar. De ser necesario, copie el archivo .EXE asociado de la carpeta LDLogon\AdvanceAgent al servidor de distribucin. Asegrese de que la ruta al archivo ejecutable de la configuracin de agentes coincida con la ruta especificada en el cuadro de dilogo Configuracin del Agente de avance. Debe dejar el paquete MSI en la ubicacin predeterminada del servidor central. Caso contrario, el paquete no estar visible para la tarea de distribucin automtica del agente de avance que se describe a continuacin.
5.
6. 7.
Para configurar la distribucin automtica del agente de avance 1. En la ventana Configuracin del Agente (Herramientas | Configuracin | Configuracin del Agente), haga clic en el botn Programar envo de configuracin del Agente de avance. El cuadro de dilogo Configuraciones del Agente de avance muestra las configuraciones de agente de la carpeta LDLogon\AdvanceAgent. Haga clic en la configuracin que desee distribuir y haga clic en Aceptar. Se abre la ventana Tareas programadas con la tarea de agente de avance que ha creado seleccionada. El nombre de la tarea es "Agente de avance <nombre de la configuracin>". Para agregar dispositivos de destino a la tarea, arrstrelos desde la Vista de red y sultelos en la tarea de la ventana Tareas programadas. En el men contextual de la tarea, haga clic en Propiedades para programarla. Puede observar el progreso de la distribucin de la porcin .MSI en la ventana Tareas programadas. No se muestra informacin del estado de la configuracin de agentes completa una vez que finaliza la distribucin de .MSI.
317
2.
3.
4. 5.
MANUAL DE USUARIO
318
Otro mtodo alternativo para obtener el valor hash es utilizar la aplicacin openssl, la cual est almacenada en el directorio \Archivos de programa\LANDesk\Shared Files\Keys. Se mostrar el valor hash asociado al certificado mediante la siguiente lnea de comandos:
openssl.exe x509 -in <nombredeclave>.crt -hash -noout
Todas las claves se almacenan en el servidor central en \Archivos de programa\LANDesk\Shared Files\Keys. La clave pblica <hash>.0 tambin se incluye en el directorio LDLOGON y es necesario que permanezca all de forma predeterminada. <nombredeclave> es el nombre del certificado que suministr durante la instalacin de Management Suite. En dicho proceso, resulta til ofrecer un nombre de clave descriptivo, como el nombre del servidor central (o incluso su nombre completo) y el de la clave (ejemplo: ldcore o ldcore.org.com). De este modo, se facilitar la identificacin de los archivos de certificado/clave privada en un entorno de varios servidores. Cree una copia de seguridad del directorio de claves del servidor central en un sitio seguro. Si por alguna razn debe reinstalar o reemplazar el servidor central, no podr administrar los dispositivos de dicho servidor si no agrega los certificados del servidor central original al nuevo servidor, tal como se describe a continuacin.
319
MANUAL DE USUARIO
En nuestro ejemplo, si desea que el servidor central de resumen y la consola Web puedan administrar dispositivos de los tres servidores centrales, necesitar distribuir el archivo de certificado de confianza del servidor central de resumen (<hash>.0) a todos los dispositivos, adems de copiar el mismo archivo en el directorio LDLOGON de cada servidor central. Para obtener ms informacin, consulte "Distribucin de certificados de confianza a los dispositivos" en la pgina 320. Otra opcin es copiar los archivos de certificado/clave privada desde cada servidor central al servidor central de resumen. De este modo, cada dispositivo podr buscar la clave privada coincidente para su servidor central en el servidor central de resumen. Para obtener ms informacin, consulte "Copia de archivos de certificado/clave privada entre los servidores centrales" en la pgina 321. Si desea que un servidor central pueda administrar dispositivos de otro servidor central, puede realizar el mismo proceso, distribuyendo el certificado de confianza a los dispositivos o copiando los archivos de certificado/clave privada entre los servidores centrales. Si copia certificados entre servidores centrales independientes (no en servidores centrales de resumen), existe un factor adicional. El servidor central no podr administrar los dispositivos de otro servidor central a menos que el primero tenga un rastreo de inventario de esos dispositivos. Un modo de llevar los rastreos de inventario a otro servidor central es mediante la programacin de una tarea de rastreo de inventario con una lnea de comandos personalizada que enve el rastreo al servidor central nuevo. Si se utilizan varios servidores centrales, el uso de un servidor central de resumen y una consola Web provee un modo ms sencillo de administrar dispositivos a travs de los servidores centrales. Los servidores centrales de resumen obtienen los datos de rastreo de inventario automticamente de todos los dispositivos en los servidores centrales que se resumen en ellos.
320
1. 2.
Implementar una configuracin de dispositivo que incluya los certificados de confianza del servidor central que desee. Utilizar un trabajo de distribucin de software para copiar directamente los archivos de certificado de confianza en cada dispositivo.
Cada certificado de confianza adicional del servidor central (<hash>.0) que desee que utilicen los dispositivos deber ser copiado en el directorio LDLOGON de dicho servidor. Una vez que este certificado se encuentre en este directorio, podr seleccionarlo en la pgina Agente de base comn del cuadro de dilogo de configuracin de dispositivos. El programa de configuracin de dispositivos copia las claves en este directorio en los dispositivos: Dispositivos con Windows: \Archivos de programa\LANDesk\Shared Files\cbaroot\certs Dispositivos con Mac OS X: /usr/LANDesk/common/cbaroot/certs
Si desea agregar un certificado del servidor central a un dispositivo, y no desea volver a implementar agentes de dispositivo mediante el programa de configuracin de dispositivos, cree un trabajo de distribucin de software que copie <hash>.0 en el directorio especificado anteriormente en el dispositivo. Entonces podr utilizar la ventana Tareas programadas para implementar la secuencia de comandos de distribucin de certificados que haya creado. A continuacin se muestra un ejemplo de una secuencia de comandos personalizada que se puede utilizar para copiar un certificado de confianza desde el directorio LDLOGON del servidor central a un dispositivo. Para utilizarla, sustituya d960e680 por el valor hash del certificado de confianza que desee implementar.
; Copie un certificado de confianza desde el directorio ldlogon del servidor central ; al directorio del certificado de confianza del cliente [MACHINES] REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680.0
321
MANUAL DE USUARIO
Para copiar un conjunto de certificados/claves privadas de un servidor central a otro 1. 2. 3. En el servidor central de origen, dirjase a la carpeta \Archivos de programa\LANDesk\Shared Files\Keys. Copie los archivos <nombredeclave>.key, <nombredeclave>.crt y <hash>.0 del servidor de origen en un disquete o en otro lugar que sea seguro. En el servidor central de destino, copie los archivos desde el servidor central de origen a la misma carpeta (\Archivos de programa\LANDesk\Shared Files\Keys). Las claves surtirn efecto de inmediato.
Es muy importante asegurarse de que la clave privada <nombredeclave>.key es confidencial. El servidor central utiliza este archivo para autenticar los dispositivos, y cualquier equipo con el archivo <nombredeclave>.key puede realizar ejecuciones remotas y transferencia de archivos en un dispositivo de Management Suite.
Uso de LANDesk Server Manager y Administrador de sistema de LANDesk con LANDesk Management Suite
Server Manager y Administrador de sistema estn disponibles por separado en LANDesk Software y se integran con Management Suite. Management Suite incluye una licencia de servidor y tantas licencias de dispositivo como haya adquirido. Si instala los agentes de Management Suite en el sistema operativo de un servidor, Management Suite requiere una licencia de servidor adicional para cada servidor. Server Manager aade licencias de servidor de Management Suite, adems de funciones especficas de Server Manager para los servidores administrados.
322
Administrador de sistema le ayuda a administrar los dispositivos en la red y a solucionar problemas habituales de los equipos antes de que se conviertan en problemas ms importantes. Si tiene dispositivos en la red que ya est administrando con el Administrador de sistema, puede utilizar la integracin de Administrador de sistema de Management Suite para administrar estos equipos desde la consola de Management Suite.
323
MANUAL DE USUARIO
Grupos de consultas
Las consultas se pueden organizar en grupos en la vista de red. Para crear consultas nuevas (y grupos de consultas nuevos), haga clic con el botn secundario del mouse en el grupo Mis consultas y seleccione Nueva consulta o Nuevo grupo, respectivamente. El administrador de Management Suite (usuario con derechos de administrador de LANDesk) puede ver el contenido de todos los grupos de consultas, entre los que se incluyen: Mis consultas, Consultas pblicas, Todas las consultas y Consultas de usuarios. Si otros usuarios de Management Suite inician una sesin en la consola, podrn ver las consultas en los grupos Mis consultas, Consultas pblicas y Todas la consultas segn el mbito del dispositivo. El usuario no puede ver el grupo Consultas de usuario.
324
Al mover una consulta a un grupo (haciendo clic con el botn secundario y seleccionando Agregar a nuevo grupo o Agregar a grupo existente o al arrastrar y colocar la consulta), se est creando una copia del consulta. Puede quitar la copia de cualquier grupo de consultas; la copia maestra de la consulta (en el grupo Todas las consultas) no se ver afectada. Si desea eliminar la copia maestra, puede hacerlo desde el grupo Todas las consultas. Para obtener ms informacin sobre cmo se muestran las consultas y grupos de consultas en la vista de red y sobre qu puede hacer con ellos, consulte "Vista de red" en la pgina 262.
2. 3. 4. 5. 6. 7. 8. 9.
325
MANUAL DE USUARIO
El operador Como es un operador relacional. Si el usuario no especifica ningn comodn (*) en la consulta, el operador Como agrega comodines a ambos extremos de la cadena. A continuacin se muestran tres ejemplos de uso del operador Como: Computer.Display Name COMO "Bob's Machine" consulta: Computer.Display Name COMO "%Bob's Machine%" Computer.Display Name COMO "Bob's Machine*" consulta: Computer.Display Name COMO "Bob's Machine%" Computer.Display Name COMO "*Bob's Machine" consulta: Computer.Display Name COMO "%Bob's Machine" Mostrar los valores rastreados: Enumera los valores aceptables para el atributo de inventario seleccionado. Asimismo, puede introducir manualmente un valor adecuado o editar un valor seleccionado, con el campo Editar valores. Si el operador relacional seleccionado es Exists o Does Not Exist, no ser posible ningn valor de descripcin. Operador lgico: Determina la relacin lgica de las instrucciones de consulta entre s: Y: El valor de la instruccin de consulta anterior Y la instruccin que se debe insertar deben ser True para satisfacer la consulta. O: El valor de la instruccin de consulta anterior O la instruccin que se debe insertar debe ser True para satisfacer la consulta. Insertar: Inserta la instruccin nueva en la lista de consultas y la relaciona lgicamente con otras instrucciones en funcin del operador lgico de la lista. Este botn no se puede seleccionar hasta que haya creado una instruccin de consulta aceptable. Editar: Permite editar la instruccin de consulta seleccionada. Cuando haya finalizado de realizar los cambios, haga clic en el botn Actualizar. Eliminar: Elimina la instruccin seleccionada de la lista de consultas. Borrar todo: Elimina todas las instrucciones de la lista de consultas. Lista de consultas: Enumera las instrucciones insertadas en la consulta y su relacin lgica con el resto de instrucciones incluidas en la lista. Las instrucciones agrupadas estn rodeados de parntesis. Grupo (): Agrupa las instrucciones seleccionadas para que se evalen entre s antes de que lo hagan con otras instrucciones. Desagrupar: Desagrupa las instrucciones agrupadas seleccionadas. Filtros: Abre el cuadro de dilogo Filtro de consulta que muestra los grupos de dispositivos. Al seleccionar grupos de dispositivos, limita la consulta a los dispositivos contenidos en los grupos seleccionados. Si no selecciona ningn grupo, la consulta ignorar la pertenencia al grupo. Seleccione las columnas: Permite agregar y quitar columnas que aparecen en la lista de resultados de la consulta. Seleccione un componente y, a continuacin, haga clic con el botn de flecha derecha para agregarlo a la lista de columnas. Puede editar manualmente el texto de alias y orden; los cambios realizados aparecern en la lista de resultados de consultas. Calificador: El botn Calificador se utiliza para limitar los resultados de las relaciones de uno a varios en la base de datos; sin l, el mismo equipo figura varias veces en la lista en el conjunto de resultados. Por ejemplo, si desea consulta la versin de Microsoft Word que se encuentra instalada en cada equipo de la organizacin, inserte Computer.Software.Package.Name = 'Microsoft Word' en el cuadro de consulta y seleccionar Computer.Software.Package.Version en la lista Seleccionar columnas. No obstante, si solamente se lista la versin de software, se mostrar cada versin de cada programa de software instalado en cada equipo; lo cual quiz no desea. La solucin consiste en limitar (o calificar) la versin a Microsoft Word solamente. Haga clic en el botn Calificar, para insertar Computer.Software.Package.Name = 'Microsoft Word'. Se devolvern solamente las versiones de Microsoft Word.
326
Guardar: Guarda la consulta actual. Al guardar una consulta antes de ejecutarla, la consulta se almacena en la base de datos central y permanece en ella hasta que se elimine de forma explcita.
Las instrucciones se ejecutan en el orden mostrado Si no se realizan agrupaciones, las instrucciones de consulta enumeradas en el cuadro de dilogo se ejecutan en su totalidad. Asegrese de agrupar los elementos de consulta relacionados para que se evalen como grupo; de lo contrario, los resultados de la consulta pueden ser diferentes a los esperados.
Para importar una consulta 1. 2. 3. 4. Haga clic con el botn secundario del ratn en el grupo de consultas en el que desea situar la consulta importada. Seleccione Importar en el men contextual. Vaya a la consulta que desea importar y seleccinela. Haga clic en Abrir para agregar la consulta al grupo seleccionado en la vista de red.
Para exportar una consulta 1. 2. 3. 4. 5. Haga clic con el botn secundario del ratn en la consulta que desea exportar. Seleccione Exportar en el men contextual. Vaya a la ubicacin en la que desea guardar la consulta (como archivo .XML). Escriba un nombre para la consulta. Haga clic en Guardar para exportar la consulta.
327
MANUAL DE USUARIO
Consultas LDAP
Adems de permitir la consulta de la base de datos central mediante consultas de bases de datos, Management Suite tambin proporciona la herramienta Administrador de directorios, la cual permite ubicar, tener acceso y administrar dispositivos en otros directorios a travs de LDAP (Protocolo ligero de acceso a directorios). Se pueden realizar consultas en dispositivos en funcin de atributos especficos, como el tipo de procesador o el SO. Asimismo, puede realizar consultas en funcin de atributos de usuario especficos, como el Id. o el departamento de empleado. Si desea informacin sobre la creacin y ejecucin de consultas de bases de datos a partir de los grupos de consultas de la vista de red, consulte"Consultas de base de datos" en la pgina 324. Lea este captulo para obtener informacin sobre: "Configuracin de directorios LDAP" en la pgina 328 "Acerca de la ventana Administrador de directorios" en la pgina 329 "Creacin de consultas de directorio LDAP" en la pgina 330 "Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP) " en la pgina 332
328
NOTA: Si est usando Active Directory, ingrese el nombre como <nombre-dedominio>\<nombre-de-usuario-nt> NOTA: Si est usando otro servicio de directorio, ingrese el nombre exclusivo de usuario 4. Haga clic en Aplicar o en Aceptar para guardar la informacin. La informacin que ingrese se verifica en el directorio antes de que se cierre el cuadro de dilogo
NOTA: Cuando se quite el directorio, se eliminarn todas las consultas LDAP que lo estn usando.
Con el Administrador de directorios, puede arrastrar los grupos LDAP y las consultas LDAP guardadas y soltarlas en las tareas programadas, convirtindolas en destinos de tareas. La ventana Administrador de directorios consta de dos paneles: un panel de directorios a la izquierda y un panel de vista previa a la derecha.
329
MANUAL DE USUARIO
Panel de directorios
Este panel muestra todos los directorios y usuarios registrados. Como administrador, puede especificar el nombre de un directorio registrado y ver una lista de consultas asociadas a dicho directorio. Puede crear y guardar consultas nuevas para un directorio registrado con un clic del botn secundario del mouse o utilizando los mens desplegables. Tras crear una consulta, puede arrastrar y colocarla en la ventana Tareas programadas de APM para aplicar la tarea a los usuarios que cumplan con los criterios de la consulta.
3.
4.
Para crear, probar y guardar la consulta 1. 2. 3. 4. En el cuadro de dilogo Consulta LDAP bsica, haga clic en el atributo que servir de criterio para la consulta en la lista de atributos de directorio (ejemplo = departamento). Haga clic en un operador de comparacin para la consulta (=, <=, >=). Escriba un valor para el atributo (ejemplo departamento = ingeniera). Para crear una consulta compleja que combine varios atributos, seleccione un operador de combinacin (Y u O) y repita los pasos del 1 al 3 tantas veces como desee.
330
5. 6. 7.
Tras crear la consulta, haga clic en Insertar. Para probar la consulta completada, haga clic en Probar consulta. Para guardar la consulta, haga clic en Guardar. La consulta guardada aparecer por nombre en Consultas guardadas en el panel de directorios del administrador de directorios.
331
MANUAL DE USUARIO
URL del directorio: Permite especificar el directorio LDAP que se desea administrar. Ejemplo de un directorio LDAP con la sintaxis correcta: ldap.<empresa>.com. Por ejemplo, puede escribir ldap.xyzcompany.com. Autenticacin: Iniciar sesin como el usuario siguiente (es decir, se especifica una ruta y nombre de usuario y la contrasea de usuario).
El cuadro de dilogo Consulta LDAP avanzada aparece al seleccionar una consulta creada para su edicin. Asimismo, si selecciona un grupo LDAP en el administrador de directorios y elige una consulta desde ese punto, el cuadro de dilogo Consulta LDAP avanzada aparece con una consulta predeterminada que devuelve los usuarios que son miembros del grupo. No puede modificar la sintaxis de esta consulta predeterminada, slo guardarla.
332
sta es la definicin formal del filtro de bsqueda (RFC 1960): <filter> ::= '(' <filtercomp> ')' <filtercomp> ::= <and> | <or> | <not> | <item> <and> ::= '&' <filterlist> <or> ::= '|' <filterlist> <not> ::= '!' <filter> <filterlist> ::= <filter> | <filter> <filterlist> <item> ::= <simple> | <present> | <substring> <simple> ::= <attr> <filtertype> <value> <filtertype> ::= <equal> | <approx> | <ge> | <le> <equal> ::= '=' <approx> ::= '~=' <ge> ::= '>=' <le> ::= '<=' <present> ::= <attr> '=*' <substring> ::= <attr> '=' <initial> <any> <final> <initial> ::= NULL | <value> <any> ::= '*' <starval> <starval> ::= NULL | <value> '*' <starval> <final> ::= NULL | <value>
El token <attr> es una cadena que representa un elemento AttributeType. El token <value> es una cadena que representa un elemento AttributeValue cuyo formato se define por el servicio de directorio subyacente. Si un valor debe contener uno de los caracteres * o ( o ), preceda el carcter del carcter de escape de barra oblicua (\).
333
MANUAL DE USUARIO
Inventario
"Introduccin al rastreo de inventario" en la pgina 334 "Visualizacin de datos del inventario" en la pgina 336 "Seguimiento de cambios del inventario" en la pgina 338 "Creacin de formularios de datos personalizados" en la pgina 340 "Uso de un servidor de inventario diferente al servidor central" en la pgina 343
Nota: Para obtener ms informacin sobre la ejecucin del rastreador de inventario, as como consejos para la solucin de problemas del rastreador, consulte Appendix A: Additional inventory operations and troubleshooting
334
Para rastrear un dispositivo a peticin, localcelo en la vista de red y en el men de acceso directo del dispositivo haga clic en Rastreo de Inventario. Nota: Un dispositivo agregado a la base de datos central mediante la funcin de deteccin an no ha rastreado los datos de su inventario en dicha base de datos. Deber ejecutar un rastreo de inventario en cada dispositivo para que aparezcan todos los datos de dicho dispositivo. Puede ver los datos de inventario y utilizarlos para: personalizar las columnas de vista de red para mostrar atributos especficos del inventario consultar la base de datos central acerca de los dispositivos con atributos especficos del inventario Agrupar dispositivos para acelerar tareas de administracin, como la distribucin de software Generar informes especializados segn los atributos del inventario
Puede utilizar rastreos de inventario para realizar un seguimiento de los cambios de hardware y software en los dispositivos, as como para generar alertas o entradas en el archivo de registro cuando dichos cambios se produzcan. Para obtener ms informacin, consulte "Seguimiento de cambios del inventario" en la pgina 338. Lea las secciones siguientes para obtener ms datos sobre el funcionamiento del rastreador de inventario.
Rastreo delta
Tras el rastreo completo inicial en un dispositivo, el rastreador de inventario slo captura los cambios delta y los enva a la base de datos central. Al enviar solamente los datos cambiados, se minimiza el tiempo de trfico de red y de procesamiento de datos.
2.
3. 4. 5. 6.
MANUAL DE USUARIO
Puede adems visualizar datos de inventario en los informes que genere. Para obtener ms informacin, consulte "Informes" en la pgina 345.
336
Los datos del inventario resumen difieren para los dispositivos con Windows NT/2000/2003/XP y con Windows 95/98.
337
MANUAL DE USUARIO
3. 4.
5. 6.
338
3. 4.
Haga clic en Imprimir, para imprimir el historial de cambios de inventario. Haga clic en Exportar para guardar el historial de cambios de inventario como un archivo .CSV.
La mejor forma de obtener esta informacin es directamente de los usuarios con formularios de datos personalizados. Estos formularios incluyen dos componentes principales: el diseador de formularios que sirve para crear formularios que los usuarios pueden rellenar y el visor de formularios con el que los usuarios rellenan los formularios. Los formularios se pueden almacenar de forma central o local. En el primer caso, todos los usuarios reciben acceso automtico a los formularios ms recientes, puesto que todos ven el mismo desde la misma ubicacin. Si los formularios se almacenan localmente, debe asegurarse de que los usuarios reciben los ms recientes. Una vez que un usuario ha finalizado un formulario, el visor de formularios almacena los resultados localmente en C:\Archivos de programa\LANDesk\LDClient\LDCSTM.DAT. Este archivo contiene los resultados de todos los formularios a los que el usuario ha respondido. Si el usuario necesita alguna vez rellenar el mismo formulario de nuevo (por ejemplo, si se revisa el original), el visor de formularios lo rellena con los datos introducidos anteriormente. El rastreador de inventario toma la informacin del archivo LDCSTM.DAT de cada dispositivo y lo agrega a la base de datos central.
339
MANUAL DE USUARIO
Las bases de datos Oracle distinguen entre maysculas y minsculas Siempre que cree campos personalizados con formularios de datos personalizados (o cualquier otra funcin) en una base de datos Oracle, asegrese de que siempre utiliza maysculas con los nombres de campos. Por ejemplo, los datos asociados con "Ubicacin del cubo" se guardan en una ubicacin distinta de la base de datos que los datos asociados con "Ubicacin del Cubo". . Tambin asegrese de que los nombres de los campos personalizados sean nicos, sin tener en cuenta el uso de maysculas. Es probable que no se recuperen los datos de inventario correctos si existen dos campos personalizados con el mismo nombre, aunque con distinto uso de maysculas. Para obtener ms informacin sobre los formularios de datos personalizados, consulte los siguientes procedimientos: "Creacin de formularios de datos personalizados" en la pgina 340 "Creacin de un grupo de formularios" en la pgina 341 "Configuracin de dispositivos para recibir formularios de datos personalizados" en la pgina 341 "Rellenado de formularios en el dispositivo" en la pgina 342
340
Puede hacer clic con el botn derecho del ratn en un grupo de formularios, a fin de programarlo para su distribucin a dispositivos.
341
MANUAL DE USUARIO
Asimismo, necesitar especificar el momento en que los formularios se mostrarn en el dispositivo: Al iniciar: el visor de formularios del dispositivo busca formularios nuevos o modificados cada vez que se inicia el dispositivo. El visor de formularios se abre una vez que se carga el sistema operativo. La prxima vez que se ejecute el rastreador de inventario, enviar formularios rellenados a la base de datos central. Cuando se ejecute el Rastreador de inventario: el rastreador de inventario inicia el visor de formularios, que busca formularios nuevos o modificados. Una vez que los usuarios han finalizado el formulario y cierran el visor de formularios, el rastreador se cierra y los datos se introducen en la base de datos central. Slo en la carpeta de programa de LANDesk: el visor de formularios se puede abrir de forma manual desde el grupo de programas LANDesk Management Suite. La prxima vez que se ejecute el rastreador de inventario, enviar formularios rellenados a la base de datos central.
Tambin puede utilizar la ventana Tareas programadas para ejecutar el visor de formularios en dispositivos en un momento predefinido. Para ello, utilice la ventana Tareas programadas para que primero distribuya los formularios a los dispositivos. Asegrese de que le proporciona tiempo suficiente a esta distribucin antes de utilizar la funcin de trabajos realizables en secuencia de tareas programadas para ejecutar el visor de formularios.
Despus de seleccionar un formulario para completarlo y hacer clic en Abrir, se muestra el asistente de formularios. ste incluye una lista de preguntas y campos para las respuestas. Si hay ms preguntas que no caben en una pgina, utilice los botones Atrs/Siguiente. Mientras el cursor se encuentra en un campo, el usuario puede hacer clic en Ayuda (o presionar F1); se abrir un mensaje de ayuda generado por el campo Descripcin del diseador de formularios. Es necesario responder a todas las preguntas obligatorias antes de pasar a la pgina siguiente o de salir del formulario. Las preguntas obligatorias tienen un punto rojo junto a ellas. La ltima pgina del asistente de formularios incluye el botn Finalizar, haga clic en l cuando haya terminado de rellenar el formulario. Al hacer clic en este botn, se regresar al cuadro de dilogo Seleccin de formularios y se actualizar el mensaje de estado que aparece junto al nombre de los formularios.
342
El servidor de inventario de un equipo diferente al servidor central tiene estos requisitos de sistema: Microsoft Windows 2000 Server SP4, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2003 Standard Server, Microsoft Windows 2003 Enterprise Server, Windows XP Professional SP1 .NET Framework 1.1 ASP.NET 1.1 MDAC 2.8 o superior Privilegios de administrador No se puede instalar en un servidor central o en un servidor central de resumen Si el dispositivo se encuentra detrs de un servidor de seguridad, necesitar abrir el puerto 5007
ADVERTENCIA: No utilice la opcin Transporte de datos cifrados con los servidores de inventario de un equipo diferente al servidor central La ficha Inventorydel cuadro de dilogo Configurar servicios de LANDesk Softwaretiene la opcin un Transporte de datos cifrados. El transporte cifrado no es compatible con los servidores de inventario de un equipo diferente al servidor central. Si utiliza un servidor de inventario de un equipo diferente al servidor central, asegrese de que esta opcin se encuentre deshabilitada.
343
MANUAL DE USUARIO
Para instalar un servidor de inventario diferente al servidor central 1. Desde el dispositivo que desea que sea el servidor de inventario diferente al central, asigne una unidad al recurso compartido LDMAIN del servidor central y ejecute \Install\Off-Core Inventory Server\Setup. Esto instala un servidor de inventario diferente al servidor central Cuando finaliza la instalacin, se le solicitar que reinicie. Reinicie para finalizar la instalacin. En el servidor central, haga clic en Inicio | Programas | LANDesk |Configuracin de servicios de LANDesk . En la ficha Inventario, haga clic en Configuracin avanzada. Haga clic en la opcin Servidor de inventario diferente al servidor central. En el cuadro Valor ingrese el nombre del equipo del servidor de inventario diferente del central y haga clic en Establecer. Haga clic en Aceptar y en la ficha Inventario haga clic en Reiniciar para reiniciar el servicio de inventario. Vaya al servidor diferente del central y en el subprograma Servicios del Panel de control reinicie el servicio Servidor de inventario de LANDesk. En este momento, el dispositivo basado en Windows rastrea el servidor de inventario diferente del servidor central.
2. 3. 4. 5. 6. 7. 8.
Nota: En cualquier momento que desee realizar cambios en la ficha Inventario del cuadro de dilogo Configurar servicios para LANDesk Software, necesitar reiniciar el servicio Servidor de inventario LANDesk tanto en el servidor central como en el que es diferente. Al reiniciar el servicio del servidor de un equipo diferente al servidor central se cargarn los cambios de configuracin realizados.
344
Informes
La herramienta de elaboracin de informes se utiliza para generar una gran variedad de informes especializados que brindan informacin crtica sobre los dispositivos de la red. Lea este captulo para obtener informacin sobre: "Introduccin a los informes" en la pgina 345 "Informes y grupos de informes" en la pgina 345 "Ejecucin y visualizacin de informes" en la pgina 347 "Publicacin de informes" en la pgina 348 "Creacin de informes personalizados" en la pgina 352 "Uso del diseador de informes" en la pgina 353 "Importacin y exportacin de informes" en la pgina 358 "Creacin de archivos .CSV" en la pgina 358
345
MANUAL DE USUARIO
Mis informes
Muestra una lista de los informes (y grupos de informes) que ha agregado a su grupo Mis informes. Por lo general son informes que ejecuta de forma regular y que ha organizado para su propio uso. Pueden ser informes predefinidos o personalizados. Los informes se ejecutan en el mbito de usuario que ha iniciado una sesin. El administrador tiene acceso a los grupos de informes de cada uno de los usuarios y puede agregar y eliminar informes (consulte"Informes de usuarios" en la pgina 347 ).
Informes estndar
Brinda una lista de informes predefinidos que se incluyen con la aplicacin. Los informes se encuentran previamente formateados, contienen propiedades de consulta y tipos de grficos asignados, y estn listos para utilizarse. Archivos histricos de Management Suite Ofrece una lista de los archivos histricos que se ejecutan en el sistema. Los archivos de registro proporcionan informacin de estado sobre diversos servicios, tareas, acciones o eventos que se han ejecutado en la red. Los archivos histricos incluyen el estado de los mtodos de entrega, de los clientes de multidifusin y de los representantes de subred, la tasa de aciertos de la implementacin de SO, el estado de las tareas programadas, etc. Nota: Por lo general, los archivos histricos se almacenan en el directorio \LANDesk\ManagementSuite\log. Puede especificar otra ubicacin de directorio durante la instalacin o cambiar la ruta. Informes de inventario Muestra una lista de todos los informes de inventario predefinidos. Los informes de inventario brindan informacin sobre los dispositivos de la red, lo cual incluye qu dispositivos se han asignado a los usuarios, el software que se ejecuta en los dispositivos, la forma en que se utilizan los dispositivos, el tipo de hardware, el uso de la memoria, la capacidad de carga, las especificaciones, etc. Informes de monitoreo de licencias de software Muestra todos los informes predefinidos de monitoreo de licencia de software. Los informes brindan informacin sobre el tipo de software que se utiliza, la frecuencia de uso, las tasas de volumen y las instancias de denegacin a fin de monitorear el uso y garantizar el cumplimiento de los contratos de licencia de software.
346
Nota: Los informes de monitoreo de licencia de software no estn limitados por el mbito de usuario. Informes de control remoto Muestra una lista de todos los informes de control remoto predefinidos. Los informes mantienen un historial del uso del control remoto segn el cliente, la consola, el equipo, la duracin, etc. Informes de dispositivos no administrados Muestra todos los informes predefinidos de deteccin de dispositivos no administrados. Los informes brindan informacin sobre los dispositivos no administrados, lo cual incluye el tipo de dispositivo, la ubicacin en la red, los agentes aplicados, etc. Informes del Administrador de Seguridad y Revisiones Muestra una lista de todos los informes del Administrador de Seguridad y Revisiones. Los informes proveen informacin sobre vulnerabilidades, spyware, amenazas de seguridad, aplicaciones bloqueadas, actualizaciones de LANDesk, definiciones personalizadas, etc. Los informes se pueden producir en funcin del tipo de dispositivo, fechas, ubicaciones y otros criterios.
Informes de usuarios
Muestra todos los informes de los usuarios individuales, organizados en subgrupos por usuario. A los subgrupos de usuarios se les asigna un nombre compuesto por los ID de inicio de sesin del usuario, por ejemplo, nombre de equipo\cuenta de usuario o dominio\cuenta de usuario. Cada grupo de usuarios incluye los informes que aparecen en el grupo Mis informes de dicho usuario. Al igual que sucede con los grupos Dispositivos de usuario y Consultas de usuarios, SLO los usuarios con derechos de administrador de LANDesk podrn ver el grupo Informes de usuarios. Los administradores pueden acceder al grupo de informes del usuario para ejecutar los informes del mbito del usuario como si fuesen dicho usuario. De este modo, el administrador puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar un informe.
MANUAL DE USUARIO
Nota: Algunos informes se limitan a una sola seleccin de dispositivos y no se ejecutan si se selecciona ms de uno en la vista de red. Recibe un cuadro de mensaje si el informe no se puede ejecutar en varios dispositivos.
Visor de informes
Una vez que se ejecuta el informe se abre el visor de informes, el cual muestra el informe generado con la informacin especificada. El visor de informes contiene controles que permiten visualizar el informe segn sus preferencias de visualizacin. Tambin puede exportar un informe a partir del visor de informes. La herramienta del visor de informes consiste de lo siguiente: Tabla de contenido: muestra una tabla de contenido del informe, si est disponible. Haga clic en un nodo del rbol para ir a esa ubicacin del informe. Imprimir: abre el cuadro de dilogo de impresin estndar. Copiar: copia el contenido del informe de la pgina seleccionada. Buscar: busca una cadena de texto determinada en todos los datos del informe. Ver una pgina: muestra el informe en una sola pgina. Ver pginas mltiples: muestra el informe en varias pginas, lo cual puede determinarse. Acercar: aumenta el tamao del informe. Alejar: disminuye el tamao del informe. Porcentaje de acercamiento: selecciona el tamao especfico del informe. Pgina anterior: le lleva a la pgina anterior en orden de secuencia (comprese con Retroceder). Pgina siguiente: le lleva a la pgina siguiente en orden de secuencia (comprese con Avanzar). Cuadro Pgina: inserta un nmero de pgina determinado, lo cual le lleva directamente a esa pgina. Retroceder: le lleva a la pgina anterior independientemente del orden numrico. Avanzar: le lleva a la pgina siguiente independientemente del orden numrico. Grfico: determina si se utiliza un grfico (ninguno, de barras o circular), si est disponible. Ordenar: cambia el orden de los detalles del informe en funcin de la columna seleccionada. Exportar: permite la exportacin del informe en formatos HTML, PDF, XLS, DOC y RTF.
Publicacin de informes
La publicacin de un informe permite proporcionar informacin crtica y oportuna sobre los dispositivos de red a una audiencia controlada. Al publicar un informe, ste se guarda en una ubicacin compartida de la red. Los informes pueden hacerse accesibles para la visualizacin (consulte"Uso compartido de informes publicados" en la pgina 350), o pueden enviarse a destinatarios designados (consulte"Envo de informes por correo electrnico" en la pgina 351), aunque no tengan acceso a la aplicacin. Esto permite que el lector consulte el informe a su conveniencia y lo comparta con usuarios que no son de LANDesk. Puede programar los informes para que se publiquen de forma automtica a horas determinadas, al igual que configurarlos para que se vuelvan a ejecutar de forma regular (consulte"Programacin de la publicacin de un informe" en la pgina 350).
348
Nota: los informes no tienen que ejecutarse antes de publicarse. La generacin del informe se realiza durante la publicacin. Esto puede reducir el uso del ancho de banda al publicar un informe de gran tamao que recopila y formatea una cantidad considerable de datos a travs de la red.
Publicacin de informes
Cuando se publica un informe, se guarda el archivo de informe en alguno de los siguientes formatos: .HTML, .PDF, .XLS, .DOC y .RTF. Para publicar un informe 1. 2. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Ubique el informe que desee publicar, haga clic en el botn derecho en el informe, y luego clic en Publicar.
Nota: NO tiene que ejecutar el informe antes de publicarlo. 3. 4. Si se le solicita, seleccione el criterio de informacin requerido, y luego en Aceptar. En el cuadro de dilogo Publicar Informe, verifique el nombre del informe (puede cambiar este nombre si lo desea), la ubicacin donde se guard el archivo de informe, especifique el formato del archivo, y haga clic en Guardar.
Nota: la ubicacin de almacenamiento predeterminada de los informes publicados es la carpeta ldmain\reports del servidor central. Esta carpeta es el recurso compartido de archivos seguro al que solo el grupo de usuarios de Informes LANDesk tiene acceso.
349
MANUAL DE USUARIO
5.
6.
(Opcional) En el dilogo Informe Publicado, puede hacer clic en Vista previa para verificar que el contenido y el formato del informe antes de enviar la ruta de red del recurso compartido de archivo a los destinatarios. Tambin puede hacer clic en Copiar ruta al portapapeles si desea pegar la ruta completa y el nombre del archivo en otra aplicacin para referencia futura, o directamente en el cuerpo del mensaje de correo electrnico para enviar a cualquiera que desee ver el informe. Haga clic en Cerrar.
350
MANUAL DE USUARIO
2.
3. 4. 5.
Ubique la tarea programada del informe que desee enviar por correo electrnico. Recuerde, el informe debe haberse programado previamente para su publicacin (consulte"Programacin de la publicacin de un informe" en la pgina 350). Haga clic con el botn secundario en la tarea del informe y seleccione Propiedades. Bajo Destinatarios, seleccione los usuarios que desee que reciban el informe. Haga clic en Guardar.
3. 4.
5.
352
Para crear informes personalizados, haga clic con el botn secundario en Mis informes en la herramienta Informes y seleccione Nuevo informe personalizado. Los administradores tambin pueden crear informes personalizados. Para ello, haga clic con el botn secundario en un usuario del grupo Informes de usuario y seleccione Nuevo informe personalizado. Otro mtodo para crear informes personalizados es directamente a partir de consultas existentes. Para ello, haga clic con el botn secundario en una consulta y seleccione Nuevo informe personalizado. Tambin se puede utilizar el icono Nuevo informe personalizado para crear un informe personalizado. Al crear un informe personalizado, se agrega automticamente al grupo Todos los informes personalizados. Para crear un informe personalizado 1. 2. 3. 4. 5. 6. 7. 8. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en Mis informes y seleccione Nuevo informe personalizado. En el cuadro de dilogo Propiedades del Informe escriba el ttulo del informe, el cual tambin es el ttulo que aparece en el informe al generarlo. Escriba una descripcin del informe, la cual ser la descripcin formal bajo el ttulo del informe final. Haga clic en Seleccionar o en Crear para especificar una consulta. Si desea alterar el diseo y formato del informe, haga clic en Diseo para ejecutar el diseador de informes. Si corresponde, elija el tipo de grfico que desee en el informe. Haga clic en Aceptar.
353
MANUAL DE USUARIO
Diseador de informes
Superficie de diseo La superficie de diseo acta como lienzo del informe. El informe se divide en reas de contenido especficas, en orden jerrquico. El encabezado del informe (ReportHeader) es siempre el nodo de nivel ms alto y los detalles (Details) siempre deben ser el nodo de nivel ms bajo. Si inserta un encabezado de grupo (GroupHeader) adicional, al hacer clic con el botn secundario en la superficie de diseo, es probable que tenga que volver a ordenar los grupos, para lo cual tambin debe hacer clic con el botn secundario en la superficie de diseo). Los segmentos del informe se pueden contraer, lo cual facilita el proceso de diseo al mantener una rea de superficie manejable. La cuadrcula le asiste en la colocacin del contenido en la superficie de diseo y se puede activar y desactivar. Herramientas Las herramientas consisten de componentes (objetos) que constituyen los elementos bsicos de los informes. Se colocan en la superficie de diseo a fin de formar la estructura y el diseo del informe. Al insertar los componentes de las herramientas, empezar a crear las bases del informe personalizado. Las herramientas constan de los componentes siguientes: Puntero: selecciona los componentes del informe. Para ello, haga clic en un componente de la superficie de diseo. Una vez que se selecciona el componente, podr aplicar formato adicional, como la redimensin del componente o la aplicacin de varios estilos. Etiqueta: inserta una etiqueta. Haga clic en el cuadro y arrstrelo para definir los lmites de la etiqueta. El texto de la etiqueta se agrega a la seccin propiedades mientras la etiqueta est seleccionada. Caja de texto: inserta un cuadro de texto. Haga clic en el cuadro y arrstrelo para definir los lmites del cuadro de texto. El texto del cuadro de texto se agrega a la seccin propiedades mientras el cuadro de texto est seleccionado. Los cuadros de texto se pueden asociar a los campos de base de datos. Casilla de verificacin: inserta una casilla de verificacin. Haga clic en el cuadro y arrstrelo para definir el ancho y la altura de la casilla de verificacin. Las casillas de verificacin se pueden asociar a los campos de base de datos. Imagen: inserta una imagen cargada de un archivo. Haga clic en el cuadro y arrstrelo para definir el ancho y la altura de la imagen. Se abre un cuadro de dilogo en cual debe seleccionar una imagen para el componente de imagen. Forma: inserta una forma de rectngulo, crculo o cuadrado. Haga clic en la forma y defina el ancho y la altura. Lnea: inserta una lnea. Haga clic en la lnea y arrstrela a la ubicacin deseada. Cuadro de texto enriquecido: inserta un cuadro de texto enriquecido. Haga clic en el cuadro y arrstrelo para definir los lmites del cuadro de texto enriquecido. Al liberar el botn, se abre un cuadro de dilogo que permite seleccionar un archivo RTF. El contenido del archivo RTF se coloca en el cuadro de texto enriquecido. Al hacer clic dentro del cuadro de texto enriquecido se coloca un cursor en el cuadro, lo cual permite aplicar formato a palabras especficas. Los cuadros de texto enriquecido se pueden asociar a los campos de base de datos. Salto de pgina: inserta un salto de pgina.
354
Cdigo de barras: inserta un cdigo de barras. Haga clic en el cdigo de barras y arrstrelo para definir los lmites del componente. Los cdigos de barra se pueden asociar a los campos de base de datos.
Barras de herramientas Las barras de herramientas contienen opciones de formato estndar, e incluyen estilos de texto, fuentes, tamaos de letra, negrita, cursiva, alineacin, vietas, sangras, niveles, etc. Una vez que los componentes se han colocado en la superficie de diseo, el formato se puede aplicar a los componentes, a fin de obtener el aspecto deseado. En la seccin Propiedades se encuentran opciones de formato adicionales. La barra de herramientas contiene algunas herramientas exclusivas en la barra: Aceptar: guarda todos los cambios y cierra el cuadro de dilogo del diseador de informes. Cancelar: cierra el cuadro de dilogo del diseador de informes sin guardar los cambios. Nuevo Informe: borra el informe y proporciona una superficie de diseo en blanco para crear un informe nuevo. No obstante, existen las restricciones de los mismos campos de consulta definidos antes de ejecutar el diseador de informes. Informe generado automticamente basado en consulta: devuelve el diseo del informe al formato original antes de realizar cambios. Permite restaurar el informe al formato original segn la configuracin predeterminada. Configuracin del Informe: permite configurar el informe. La configuracin de informes consta de lo siguiente: Configuracin de Pgina: define los mrgenes del informe. Configuracin de la Impresora: define el tamao del papel, la orientacin de la impresin y otras propiedades de impresin. Estilos: permite crear y editar los estilos de fuente en el informe. Valores Globales: proporciona los controles de la cuadrcula y define la unidad de medida.
Campos de datos Los valores de los campos de datos son alias de los parmetros de consulta que defini antes de abrir el diseador de informes. El campo de datos es un proxy o marcador de posicin que se vincula a un origen de datos. Al ejecutar el informe, el campo de datos se reemplaza con la informacin extrada del origen de datos. Al principio, los campos de datos se colocan automticamente en el informe. Si los ha eliminado o est creando un informe nuevo, puede arrastrar y soltar los campos de datos de nuevo en la superficie de diseo. No se pueden crear campos de datos dentro del diseador de informes. Debe especificar los campos de datos en la consulta antes de ejecutar el diseador (en el cuadro de dilogo Consulta del Informe, haga clic en Seleccione las columnas>>).
355
MANUAL DE USUARIO
Los campos de datos se deben utilizar principalmente en la seccin de detalles (Details) de la superficie de diseo. No obstante, tambin se pueden colocar en las secciones de encabezado de grupo (GroupHeader). Si utiliza campos de datos en la seccin GroupHeader, tambin debe aplicar un campo de datos al GroupHeader mismo a fin de propagarlo y crear instancias de todos los datos consultados. Esto es necesario para agrupar los datos de forma debida. Por ejemplo, se puede utilizar el campo de datos "nombre de dispositivo" que funcione como encabezado, de modo que cuando se ejecute el informe, se inserte como encabezado el nombre de dispositivo de cada dispositivo de la base de datos. Cada encabezado con el nombre de dispositivo estar seguido del contenido designado en la seccin de detalles (el nivel siguiente), lo cual constituye el resto de los campos de datos del informe. En la seccin GroupHeader de la superficie de diseo, se inserta primero el campo de datos deseado. A continuacin, seleccione la etiqueta GroupHeader y cambie el campo de datos de la seccin de contenido (Contents) al mismo campo de datos que insert en el campo de datos. Nota: si especifica un valor de campo de datos que no existen en funcin de la consulta, aparece un cuadro de campo de datos ausente por encima del cuadro de campo de datos. Si hace clic en el valor proporcionado en el cuadro de campo de datos ausente, se selecciona el campo de datos errneo en la superficie de diseo, de modo que sabr cul corregir. Contenido La seccin de contenido consta de una estructura de rbol de la superficie de diseo. El informe principal se divide en las secciones individuales del informe. Cualquier componente colocado en la superficie de diseo de cualquier seccin tambin se representa en el rbol bajo la seccin de informe correspondiente. Si hace clic en un nodo del rbol, se selecciona dicho elemento en la superficie de diseo, al igual que sus propiedades directamente debajo. Propiedades Cada uno de los elementos, incluso las secciones y componentes del informe colocados en la superficie de diseo, tienen un conjunto nico de propiedades. Dichas propiedades se utilizan para configurar el informe an ms y son ms avanzadas que las herramientas estndar de formato y diseo. No todas las propiedades se encuentran disponibles en cada uno de los nodos. Solamente se presentan las propiedades correspondientes al elemento seleccionado. Las propiedades constan de lo siguiente: Apariencia: afecta el aspecto del elemento seleccionado. Se incluyen todas las herramientas estndar de formato. Comportamiento: afecta la forma en que acta el elemento seleccionado. Datos: aloja el contenido actual del elemento seleccionado, tales como la informacin textual o un campo de datos. Diseo: proporciona una descripcin del elemento seleccionado, la cual no aparece en la superficie de diseo. Disposicin: especifica el tamao y la orientacin del elemento seleccionado, tales como la ubicacin en trminos de coordenadas X y Y, o el tamao en trminos de ancho y altura. Miscelneos: contiene cualquier funcionalidad adicional del elemento seleccionado, no incluida en los otros tipos de propiedades. Resumen: permite crear resmenes en el informe. Estos campos con totales realizan automticamente las ecuaciones matemticas al tiempo de ejecucin y muestran el valor calculado en la ubicacin designada.
356
357
MANUAL DE USUARIO
Puede exportar informes individuales y grupos completos de informes con su contenido. Para exportar un informe 1. 2. 3. 4. 5. Haga clic con el botn derecho en el informe (o grupo de informes) que desea exportar. Seleccione Exportar en el men contextual (o la barra de herramientas). Desplcese hasta la ubicacin en la que desea guardar el informe. Escriba un nombre para el informe. Haga clic en Guardar para exportar el informe.
358
Nota: Puede adems exportar un informe de activos en formato .CSV para utilizarlo con otras herramientas de generacin de informes. Los informes .CSV se pueden exportar a uno de los formatos siguientes: HTML, RTF o TXT.
Informe de antivirus
Se pueden agregar nuevos datos de aplicaciones antivirus (nombre, versin y tamao) al archivo Anti-VirusSummary.ini, para que el rastreador de inventario pueda recopilar los datos y ponerlos a la disposicin con fines de informes. Una vez que ha agregado de forma manual la informacin sobre una aplicacin al archivo, utilice la herramienta Monitor de licencias de software para agregar el archivo a la lista de rastreo. Siga las instrucciones determinadas enAdding files to LDAPPL3 para agregar el archivo actualizado Anti-VirusSummary.ini.
359
MANUAL DE USUARIO
Al completar los dilogos de creacin de secuencias de comandos para estas tareas se genera un archivo de texto ASCII en el formato de Windows INI, con extensin .INI. Las secuencias de comandos se almacenan en el servidor central en la carpeta \Archivos de programa\LANDesk\ManagementSuite\Secuencias de comandos. El nombre del archivo de la secuencia de comandos se convierte en el nombre de la secuencia de comandos en la consola. Las secuencias de comandos de distribucin de software son la excepcin. No crean un archivo INI, y en cambio se almacenan en la base de datos. Las secuencias de comandos contienen informacin sobre la tarea que se est completando, no de los dispositivos en los que se ejecuta. Las secuencias de comandos utilizan un lenguaje de secuencias de comandos nico para Management Suite. Para obtener ms informacin sobre secuencias de comandos, consulteProcessing custom scripts. Lea este captulo para obtener informacin sobre: "Administracin de secuencias de comandos" en la pgina 361 "Programacin de tareas" en la pgina 362 "Uso de la ventana Tareas programadas" en la pgina 362 "Asignacin de destinos a una tarea" en la pgina 365 "Lo que se ve cuando se ejecutan las tareas" en la pgina 367 "Monitoreo del estado de las tareas" en la pgina 367 "Visualizacin de registros de tareas" en la pgina 367 "Uso de las secuencias de comandos predeterminadas" en la pgina 368 "Uso de la base de datos central de resumen para programar tareas globalmente" en la pgina 369
360
La ventana Administrar secuencias de comandos divide las secuencias en tres categoras: Mis secuencias de comandos: secuencias de comandos creadas. Todas las secuencias de comandos: todas las secuencias de comandos que se encuentran en el servidor central. Secuencias de comandos de usuarios (solo visibles para los administradores de Management Suite): Secuencias de comandos creadas por todos los usuarios de Management Suite. Se ordenan por nombre de usuario de quien las cre.
Puede crear grupos en el elemento Mis secuencias de comandos para clasificar an ms las secuencias de comandos. Para crear una nueva secuencia de comandos, haga clic en el elemento Mis secuencias de comandos o un grupo que haya creado, y luego haga clic en el tipo de secuencia de comandos que desee crear. Una vez creada la secuencia de comandos, puede hacer clic en Programar en el men contextual de la misma. Esta operacin inicia la ventana Tareas programadas (Herramientas | Distribucin | Tareas programadas), donde se pueden especificar los dispositivos sobre los que se ejecutara la tarea, y cundo se deber ejecutar. Para obtener ms informacin sobre la programacin de tareas, consulte la siguiente seccin. Debido a las capacidades especficas admitidas en la consola de Windows, las secuencias de comandos creadas en la consola de Windows no deben modificarse en la consola Web.
Cambios a la propiedad de las tareas y secuencias de comandos para los usuarios de versiones anteriores de Management Suite.
Con las versiones de Management Suite anteriores a 8.5, todas las secuencias de comandos eran globales y todos los usuarios podan verlas. En Management Suite 8.5, las secuencias de comando slo son visibles al creador de las mismas y a los administradores de Management Suite.
361
MANUAL DE USUARIO
La ventana Administrar secuencias de comandos (Herramientas | Distribucin | Administrar secuencias de comandos) ahora tiene una columna de Estado. La columna Estado dice Pblico si todos los usuarios pueden ver la secuencia de comandos, o Privado si slo el usuario que la cre o los administradores pueden verla. Los usuarios pueden hacer clic en el botn derecho en las secuencias de comando que hayan creado y habilitar o deshabilitar la opcin Secuencia pblica. Los administradores pueden cambiar el estado de cualquier secuencia de comandos.
Programacin de tareas
La ventana Tareas programadas muestra el estado de las mismas y si stas se realizaron con xito o no. El Servicio programador puede comunicarse con los dispositivos de dos maneras distintas: A travs del agente LANDesk estndar (debe estar ya instalado en los dispositivos). A travs de una cuenta del sistema a nivel de dominio. La cuenta que elija debe tener el inicio de sesin como un privilegio del servicio. Para obtener ms informacin sobre la configuracin de la cuenta del programador, consulte"Configuracin del servicio programador" en la pgina 307.
La consola incluye secuencias de comandos que se pueden programar para que realicen tareas de mantenimiento de rutina; por ejemplo, ejecucin de rastreos de inventario en dispositivos seleccionados. Puede programar estas secuencias de comandos desde Herramientas | Distribucin | Administrar secuencias de comandos | Todas las dems secuencias.
362
Tareas de usuario (slo usuarios administrativos de Management Suite): Todas las tareas que han creado los usuarios.
Puede arrastrar secuencias de comandos al panel izquierdo de la ventana Tareas programadas. Cuando haya una secuencia de comandos en dicho panel, podr configurar sus destinos arrastrando dispositivos, consultas o grupos al panel derecho. Si hace clic en Mis tareas, en Tareas comunes o en Todas las tareas, el panel derecho muestra esta informacin: Tarea: nombres de las tareas. Iniciar el: momento en que est programada la ejecucin de la tarea. Haga doble clic en el nombre de una tarea para editar la hora de inicio o volver a programarla. Estado: estado general de la tarea. Para ms detalles, consulte las columnas Estado y Resultado en el panel derecho. Propietario: nombre del usuario que cre la secuencia de comandos que utiliza esta tarea.
Si hace clic en una tarea programada, el panel derecho muestra la siguiente informacin a manera de resumen: Nombre: nombre del estado de la tarea. Cantidad: cantidad de dispositivos en cada estado de la tarea. Porcentaje: porcentaje de dispositivos en cada estado de la tarea.
Si se hace clic en una categora de estado de tarea bajo una tarea, el panel derecho muestra la siguiente informacin: Nombre: nombre del dispositivo. Estado: estado de la tarea en ese dispositivo (por ejemplo, "Esperando"). Resultado: indica si la tarea se ejecut satisfactoriamente en el dispositivo. Nombre de objeto LDAP: si el dispositivo de destino se especific mediante LDAP, indica el nombre del objeto LDAP. Nombre de la consulta: si el dispositivo de destino se especific mediante una consulta, indica el nombre de la consulta. Mensaje: mensajes personalizados provenientes del dispositivo. Se utilizan con las tareas que se ejecutan en un archivo DOS de proceso por lotes. Incluya un comando que ejecute sdclient.exe con el parmetro de lnea de comandos /msg="<Mensaje que desee enviar>". Archivo de registro: si un dispositivo no logra completar la tarea, indica la ruta al archivo de registro de tareas del dispositivo.
Antes de programar tareas para un dispositivo, ste debe contener el agente LANDesk estndar y encontrarse en la base de datos de inventario. Para programar una tarea 1. En la ventana Administrar secuencias de comandos, haga clic en Secuencias de comandos | Mis secuencias de comandos o en Todas las dems secuencias y, a continuacin, en la secuencia de comandos que desee distribuir. Haga clic en el botn Programar. Se abre la ventana Tareas programadas y se agrega la secuencia a ella, donde se convierte en una tarea.
363
2.
MANUAL DE USUARIO
3. 4. 5.
En la Vista de red, seleccione los dispositivos que desee que sean los destinos de las tareas, y arrstrelos a la tarea en la ventana Tareas programadas. En la ventana Tareas programadas, haga clic en Propiedades en el men de acceso directo de la tarea. En la pgina Tarea programada, defina la hora de inicio de la tarea y haga clic en Guardar.
Puede agregar ms dispositivos a la tarea al arrastrarlos desde la vista de red y soltarlos en la tarea que desee en la ventana Tareas programadas.
Otra posibilidad es utilizar las tareas de arrastre del ratn desde el grupo Mis tareas hacia el grupo Tareas comunes.
364
Los destinos dinmicos de directiva son nicos en el sentido de que Management Suite actualiza peridicamente el resultado de estas consultas. A medida que haya dispositivos nuevos que cumplan los criterios de consulta, las tareas recurrentes que utilicen dichas consultas se aplicarn a estos dispositivos. Se pueden especificar los destinos estticos de directivas siguientes: Dispositivos de vista de red : Conjunto esttico de dispositivos de la base de datos central. Usuarios o dispositivos LDAP: Conjunto esttico de objetos de usuario y/o dispositivo.
365
MANUAL DE USUARIO
Se pueden especificar los destinos dinmicos de directivas siguientes: Vista de red del grupo: Conjunto dinmico de dispositivos de la base de datos central. Grupo/contenedor LDAP: Un conjunto dinmico de objetos de usuario, equipo o grupo. Consulta de base de datos: Conjunto de dispositivos generado por una consulta realizada en la base de datos central. Grupo de usuarios: Un grupo de usuarios seleccionado de un directorio compatible con LDAP. Consulta LDAP: Un conjunto de usuarios, dispositivos o ambos, generado mediante una consulta en un directorio compatible con LDAP.
366
stos son los estados en los que puede estar la tarea, y la categora en la que son visibles: Esperando: Listo para procesar una tarea. (categora Pendiente) Activos: Procesando la tarea actual. (categora Activo) Finalizado: Tarea procesada correctamente. (categora Satisfactorio) Ocupado: El dispositivo se encuentra procesando una tarea diferente y no pudo procesar la tarea actual. (categora Error) Error: No finaliz de procesar la tarea por alguna razn. (categora Error) Desactivado: El dispositivo se encontraba desactivado o no estaba al alcance. (categora Error) Cancelado: El usuario ha cancelado la tarea. (categora Error)
367
MANUAL DE USUARIO
368
RAS: la tarea se ejecuta si la conexin de red del dispositivo al dispositivo de destino tiene al menos una velocidad RAS o de acceso telefnico, tal como se detecta a travs del API de red. Normalmente, si se selecciona esta opcin, la tarea siempre se va a ejecutar si el dispositivo tiene una conexin de red de algn tipo. WAN: la tarea se ejecuta si la conexin del dispositivo al dispositivo de destino es al menos una velocidad WAN. La velocidad WAN se define como una conexin no RAS que es ms lenta que el umbral LAN. LAN: La tarea se ejecuta cuando la conexin del dispositivo al dispositivo de destino excede la configuracin de velocidad LAN. La velocidad LAN se define como cualquier velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la configuracin del agente (Herramientas | Configuracin | Agente | Configuracin, Deteccin de ancho de banda). Los cambios que realice entran en efecto cuando se implementa la configuracin actualizada en los dispositivos.
Para reducir el trfico de red, el estado de de las tareas delegadas no se informa en tiempo real a la base de datos central de resumen. Sino que el estado de la tarea se actualiza cada dos minutos de forma predeterminada. Haga lo siguiente para cambiar este intervalo.
369
MANUAL DE USUARIO
Para cambiar el intervalo de verificacin del estado de la tarea 1. 2. 3. 4. 5. En el servidor central, haga clic en Inicio | Programas | LANDesk | Configuracin de servicios de LANDesk. En la ficha Programador, haga clic en Avanzadas. Haga clic en Verificacin del estado de tareas delegadas y luego en Editar. Ingrese la cantidad de segundos que desea que el programador espere entre las verificaciones del estado de la tarea y luego haga clic en Aceptar. En la ficha Programador, Reinicie el servicio del programador en la base de datos central de resumen.
2. 3. 4. 5. 6.
370
Para instalar el servicio del Programador local de LANDesk en un servidor o estacin de trabajo nuevos, siga los pasos a continuacin. 1. Cree la siguiente carpeta. %ProgramFiles%\LANDesk\LDClient Copie LocalSch.exe y LTapi.dll en esta carpeta. Haga clic en Inicio | Ejecutar y escriba el siguiente comando. %ProgramFiles%\LANDesk\LDClient\localsch.exe /i
2. 3.
/i Instalar el servicio Instala el servicio del programador local en el dispositivo. Despus de instalado, deber iniciarse el programador local.
371
MANUAL DE USUARIO
/r Quitar el servicio Quita del equipo el servicio del programador local. Antes de quitar el servicio debe detenerse el servicio del programador local. /d Ejecutar en modo depuracin Ejecuta el programador local en modo depuracin. Al ejecutarse en modo depuracin, el programador local funciona como un proceso de Windows normal, en lugar de hacerlo como un servicio o pseudo servicio. Este modo no produce ninguna salida de depuracin adicional. /isinstalled Verificacin de instalacin Verifica si el servicio del programador local est instalado en el equipo local. Si el programador local est instalado, este mtodo informar S_OK o cero. Si el programador local no est instalado, se informar un valor distinto a cero. /tasks Enumerar tareas Este comando muestra las tareas configuradas actualmente en stdout, pero slo pueden verse en una interfaz de comandos si estn encaminadas hacia ms.
LocalSch.exe /tasks | ms
La salida puede redireccionarse hacia un archivo de texto, por ejemplo tasks.txt, mediante el uso de la siguiente lnea de comando:
LocalSch.exe /tasks > tasks.txt
372
/cmd=<command line> - Lnea de comando de aplicacin Especifica la lnea de comando a utilizar cuando se ejecuta la aplicacin programada. Si no se especifica este parmetro, la aplicacin programada se ejecutar sin parmetros de lnea de comando. /start="<date/time>" Hora de inicio Especifica la hora de inicio de la aplicacin. Si no se especifica este parmetro, la aplicacin se ejecutar tan pronto como sea posible. Si hay filtros especificados, los mismos debern cumplirse antes de la ejecucin de la aplicacin. La hora de inicio se define segn la hora del sistema local del equipo, y tiene el siguiente formato:
/start="06 Nov 2001 17:39:47" /bw=WAN|myserver.domain.com
Este formato es una versin resumida del formato utilizado por HTTP. El mes siempre se define mediante una abreviatura ASCII de tres letras: Ene, Feb, Mar, Abr, May, Jun, Jul, Ago, Sep, Oct, Nov o Dic. Si el formato de la fecha se especifica de manera incorrecta, la tarea no se agregar. /freq=xxx Frecuencia Especifica una frecuencia peridica. La frecuencia es la cantidad de segundos antes de que la tarea se vuelva a ejecutar. Si este parmetro no se especifica o es cero, la tarea se ejecutar slo una vez. /user Filtro de usuarios Especifica que debe crearse un filtro de usuarios para la tarea. Un filtro de usuarios evitar que la tarea se ejecute hasta que un usuario se conecte al sistema. /bw=xxx|<network host> - Filtro por ancho de banda Especifica el ancho de banda necesario para un host de red especfico. El ancho de banda puede especificarse como LAN, WAN o RAS. Si se usa otro valor de ancho de banda, el programador local quedar en el valor predeterminado de ancho de banda RAS. No se ejecutar la tarea hasta que el programador local detecte que el tipo de ancho de banda especificado est disponible entre el dispositivo y el host de red especificado. Por ejemplo, el filtro siguiente especificara que no se ejecute la tarea hasta que haya disponible al menos una conectividad WAN para el equipo myserver.domain.com.
/bw=WAN|myserver.domain.com
/tod=<begin>|<end> - Filtro por hora Especifica un filtro por hora. La tarea no se ejecutar a menos que la hora se encuentre entre las horas especificadas de inicio y fin. Los valores de hora se definen como la hora de 0 a 23. Por ejemplo, el filtro a continuacin especificara la ejecucin de una tarea entre las 7 p.m. y las 10 p.m.
373
/dow=<begin>|<end> - Filtro por da de la semana Especifica un filtro por da de la semana. La tarea no se ejecutar a menos que el da de semana se encuentre entre las horas especificadas de inicio y fin. Los das de la semana se especifican con enteros, con 0 como el domingo. Por ejemplo, el filtro a continuacin especificara la ejecucin de una tarea entre domingo y jueves.
/dow=0|4
/dom=<begin>|<end> - Filtro por da del mes Especifica un filtro por da del mes. La tarea no se ejecutar a menos que el da del mes se encuentre entre los das especificados de inicio y fin. El filtro por da del mes se define mediante un valor numrico entre 1 y 31. Por ejemplo, el filtro a continuacin especificara la ejecucin de la tarea entre el 16 y el 28 del mes.
/dom=16|28
/ipaddr - Filtro de cambio de direccin IP Especifica que la tarea se debe ejecutar siempre que cambie la direccin IP del equipo. Esta funcionalidad requiere de las bibliotecas del Asistente de IP, y no est disponible en sistemas Windows 95 ni Windows 98/NT sin Internet Explorer 4 o posterior.
374
/range=<min>|<max> Rango de IDs de tareas Especifica un valor mnimo y mximo de un rango de IDs de tareas. Puede usarse con el comando /del para quitar todas las tareas con ID dentro del rango determinado. Por lo general, cuando se genera una tarea se le asigna un ID de forma aleatoria, con el valor de la hora actual (time_t) como el ID de tarea. El ID asignado de forma aleatoria nunca ser menor a 100000. Este parmetro de lnea de comando puede usarse para especificar el ID para la tarea. Los valores 0 -1000 de ID de tarea se reservan para el uso interno de LANDesk Software. Los valores 1001-2000 de ID de tarea se reservan para el uso por parte de la interfaz del programador local de la consola de administracin.
En el comando anterior, los dos parmetros son rutas a archivos. Como ambas rutas estn en el directorio Archivos de programa, tienen espacios y deben colocarse entre comillas a fin de ser parmetros adecuados para LANDeskFileReplicatorNoUI.exe. De manera que cada parmetro entre comillas est rodeado por un segundo conjunto de comillas, y la cadena completa est a su vez rodeada por comillas.
375
MANUAL DE USUARIO
376
Distribucin de software
En este captulo se explica cmo utilizar LANDesk Management Suite para distribuir software y archivos en los dispositivos a travs de la red. Lea este captulo para obtener informacin sobre: Informacin general sobre la Distribucin de software Tipos de paquetes Mtodos de entrega disponibles Configuracin del servidor de entregas Configuracin de servidores Web de Windows 2003 para la distribucin de software Distribucin de paquetes Propietarios y derechos de distribucin Descarga de archivos Actualizacin de paquetes hash Ejecucin de paquetes desde el servidor de origen Uso de la distribucin de software con paquetes en un sistema de archivos distribuidos (DFS) Configuracin de servidores de paquete preferidos Uso de la multidifusin dirigida con distribucin de software Acerca del reinicio del punto de comprobacin del nivel de bytes y el lmite de ancho de banda dinmica Ejecucin de una aplicacin en el contexto del usuario actualmente conectado "Uso de paquetes de distribucin MSI" en la pgina 399 Distribucin de software en dispositivos Linux Resolucin de problemas de distribucin
Los dispositivos que reciben paquetes de distribucin de software deben tener instalados los agentes de LANDesk siguientes: Agente LANDesk estndar (anteriormente conocido como CBA) Agente de distribucin de software
377
MANUAL DE USUARIO
Funciones de LANDesk Targeted Multicasting que reducen el uso del ancho de banda al distribuir grandes paquetes en muchos usuarios, sin hardware dedicado o reconfiguraciones de enrutador Los mtodos de entrega permiten un control detallado sobre cmo se completan las tareas Sencillo programador de tareas que se integra con la base de datos del inventario para facilitar la seleccin final Elaboracin de informes de estado en tiempo real para cada tarea de implementacin Distribuciones basadas en polticas, que incluyen la compatibilidad para crear tareas por envo admitidas por polticas Distribucin a dispositivos Mac OS 9.22 y Mac OS X Compatibilidad con dispositivos porttiles, la cual incluye la deteccin del ancho de banda, el reinicio de puntos de comprobacin y la capacidad para completar tareas mediante una poltica Completo generador de paquetes Capacidad para distribuir cualquier tipo de paquetes, incluidos MSI, setup.exe y otros instaladores
Si no cuenta con un paquete existente que implementar, utilice la tecnologa de generacin de paquetes de Management Suite a fin de crear un programa ejecutable independiente para la instalacin del software requerido. Una vez que tenga un paquete, almacnelo en Internet o en un servidor de red denominado "servidor de entregas". A travs de la consola se puede programar la distribucin mediante la ventana Tareas programadas. El servidor central establece la comunicacin entre la ubicacin del paquete (ruta URL o UNC) y el dispositivo y, a continuacin, el dispositivo copia slo los archivos o las porciones de archivo que necesita desde el servidor de entregas. Por ejemplo, si est instalando de nuevo un programa de software porque algunos de sus archivos faltaban o estaban daados, el sistema copia slo dichos archivos, no el programa entero. Esta tecnologa tambin funciona correctamente con enlaces de redes WAN. Se puede almacenar el paquete en varios servidores y, a continuacin, programar los dispositivos para que utilicen el servidor de acuerdo con sus necesidades (es decir, segn la proximidad de la ubicacin, la disponibilidad del ancho de banda, etc.). La distribucin de software tambin reanudar las descargas de paquetes interrumpidas. Por ejemplo, si un dispositivo estuviera descargndose un paquete de gran tamao y se desconecta de la red, cuando se vuelva a conectar, la descarga se reanudar desde dnde se interrumpi. En Management Suite, la distribucin de software consiste de tres pasos principales: 1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o ms archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un paquete Linux RPM o un paquete creado con el generador de paquetes de Management Suite. Coloque el paquete en el servidor de entregas. Cree un paquete de distribucin (Herramientas | Distribucin | Paquetes de distribucin). El paquete de distribucin contiene los archivos y configuracin necesarios para instalar un paquete de software especfico, tal como el nombre del paquete, cualquier dependencia o requisito previo, parmetros de lnea de comandos, archivos adicionales necesarios para instalar el paquete, etc. Esta configuracin se guarda en la base de datos y se crea un paquete de distribucin. Una vez creado el paquete de distribucin, la informacin se guarda en la base de datos y puede utilizarse con facilidad en varias tareas.
2.
378
3.
4.
5.
6.
7.
Cree un mtodo de entrega (Herramientas | Distribucin | Mtodos de entrega). El mtodo de entrega define la forma en que el paquete se enviar a los dispositivos. Estas opciones no se asocian a un paquete de distribucin especfico. Las opciones incluyen la multidifusin dirigida y las distribuciones por envo o basadas en polticas. No cree un mtodo de entrega cada vez que desee distribuir un paquete. Los mtodos de entrega permiten definir las mejores prcticas para la implementacin del software. De forma idnea, cree una plantilla de mtodo de entrega que puede volver a utilizarse en distribuciones con el mismo mtodo de entrega. Programe las tareas de distribucin en la ventana Tareas programadas (Herramientas | Distribucin | Tareas programadas). En dicha ventana, especifique la secuencia de comandos del paquete de distribucin, el mtodo de entrega, los dispositivos que reciben el paquete de distribucin y la hora de distribucin de la tarea. Cuando llega la hora programada, el servicio programador inicia el gestor de tareas programadas, el cual implementa el paquete mediante las opciones seleccionadas en el mtodo de entrega. Dichas opciones podran incluir: Si se selecciona un mtodo de entrega que utilice la multidifusin, se utilizar la misma. Si se selecciona un mtodo de instalacin automtica, el servicio se pone en contacto con el agente de distribucin de software en cada uno de los dispositivos y le informa de que el paquete est listo para su instalacin. Si se selecciona un mtodo de entrega basado en polticas, el paquete se pone a la disposicin para su descarga. El agente de distribucin de software obtiene el paquete de la memoria cach local, de un igual de la red o del servidor de entrega, y lo procesa en el dispositivo mediante la instalacin o eliminacin de los archivos del paquete. Una vez procesado el paquete, el agente de distribucin de software enva el resultado al servidor central, donde se registra en la base de datos central.
La separacin de las tareas de distribucin en dos partes, paquetes de distribucin y los mtodos de entrega, simplifica el proceso de distribucin. Ahora puede crear plantillas de mtodo de entrega que sean independientes de un paquete particular. Por ejemplo, puede crear una plantilla predeterminada de mtodo de entrega para la multidifusin dirigida, y siempre que desee multidifundir un paquete, podr entregarlo haciendo uso de la plantilla sin tener que volver a configurar el paquete de distribucin o el mtodo de entrega. Si existen distintas personas en la organizacin que crean y distribuyen paquetes, estos cambios simplifican las funciones laborales y la divisin del trabajo. Los usuarios que crean paquetes pueden trabajar de forma independiente de los que entregan paquetes.
Tipos de paquetes
La distribucin de software admite estos tipos de paquetes: Paquete SWD Estos paquetes se crean con el Generador de paquetes de Management Suite (instalado de forma separada). Si desea ms informacin, consulte "Generacin de paquetes".
379
MANUAL DE USUARIO
MSI Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo .MSI primario y pueden incluir archivos y transformaciones compatibles. Las transformaciones personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios archivos, asegrese de agregarlos todos en el cuadro de dilogo Paquete de distribucin. Ejecutable A fin de que se utilice un paquete ejecutable para la distribucin de software, debe satisfacer el criterio siguiente: El archivo ejecutable no debe cerrarse antes de que se complete la instalacin. El archivo ejecutable debe devolver el valor cero (0) si la instalacin es satisfactoria.
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier ejecutable para la instalacin del paquete. Puede incluir archivos adicionales para los paquetes ejecutables. Archivo por lotes Los paquetes de archivos de proceso por lotes se basan en un archivo de proceso por lotes de Windows/DOS. Puede incluir archivos adicionales para estos paquetes de distribucin. El estado satisfactorio del paquete de archivos de procesamiento por lotes se basa en el valor de la variable de entorno del sistema de nivel de error cuando ha finalizado la ejecucin del archivo de procesamiento por lotes. Uso de archivos de proceso por lotes en tareas en dispositivos Windows 95/98 En Windows 95/98, cuando command.com ejecuta un archivo de proceso por lotes que contiene un ejecutable de Windows, el archivo de proceso por lotes ejecutar el ejecutable y continuar con la ejecucin de comandos en el dicho archivo sin esperar. Cuando el archivo de proceso por lotes finaliza, el servidor central recibir un resultado pero no necesariamente cuando finalice el ejecutable de Windows. En este caso, el servidor central no sabr si el ejecutable de Windows se ejecut correctamente e informar una implementacin satisfactoria si los dems comandos DOS se ejecutaron de forma exitosa. Si el archivo de proceso por lotes ejecuta un ejecutable DOS, antes de continuar, el archivo de proceso por lotes tendr que esperar que el ejecutable finalice. Para los ejecutables DOS, cuando todos los procesos hayan finalizado el servidor central recibir un resultado. Macintosh Se puede descargar cualquier archivo de Macintosh, aunque Management Suite no permite la descarga directorios. Los paquetes de instalacin (.PKG) pueden contener directorios. Se deben comprimir. Si el archivo descargado tiene la extensin .SIT, .ZIP, .TAR, .GZ, .SEA o .HQX, Management Suite descomprimir el archivo antes de regresar. (Es necesario que los usuarios se aseguren de que Stuffit Expander* tiene la opcin de "comprobacin de nuevas versiones" deshabilitada; de lo contrario, un cuadro de dilogo interrumpir la ejecucin de las secuencias de comandos.)
380
Linux RPM Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso compartido Web para que funcione la distribucin en Linux RPM.
381
MANUAL DE USUARIO
Paquetes de distribucin de software: El paquete puede consistir de uno o ms archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un paquete Linux RPM o un paquete creado con el generador de paquetes de Management Suite. En la mayora de los casos, el paquete de software debe contener todo lo necesario para instalar la aplicacin que se est distribuyendo.
Si ha utilizado versiones de Management Suite anteriores a la versin 8.5, notar que la administracin de polticas de aplicacin ya no se encuentra en el men Herramientas. La administracin de polticas es ahora parte de los cuadros de dilogo Paquetes de distribucin y Mtodos de envo. Los paquetes APM tradicionales se actualizan a los paquetes de distribucin, los mtodos de entrega y las tareas programadas. Las secuencias de comandos permanecen sin alteracin.
Microsoft Internet Information Server 5.0 o superior con SO Windows NT o Windows 2000/2003, o cualquier servidor Web compatible con HTTP 1.1 y con intervalo de bytes.
382
Servidor de entregas
Requisitos
Para configurar un servidor Web para la distribucin de software Las instrucciones siguientes explican cmo crear un directorio virtual en un servidor Web y habilitarlo para su exploracin. En general, los directorios virtuales deben permitir la lectura y exploracin de directorio, y debe estar habilitado el acceso annimo al directorio virtual. Si se establece la ejecucin, no se compartir correctamente. Puede que desee deshabilitar los permisos de escritura para que los dispositivos no puedan modificar el contenido del directorio. 1. Cree un directorio en el servidor Web en el que desee almacenar los paquetes de distribucin de software. La ubicacin habitual de estos directorios en un servidor Web IIS suele ser un subdirectorio de c:\inetpub\wwwroot. Copie los paquetes en este directorio. En el Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, en Administrador de servicios Internet. En el panel derecho, haga doble clic en el icono con el nombre del dispositivo y, a continuacin, haga clic en Sitio Web predeterminado. En una zona vaca del panel derecho, haga clic con el botn derecho en Nuevo y, a continuacin, haga clic en Directorio virtual. En el asistente, haga clic en Siguiente y, a continuacin, introduzca un alias para el directorio. Haga clic en Siguiente. Introduzca la ruta de acceso o desplcese hasta ella y, a continuacin, haga clic en Siguiente. En el cuadro de dilogo Permisos de acceso, habilite Ejecutar archivo de comandos y Examinar. De esta forma se pueden examinar los paquetes al crear el paquete de distribucin. Haga clic en Siguiente y en Finalizar. En el men contextual del directorio virtual que ha creado, haga clic en Propiedades. En la ficha Documentos , borre la opcin Habilitar pgina de contenido predeterminado y haga clic en Aceptar. Las pginas predeterminadas pueden interferir con la capacidad de la carpeta compartida de proporcionar un directorio que se pueda navegar. En la ficha Seguridad del directorio, haga clic en el botn Editar en el cuadro Acceso annimo y control de autenticacin. Asegrese de que est seleccionada la opcin Autenticacin integrada de Windows. Tambin asegrese de que est deshabilitada la opcin Digest authentication para servidores de dominio de Windows. Para habilitar el puerto 80 del servidor Web, en el panel izquierdo, haga clic con el botn derecho en Sitio Web predeterminado. Haga clic en Propiedades. En el cuadro de dilogo Identificacin del sitio Web, el valor mostrado en el cuadro Puerto TCP debe ser 80. Si no es as, haga clic en Avanzadas para aadir el puerto.
2. 3. 4. 5. 6. 7. 8.
9. 10.
11.
12. 13.
383
MANUAL DE USUARIO
14. Asegrese de que el sitio Web se encuentre disponible al abrir un explorador e introducir la URL del servidor Web y el directorio virtual. Por ejemplo, si el nombre del servidor Web es Test y el nombre del directorio virtual es Paquetes, introduzca la URL siguiente: http://Test/Packages Debera aparecer una lista de los paquetes que se han copiado en este directorio. El tamao y el nmero de paquetes que se almacenen en este directorio slo est limitado por el espacio libre en disco. Se pueden crear subdirectorios para agrupar los paquetes de forma lgica. Cada subdirectorio que se crea debe contar con el conjunto de permisos de acceso, tal como se describe en la tarea Para configurar un servidor Web para la distribucin de software. Despus de copiar los paquetes en un recurso compartido de paquetes de un servidor Web, estos se tratan y preparan para copiarlos en los dispositivos de destino. Cuando llega el momento programado, la ruta UNC o URL del paquete se transmite al programa SDCLIENT.EXE (el agente del dispositivo) como un parmetro de la lnea de comandos. SDCLIENT.EXE administra la transferencia de archivos, inicia la instalacin y proporciona informes sobre el estado. Aunque el protocolo HTTP se utiliza para la transferencia de archivos, el informe de estado se proporciona a travs del agente LANDesk estndar. El servidor Web se comunica con el dispositivo para garantizar que el paquete se copie correctamente. Si se interrumpe la transmisin del paquete durante la descarga, el servidor Web puede hacer uso del protocolo HTTP para reanudar la descarga en el punto en que se detuvo. No obstante, el servidor Web no verifica que el paquete se haya instalado correctamente. Dicho trfico se basa en el protocolo TCP y proporciona el estado al servidor central mediante el agente LANDesk estndar.
384
4. 5. 6. 7.
En el servidor de red, haga clic en Inicio | Ejecutar y desplcese hasta la carpeta LDMAIN\Utilities del servidor central. Ejecute la utilidad SYSSHRS.EXE. aunque esta utilidad advierte de que est diseada para dispositivos Windows NT, tambin funciona con dispositivos Windows 2000/2003. Verifique la carpeta compartida establecida anteriormente, haga clic en Aplicar y, a continuacin, en Cerrar. Copie los paquetes de distribucin de software en esta carpeta del servidor de red.
El tamao y el nmero de paquetes que se almacenan en el servidor de red slo est limitado por el espacio libre en disco. Para obtener ms informacin sobre la utilidad SYSSHRS.EXE, descargue el paquete SHARES.EXE de la direccin http://www.landesk.com/support/downloads/Resource.aspx?pvid=12&rtid=10 y extraiga la documentacin.
No se puede utilizar Windows Server 2003 con un recurso compartido de sesin nula si asp.net se encuentra instalado. Si configura un recurso de sesin nula en un servidor de Windows 2003 en el cual se encuentra instalado asp.net e intenta crear un paquete de distribucin, el servidor central intentar la autenticacin con las credenciales de usuario de asp.net y fallar.
385
MANUAL DE USUARIO
IIS 6 maneja los directorios virtuales de forma distinta que IIS 5 (IIS 5 era el servidor Web de Windows 2000). En el servidor IIS 6, si selecciona un directorio y desde su men contextual lo convierte en una carpeta compartida Web, el directorio se registra en IIS 6 como una aplicacin Web en lugar de un directorio virtual. El problema es que como aplicacin Web, al intentar seleccionar un archivo ejecutable, el servidor Web intenta ejecutar el archivo como una aplicacin Web en vez de descargar el archivo al usuario. La solucin es acceder a IIS, cambiar el directorio compartido de una aplicacin Web a un directorio virtual y desactivar los permisos de ejecucin. Al alojar los archivos en un servidor IIS 6, los archivos sin un tipo de archivo MIME registrado resultan en un error HTTP 404 de archivo no encontrado. Esto resulta en que falla la multidifusin y/o instalacin del archivo a menos que registre los tipos de archivo MIME. Para registrar los tipos de archivo MIME Inicie Internet Information Services (IIS) Manager. Expanda el equipo local en el rbol. Haga clic en Sitios Web | Sitio Web predeterminado. En el men contextual de la carpeta compartida Web del paquete, haga clic en Propiedades. 5. Haga clic en la ficha Encabezados HTTP. 6. Haga clic en Tipos MIME. 7. Haga clic en Nuevo. 8. En el cuadro Extensin, escriba un asterisco (*). 9. En el cuadro Tipo MIME, escriba un nombre. 10. Haga clic en Aceptar dos veces para aplicar los cambios. 1. 2. 3. 4.
Distribucin de paquetes
Un paquete de distribucin consiste en los archivos del paquete que desee distribuir, cualquier archivo adicional que el paquete necesite, y las configuraciones que describan los componentes del paquete y su comportamiento. Deber crear el paquete antes de que le cree una definicin del paquete para su distribucin. Las instrucciones siguientes detallan cmo crear paquetes de distribucin de software. Para que el paquete se ejecute correctamente, es necesario que exista el paquete de distribucin de software en un servidor Web o de red y que el agente de distribucin de software se encuentre instalado en los dispositivos. Se requieren tres pasos principales para distribuir paquetes a los dispositivos. 1. 2. 3. Cree un paquete distribucin para el paquete que desee distribuir. Cree un mtodo de entrega. Programe el paquete y el mtodo de entrega para la distribucin.
Para crear un paquete de distribucin 1. 2. Cree el paquete que desee distribuir. Haga clic en Herramientas | Distribucin | Paquetes de distribucin.
386
3. 4.
5.
En el men de acceso directo del grupo de paquete que desee, haga clic en Nuevo paquete de distribucin | el tipo de paquete que desee crear. En el cuadro de dilogo Paquete de distribucin, escriba la informacin del paquete y cambie las opciones que desee. Recuerde que debe escribir el nombre del paquete, la descripcin y el archivo principal. Haga clic en Ayuda para obtener informacin sobre cada una de las pginas. Cuando haya finalizado, haga clic en Aceptar. La secuencia de comandos aparece debajo del elemento de rbol del tipo de paquete y del propietario que ha seleccionado.
Para crear un mtodo de entrega 1. Si ya ha configurado el mtodo de entrega que desea utilizar o si utiliza uno de los mtodos de entrega predeterminados, vaya al procedimiento siguiente, "Para programar una distribucin de tareas". Haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men de acceso directo del mtodo de entrega que desee utilizar, haga clic en Nuevo mtodo de entrega. En el cuadro de dilogo Mtodo de entrega, escriba la informacin de entrega y cambie las opciones que desee. Haga clic en Ayuda para obtener informacin sobre cada una de las pginas. Cuando haya finalizado, haga clic en Aceptar. La secuencia de comandos aparece debajo del elemento de rbol del tipo de mtodo de entrega y del propietario que ha seleccionado.
2. 3. 4.
5.
Para programar una tarea de distribucin Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. 3. En la pgina Paquete de distribucin, seleccione el paquete de distribucin que ha creado. 4. En la pgina Mtodos de entrega, seleccione el mtodo de entrega que desee utilizar. 5. Haga clic en Guardar para guardar los cambios. 6. En la vista de red, arrastre los destinos a la tarea en la ventana Tareas programadas. Los destinos pueden incluir los dispositivos individuales, grupos de equipos, objetos LDAP (usuario, equipo y grupo), consultas LDAP y consultas de inventario. 7. En el men contextual de esa tarea, seleccione Propiedades. 8. La pgina Dispositivos destino muestra los dispositivos que recibirn la tarea. 9. En la pgina Tarea programada, escriba el nombre de la tarea y la programacin de la misma. 10. Vuelva a la pgina Introduccin y confirme que la tarea se haya configurado debidamente. 11. Al finalizar, haga clic en Guardar. Observe el progreso de la tarea en la ventana Tareas programadas. 1. 2.
387
MANUAL DE USUARIO
388
Puede especificar los paquetes preliminares y finales al programar una tarea de distribucin. La pgina Paquete de distribucin del cuadro de dilogo Tareas programadas - Propiedades contiene las opciones Paquete preliminar y Paquete final. Antes de seleccionar estas opciones, debe ir a la pgina Mtodo de entrega y seleccionar un mtodo de entrega de instalacin automtica. Para ello, haga clic en Instalacin automtica en el Tipo de entrega y haga clic en el Mtodo de entrega que desee utilizar. Para utilizar varios paquetes de distribucin en una tarea 1. 2. 3. 4. 5. 6. Cree los paquetes que desee utilizar en la tarea. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. En la ficha Mtodo de entrega, haga clic en Instalacin automtica en el Tipo de entregay haga clic en el Mtodo de entrega que desee utilizar. En la ficha Paquete de distribucin, haga clic en el Tipo de paquete y en el Paquete de distribucin que desee utilizar. Haga clic en Paquete preliminar, en Paquete principal o en Paquete final, en funcin de cundo desee que se instale el paquete, y haga clic en Establecer. Repita los pasos 4 y 5 para los dems paquetes que desee instalar con esta tarea. Solamente puede haber un paquete en cada etapa y siempre debe haber un Paquete principal. Finalice la configuracin de la tarea y progrmela.
7.
Descarga de archivos
La distribucin de software ofrece varios mtodos para la entrega de archivos a los dispositivos para su instalacin. Entre ellos se incluyen: La obtencin del archivo de la memoria cach de multidifusin La obtencin del archivo de un par La descarga directa del origen remoto
Si se necesita descargar un archivo, el agente de distribucin de software, SDClient, primero busca en la memoria cach a fin de determinar si el archivo se encuentra all. La memoria cach se define ya sea en C:\Archivos de programa\LANDesk\LDClient\sdmcache o en la ruta almacenada en el Directorio de cach bajo la clave de registro Multicast: HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\LDWM\Distribution\Multicast
La estructura de los archivos en la memoria cach es idntica a la estructura de los mismo en el servidor Web o de red. Esto permite que varios paquetes tengan archivos con el mismo nombre sin que se produzcan problemas. Si el archivo no se encuentra en la memoria cach, por lo general, SDClient intenta descargas el archivo de un par de la red. Puede configurar el mtodo de entrega para que requiera la descarga de un par.
389
MANUAL DE USUARIO
Si no se puede obtener el archivo de un par, SDClient descarga los archivos directamente del origen UNC o URL. Puede configurar el mtodo de entrega de modo que si el archivo se obtiene del origen, solamente un dispositivo del dominio de multidifusin se descargue del archivo a partir de la ubicacin de origen. Bajo la mayora de las circunstancias, al descargar de un recurso compartido UNC, se requiere que ste sea un recurso compartido de sesin NULA. Si el archivo que se va a descargar est basado en URL, SDClient lo descarga del sitio Web. En cualquier caso, SDClient coloca el archivo en la memoria cach de multidifusin. Despus de colocarlo all, SDClient procesa el archivo descargado. Cuando se descarga un archivo en la memoria cach, permanece ah durante varios das, pero con el tiempo se elimina de dicha memoria. La cantidad de tiempo que el archivo permanece en la memoria cach se controla a travs del mtodo de entrega utilizado cuando se implementa el paquete.
390
Cuando utiliza la ejecucin desde el origen con paquetes almacenados en los recursos compartidos Web, el archivo primario debe ser un archivo MSI o un paquete SWD. Con los recursos compartidos UNC, el archivo primario puede ser de cualquier tipo. Para crear un mtodo de entrega que utilice la ejecucin desde el origen 1. 2. 3. Haga clic en Herramientas | Mtodos de entrega | Uso de red. Haga clic en Usar ejecucin desde el origen para desplegar archivos. Termina de configurar el mtodo de entrega.
MANUAL DE USUARIO
Cuando se utilizan servidores preferidos con una tarea de distribucin, slo se reemplaza la parte del servidor de la ruta UNC o URL del archivo/paquete; el resto de la ruta debe ser igual a la que se especific en la tarea de distribucin. Si el archivo no se encuentra en el servidor preferido, se descarga de la ubicacin especificada en el paquete de distribucin. La Multidifusin (cach nicamente) es el nico mtodo de distribucin que no es compatible con los servidores preferidos. El servidor central tambin utiliza servidores preferidos. El servidor central utiliza los hash del paquete de distribucin para verificar los paquetes de distribucin en las tareas programadas. El servidor central primero intentar generar estos hash desde un servidor preferido. Si se utiliza un servidor preferido local se acelera el proceso de creacin de hash. Si el paquete no est disponible en uno de los servidores preferidos, el servidor central regresa a la generacin del hash de paquete a partir de la ruta especificada en el paquete de distribucin. Por lo general, no es recomendable que el servidor central obtenga un paquete grande a travs del enlace WAN para el proceso de hash, de modo que los archivos hash de un servidor local al central son ms rpidos y utilizan menos ancho de banda de baja velocidad. Los dispositivos administrados almacenar la lista del servidor preferido de forma local en el archivo preferredserver.dat. Para crear este archivo, el dispositivo se comunica con el servidor central y realiza una lista filtrada de servidores preferidos (basada en los lmites de rango de la direccin IP si es que existen). Luego, el dispositivo realiza una comprobacin de ancho de banda en todos los servidores preferidos y guarda los tres primeros en el archivo preferredserver.dat. Tenga en cuenta que la comprobacin de ancho de banda no genera resultados confiables garantizados. Por ejemplo, es probable que un servidor que est cerca tenga una carga alta cuando el agente lo compruebe y entonces se lo quite del medio aunque normalmente sea el mejor candidato. El agente de distribucin actualiza el archivo preferredserver.dat cada 24 horas o cuando cambia la direccin IP: No todos los dispositivos deben realizar este proceso. Los dispositivos comparten las listas de servidores preferidos con sus pares. ste es el proceso que realizan los dispositivos administrados para mantener actualizada la lista de servidores preferidos: 1. 2. 3. Si el archivo preferredserver.dat se ubica en la cach del archivo local, el agente de distribucin la utiliza. Si preferredserver.dat est en un par, el agente recupera el archivo desde all. Si preferredserver.dat no se encuentra disponible de forma local o en par, el dispositivo se pone en contacto con el servidor central, crea una lista filtrada de servidores preferidos y la guarda de forma local como preferredserver.dat. Si preferredserver.dat est vaco o si ninguno de los servidores preferidos responde, el agente busca la lista de servidores preferidos en el registro local.
4.
Si como resultado de estos pasos no se obtiene ningn servidor preferido, el agente local utiliza la ruta de distribucin especificada en la tarea de distribucin. Para configurar servidores de paquete preferidos 1. 2. 3. Haga clic en Configurar | Servidor preferido. Haga clic en Agregar para agregar un servidor nuevo o haga clic en una entrada existente y luego en Editar. Ingrese la informacin del servidor. Si desea utilizar rangos de direccin IP en los que este servidor debe estar disponible, ingrselos y haga clic en Agregar.
392
4. 5.
Haga clic en Probar credenciales para asegurarse de que las credenciales proporcionadas funcionan. Haga clic en Aceptar.
393
MANUAL DE USUARIO ; Para evitar retrasos cuando los servidores ms preferidos no tienen un paquete , la lgica de redireccin comenzar a preferir servidores que realmente le hayan estado proporcionando archivos al cliente. Las siguientes opciones de registro controlan cuando un ; servidor asciende en la lista. El valor ServerHistoryUseCount indica la cantidad ; de veces que se debe utilizar un servidor antes de moverlo al principio de la lista, ; el valor ServerHistoryCacheTime indica por cunto tiempo debe recordarse (en segundos). REG52=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHist oryUseCount, 3, , REG_DWORD REG53=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHist oryCacheTime, 3600, , REG_DWORD
Autenticacin de UNC
Cuando se agregan servidores preferidos (Configurar | Servidor preferido), tambin se deben proporcionar las credenciales que los dispositivos deberan utilizar cuando accedan al servidor preferido. Por razones de seguridad, asegrese de que estas credenciales proporcionen acceso de slo lectura. Los dispositivos obtienen estas credenciales del servidor central y las utilizan para autenticarse con el servidor preferido. Cuando se utilizan servidores preferidos agregados al cuadro de dilogo Credenciales del servidor, ya no hace falta configurar los recursos compartidos de los paquetes para que sean de sesin nula, como haba que realizarlo con las versiones anteriores. Mientras las credenciales que proporcione para el servidor preferido funcionen con el recurso compartido del paquete (Haga clic en Probar credenciales en el cuadro de dilogo Nombre de usuario y contrasea), los dispositivos administrados deberan poder acceder al recurso compartido.
Acerca del reinicio del punto de comprobacin del nivel de bytes y el lmite de ancho de banda dinmica
Management Suite 8 y versiones posteriores son compatibles con el reinicio del punto de comprobacin nivel de bytes de distribucin y el lmite del ancho de banda dinmico. El reinicio del punto de comprobacin funciona con tareas de distribucin que SWD copia en primer lugar en la carpeta de la memoria cach del dispositivo (de forma predeterminada, C:\Archivos de programa\LANDesk\LDClient\SDMCACHE). Cuando se selecciona la opcin de control del ancho de banda, los archivos se copian primero en la memoria cach del dispositivo y el reinicio del punto de comprobacin permite distribuciones interrumpidas para reanudar las tareas en el punto en que se quedaron.
394
El lmite de ancho de banda dinmico especifica que el trfico de red que crea un dispositivo tiene prioridad sobre el trfico de distribucin. Esta opcin tambin hace que se realice una descarga completa del archivo en la cach del dispositivo, que asimismo permite el reinicio del punto de comprobacin del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron si se interrumpieron. Si selecciona esta opcin y deja el porcentaje del ancho de banda mnimo disponible en 0, una vez que el dispositivo inicie el trfico de la red, la distribucin disminuye a un paquete por segundo hasta que se detiene el trfico. Al aumentar el ancho de banda mnimo disponible se garantiza aproximadamente la cantidad del ancho de banda del dispositivo que ha especificado para la distribucin si sta necesita tal ancho de banda y existe una pugna por el ancho de banda en el dispositivo. Si reinstala o repara un paquete SWD o MSI, no es conveniente utilizar la opcin de lmite del ancho de banda dinmico ya que estos tipos de paquete slo descargan los archivos que necesitan. Si se limita el ancho de banda dinmico en este caso, se realizar una descarga completa del paquete cuando normalmente habra bastado con una pequea parte del paquete. El lmite dinmico de ancho de banda no est disponible en los dispositivos Windows 95, Macintosh o DOS Los dispositivos Windows 98 y Windows NT pueden utilizar el lmite de ancho de banda dinmico si tienen instalada la versin 4 de Internet Explorer. Puede configurar el lmite de ancho de banda colectivo de modo que solamente un dispositivo del dominio de multidifusin descargue del origen remoto. Tambin puede configurar la cantidad de ancho de banda utilizada al descargar del origen. Esta caracterstica est disponible en todas las versiones de los sistemas Windows. El lmite de ancho de banda colectivo no est disponible en los sistemas Macintosh o DOS
395
MANUAL DE USUARIO
Cuando se compara con los mtodos de distribucin de software convencionales, la multidifusin dirigida reduce de forma significativa el tiempo y el ancho de banda necesarios para entregar los paquetes de software. En lugar de enviar un paquete por el cable para cada dispositivo, se realiza slo una transferencia por cada subred. Al utilizar un ancho de banda menor, se puede incrementar el nmero de dispositivos en cada subred. Se puede activar la Multidifusin dirigida desde las propiedades del mtodo de envo al activar la opcin Usar multidifusin para implementar archivos en la pgina Multidifusin de las propiedades de Mtodos de envo. La multidifusin est disponible en los mtodos de envo multidifusin (slo cach), automtico y automtico apoyado en polticas. En la pgina Multidifusin encontrar varias pginas que permiten la configuracin de la Multidifusin. Al iniciar una distribucin mediante la multidifusin dirigida, se muestra la ventana Distribucin de software de multidifusin. Esta ventana incluye informacin detallada sobre el estado del proceso de distribucin. Para obtener ms informacin sobre el significado de cada campo, haga clic en el botn Ayuda de la ventana Distribucin de software de multidifusin. Los dispositivos Windows y Macintosh OS 10.2 son compatibles con la multidifusin dirigida. Adems, puede multidifundir las imgenes de despliegue de SO.
396
La multidifusin dirigida utilizar el primer equipo por subred del grupo Representantes de dominio de multidifusin que responda. Slo pueden ser representantes de dominio de multidifusin los equipos de Windows. Si va a aplicar la multidifusin para distribuir paquetes a equipos Macintosh, asegrese de que existe como mnimo un equipo de Windows en el dominio de multidifusin que puede actuar como representante de dominio para los equipos Macintosh. Si slo dispone de unos cuantos equipos de Windows en un entorno en que predomina Macintosh, lo ms conveniente es especificar los representantes de dominio de Windows en el grupo Representantes de dominio de multidifusin. Puede forzar la multidifusin cambiando la opcin Nmero mnimo de milisegundos entre transmisiones de paquetes en la pgina Tiempo del paquete dentro de la pgina Multidifusin en las ventanas de mtodos de envo Envos por entrega apoyada en poltica, Automtico y Multidifusin. Tambin puede personalizar las opciones de multidifusin dirigida del cuadro de dilogo Configurar servicios de Management Suite. Para configurar el servicio de multidifusin dirigida, haga clic en la ficha Configurar | servicios | Multidifusin. Haga clic en Ayuda en esa ficha para obtener ms informacin.
397
MANUAL DE USUARIO
Si no hay ningn usuario conectado en el sistema cuando se ejecuta STARTASUSER.EXE, la aplicacin devolver el error estndar de Windows ERROR_NOT_LOGGED_ON (1245). Todas las opciones de lnea de comandos para la aplicacin STARTASUSER.EXE estn precedidas con tres barras inclinadas (///). Esto se realiza para impedir confusiones con las opciones de lnea de comandos de la aplicacin ejecutada. A continuacin, se incluyen con ms detalles las opciones de lnea de comandos. ///silent Esta opcin produce que el proceso creado se inicie como oculto, esto debera impedir que se visualice alguna ventana de la aplicacin. ///timeout=x Esta opcin controla el tiempo de espera (en segundos) para la aplicacin ejecutada. Si no se ha completado la aplicacin ejecutada antes de se produzca el tiempo de espera especificado, la aplicacin startasuser.exe saldr con el error estndar de Windows WAIT_TIMEOUT (258). ///? Esta opcin causa que se visualice el uso de la lnea de comando en stdout. Debido a que STARTASUSER.EXE es una aplicacin de Windows, la ayuda no se mostrar de forma predeterminada en el indicador del comando. Utilice la siguiente lnea de comandos para que se visualice la ayuda dentro de un indicador de comando.
startasuser.exe ///? | more
command line Despus de cualquier opcin de STARTASUSER.EXE, especifique la lnea de comandos completa para ejecutar la aplicacin. Los siguientes dos ejemplos muestran la forma para usar la aplicacin STARTASUSER.EXE a fin de ejecutar un ejecutable o instalar un MSI. Para ejecutar un ejecutable (en este caso, regedit) como el usuario actualmente conectado 1. 2. 3. 4. 5. 6. Cree un archivo de proceso por lotes para la siguiente lnea de comandos: startasuser.exe ///timeout=300 regedit.exe Guarde el archivo de proceso por lotes en un servidor de archivos configurado para usarse con la distribucin de software. En la consola LANDesk Management Suite, haga clic en Herramientas | Distribucin | Paquetes de distribucin. Desde el men contextual del grupo Mis paquetes de distribucin, haga clic en Nuevo paquete de distribucin | Nuevo paquete de archivo de proceso por lotes. Agregue el archivo de proceso por lotes guardado en el paso dos como paquete de distribucin principal. Guarde el paquete de distribucin.
398
Este paquete ahora se puede usar en una tarea de distribucin de software y har que la aplicacin regedit se ejecute en el contexto del usuario actualmente conectado. Para instalar un paquete MSI como el usuario actualmente conectado: 1. 2. Cree un archivo de proceso por lotes para la siguiente lnea de comandos: startasuser.exe msiexec.exe /I <name>.msi Cuando cree el archivo de proceso por lotes sustituya <nombre> con el nombre del paquete MSI a ejecutar. En caso de ser necesario, agregue opciones adicionales de la lnea de comandos MSI. Guarde el archivo de proceso por lotes en un servidor de archivos configurado para usarse con la distribucin de software. En el mismo servidor de archivos, preferentemente en la misma ubicacin, agregue el paquete MSI y cualquier archivo adicional. En la consola LANDesk Management Suite, haga clic en Herramientas | Distribucin | Paquetes de distribucin. Desde el men contextual del grupo Mis paquetes de distribucin, haga clic en Nuevo paquete de distribucin | Nuevo paquete de archivo de proceso por lotes. Agregue el archivo de proceso por lotes guardado en el paso dos como paquete de distribucin principal. Guarde el paquete de distribucin.
3. 4. 5. 6. 7. 8.
Ahora este paquete se puede utilizar en una tarea de distribucin de software y se instalar el paquete MSI mediante el usuario actualmente conectado.
Cuando se utiliza un paquete de distribucin MSI, no pueden utilizarse los conmutadores especficos de Msiexec como parte de la distribucin de software.
399
MANUAL DE USUARIO
Parmetros de opcin
Los parmetros de opcin son los conmutadores que utiliza la herramienta de instalacin de Microsoft, Msiexec.exe. Por ejemplo, el conmutador /q, es un conmutador comn para Msiexec que silencia una instalacin desatendida. En el cuadro de dilogo Paquete de distribucin - Propiedades, no se deberan ingresar los parmetros de opcin MSI en el cuadro Lnea de comandos de la pgina Instalar/Desinstalar opciones. En su lugar, Management Suite maneja estos parmetros con configuraciones en el paquete de distribucin MSI o en el mtodo de entrega. Se puede encontrar ms informacin sobre las opciones Msiexec en: http://support.microsoft.com/?kbid=227091.
400
Si el proveedor no tiene la informacin necesaria o dicha herramienta, Microsoft proporcionar una herramienta denominada Orca que puede crear un archivo de transformacin. Para obtener asistencia adicional, consulte el archivo de ayuda de Orca.
MANUAL DE USUARIO
Se pueden almacenar RPM de Linux en recursos compartidos HTTP. La distribucin de software de Linux no admite los recursos compartidos de archivos UNC. Para los recursos compartidos HTTP, compruebe que est habilitada la exploracin de directorio. Si se usa el recurso compartido HTTP en un dispositivo Windows que no sea el servidor central, se necesitar configurar el IIS con el tipo MIME adecuado para los archivos RPM. De lo contrario, el tipo MIME predeterminado que utiliza el IIS causar el fallo de RPM al descargar el archivo. Para configurar el tipo MIME RPM en los dispositivos Windows 1. 2. 3. 4. 5. 6. 7. Desde el Panel de control de Windows, abra Internet Services Manager. Vaya a la carpeta que almacena los archivos de distribucin. En el men contextual de esa carpeta, seleccione Propiedades. En la ficha Encabezados HTTP, haga clic en el botn Tipos de archivos. Haga clic en Tipo Nuevo. Para el tipo Extensin asociada, escriba rpm. Tenga en cuenta que rpm se encuentra en letras minsculas. Para el Tipo de contenido, escriba texto/sin formato. Haga clic en Aceptar para salir de los cuadros de dilogo.
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, cree un paquete de distribucin Linux nuevo en la ventana Paquetes de distribucin, ascielo con el mtodo de entrega deseado y programe el envo.
402
403
MANUAL DE USUARIO
Si se puede el paquete ver desde el dispositivo pero no se descarga debidamente, el problema podra ser que el recurso compartido de paquete basado en URL o UNC no permite el acceso annimo. Verifique el permiso del recurso compartido UNC o URL y asegrese de que permite el acceso annimo. En las ubicaciones UNC, asegrese de que se haya configurado debidamente como recurso compartido de sesin nula. No funciona la deteccin del ancho de banda Uno de los problemas ms comunes se presenta cuando se ha configurado PDS para la deteccin del ancho de banda. En la configuracin de dispositivos, una de las opciones de agente de base comn permite elegir entre PDS e ICMP para la deteccin del ancho de banda de dispositivos. Si se ha configurado un dispositivo a fin de que utilice PDS para la deteccin del ancho de banda, solamente realizar la deteccin en conexiones entre RAS y no RAS. De modo que si se configura una distribucin para que funcione solamente con conexiones de alta velocidad y el paquete se instala en un equipo con una conexin WAN, verifique que se haya configurado para que utilice ICMP en lugar de PDS.
404
La administracin basada en polticas ejecuta de forma peridica las consultas que ha configurado como parte de la poltica y aplica las polticas a los dispositivos administrados nuevos. Por ejemplo, es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea "Marketing" utilizan un conjunto estndar de aplicaciones. Despus de configurar una poltica para los usuarios de Marketing, se instalar el conjunto de aplicaciones correspondiente en los equipos de los usuarios nuevos que se agreguen a este grupo. La consola LANDesk Management Suite permite configurar las polticas de las aplicaciones, las cuales se almacenan en la base de datos central. La administracin basada en polticas permite implementar los tipos de archivo siguientes: Paquetes SWD Paquetes de Microsoft Installer (MSI) Ejecutables independientes en un archivo Archivos BAT Paquetes Macintosh
A continuacin, se muestran los pasos que hay que seguir y el funcionamiento de la administracin basada en polticas: Asegrese de que los agentes de distribucin de software se encuentren en los dispositivos. 2. Si no dispone de un paquete para la aplicacin a la que desee aplicar la directiva, cree uno. Para obtener ms informacin, consulte "Distribucin de software" en la pgina 377. 3. La ventana de distribucin de paquetes crea una definicin para el paquete. 4. Cree o seleccione un mtodo de entrega basado en polticas. 5. Cree una tarea de distribucin de software en la ventana Tareas programadas y seleccione el paquete y el mtodo de entrega a partir de los anteriores. 6. Seleccione los destinos de la poltica, lo cual puede incluir cualquier combinacin de dispositivos individuales, consultas de bases de datos, grupos de dispositivos, elementos LDAP o consultas LDAP. 7. Programe la tarea que se va a ejecutar. Al ejecutarse, el paquete de distribucin estar disponible para la instalacin automtica. 8. El servicio de administracin basada en polticas del servidor central actualiza peridicamente la lista de destinos de las polticas al volver a evaluar los resultados de las consultas de base de datos/LDAP. De esta forma se contribuye a garantizar que la base de datos central cuente con un conjunto actualizado de usuarios/equipos de destino. 9. Un usuario se conecta a un dispositivo, se conecta a la red o, en caso contrario, inicia la administracin basada en polticas. 10. El servicio de administracin basada en polticas del servidor central determina las polticas aplicables en funcin del Id. del dispositivo, el usuario que ha iniciado la sesin o la ubicacin del dispositivo LDAP. 11. El servicio enva la informacin de las polticas al agente de administracin basado en polticas. 1.
405
MANUAL DE USUARIO
12. En funcin de la configuracin establecida en el dispositivo para la administracin de polticas, stas se ejecutan de forma automtica, o bien el usuario selecciona las que desee ejecutar. En la lista del dispositivo slo se encuentran disponibles las polticas opcionales o recomendadas. En el caso de que la lista incluya una poltica recomendada sin procesar, sta se selecciona de forma predeterminada. Las polticas peridicas se muestran en la lista una vez que han transcurrido los intervalos de ejecucin correspondientes. Las polticas seleccionadas se ejecutan en orden. 13. La administracin basada en polticas enva los resultados de la poltica al servidor central, que los almacena en la base de datos central. Los informes de estado de la administracin basada en polticas se envan al servidor central mediante HTTP para una mayor fiabilidad. El estado se informa en la ventana Tareas programadas.
Configuracin de polticas
La administracin basada en polticas requiere un paquete SWD, MSI, un archivo ejecutable, un archivo de proceso por lotes o un paquete Macintosh, para las polticas creadas por usted. Los paquetes se pueden crear con anterioridad o al crear la poltica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su funcionamiento antes de utilizarlos en una poltica. Las distribuciones y polticas normales pueden utilizar el mismo paquete de distribucin. La diferencia radica en la implementacin y no en la creacin de los paquetes. Existen dos mtodos de entrega que admiten la distribucin basada en polticas: Mtodos de entrega basados en polticas: Se trata del modelo de distribucin solamente con polticas. Slo los dispositivos que satisfacen los criterios de la poltica reciben el paquete. Mtodos de entrega por envo basados en polticas: Se trata del modelo de distribucin y poltica por envo. Primero, la distribucin de software intenta instalar el paquete en todos los dispositivos de la lista de destino. De este modo, se puede realizar una implementacin inicial mediante la multidifusin dirigida. Segundo, los dispositivos que no recibieron el paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de destino dinmicas), reciben el paquete cuando lo solicite el agente de administracin basada en polticas del dispositivo.
La principal diferencia entre los mtodos de entrega estndares y el mtodo de entrega basado en polticas es que el dilogo basado en polticas Mtodos de entrega tiene la pgina Tipo y frecuencia del trabajo. Las opciones de tipo y frecuencia del trabajo afectan la forma en que actan los dispositivos cuando reciben las polticas: Requerido: El agente de administracin basada en polticas aplica automticamente las polticas necesarias sin que tenga que intervenir el usuario. Estas directivas se pueden configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el dispositivo mientras se instala una tarea requerida no deber bloquear el funcionamiento del sistema; en otras palabras, la instalacin de la aplicacin no debe precisar la intervencin del usuario. Recomendado: los usuarios pueden seleccionar cundo instalar las directivas recomendadas. stas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
406
Opcional: los usuarios pueden seleccionar cundo instalar las directivas opcionales. stas no se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado. A peticin: se pueden instalar en cualquier momento.
Para crear una distribucin basada en polticas 1. 2. En la consola, haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men contextual ya sea para la Distribucin basada en polticas o para el Mtodo de entrega por envo, apoyado en una nueva poltica, haga clic en Mtodo de entrega nuevo. Configure las opciones del mtodo de entrega que desee. Haga clic en Ayuda para obtener ms informacin sobre cada una de las pginas. Defina las opciones de Tipo y frecuencia del trabajo que desee. Cuando haya finalizado, haga clic en Aceptar. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. Configure las opciones de trabajo que desee y haga clic en Aceptar. Seleccione el trabajo de distribucin basada en polticas y arrastre los destinos de la poltica al panel derecho.
3. 4. 5. 6. 7. 8. 9.
Las distribuciones basadas en polticas tienen vigencia en cuanto se inicia la tarea de poltica y se han resuelto los destinos. Las distribuciones por envo basadas en polticas tienen vigencia despus de que se completa la distribucin automtica inicial. Adicin
de destinos
estticos
La administracin basada en polticas utiliza destinos estticos como destinos de las polticas. Los destinos estticos son una lista de usuarios o dispositivos especficos que slo se pueden modificar de forma manual. Agregue destinos estticos mediante la seleccin de dispositivos individuales como destinos en la vista de red. Los dispositivos individuales LDAP no pueden agregarse como destinos estticos.
MANUAL DE USUARIO
Para que los dispositivos reciban directivas dirigidas a travs de los servicios de directorio de NetWare o Active Directory, estos deben estar configurados para iniciar sesin en el directorio. Esto supone que deben contar con el correspondiente software de agente instalado y que sea necesario iniciar sesin en el directorio correspondiente de modo que su nombre exclusivo coincida con el nombre de destino especificado mediante el Administrador de directorios y el Administrador de polticas de aplicacin de tareas programadas. Es necesario haber configurado los dispositivos Windows 95/98 y NT para que inicien la sesin en el dominio en el que reside Active Directory. Windows NT y Windows 95/98 no incluyen compatibilidad con Active Directory. Es necesario que los dispositivos que inician sesin en un directorio y requieren la administracin de polticas de aplicacin basada en polticas. En la direccin de Internet siguiente, disponible en el momento de la elaboracin de este documento, encontrar informacin ms detallada sobre la instalacin de compatibilidad para el cliente de Active Directory: http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx A fin de definir un dispositivo como destino en LDAP, cada dispositivo Windows NT/2000/2003/XP debe contener una cuenta de equipo en el controlador de dominio de Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio Windows NT completo. Esta poltica no se aplicar de este modo. Para utilizar el Administrador de directorios para crear una consulta 1. 2. 3. 4. 5. Haga clic en Herramientas | Distribucin | Administrador de directorios. Haga clic en el botn Administrar directorio de la barra de herramientas. Introduzca la URL y la informacin de autenticacin del directorio y haga clic en Aceptar. Haga clic en el icono Nueva consulta de la barra de herramientas. Cree la consulta. Para obtener ms informacin, consulte "Consultas LDAP" en la pgina 328.
408
MANUAL DE USUARIO
Lea este captulo para obtener informacin sobre: "Acerca de la administracin basada en polticas" en la pgina 410 "Configuracin de polticas" en la pgina 411 "Aplicacin de mbitos a las polticas de aplicacin" en la pgina 414 "Lo que los usuarios ven en los dispositivos" en la pgina 414 "Uso del portal de implementacin del software local" en la pgina 415
La administracin basada en polticas ejecuta de forma peridica las consultas que ha configurado como parte de la poltica y aplica las polticas a los dispositivos administrados nuevos. Por ejemplo, es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea "Marketing" utilizan un conjunto estndar de aplicaciones. Despus de configurar una poltica para los usuarios de Marketing, se instalar el conjunto de aplicaciones correspondiente en los equipos de los usuarios nuevos que se agreguen a este grupo. La consola LANDesk Management Suite permite configurar las polticas de las aplicaciones, las cuales se almacenan en la base de datos central. La administracin basada en polticas permite implementar los tipos de archivo siguientes: Paquetes SWD Paquetes de Microsoft Installer (MSI) Ejecutables independientes en un archivo Archivos BAT Paquetes Macintosh
A continuacin, se muestran los pasos que hay que seguir y el funcionamiento de la administracin basada en polticas: 1. 2. Asegrese de que los agentes de distribucin de software se encuentren en los dispositivos. Si no dispone de un paquete para la aplicacin a la que desee aplicar la directiva, cree uno. Para obtener ms informacin, consulte "Distribucin de software" en la pgina 377.
410
3. 4. 5. 6.
7. 8.
9. 10.
11. 12.
13.
La ventana de distribucin de paquetes crea una definicin para el paquete. Cree o seleccione un mtodo de entrega basado en polticas. Cree una tarea de distribucin de software en la ventana Tareas programadas y seleccione el paquete y el mtodo de entrega a partir de los anteriores. Seleccione los destinos de la poltica, lo cual puede incluir cualquier combinacin de dispositivos individuales, consultas de bases de datos, grupos de dispositivos, elementos LDAP o consultas LDAP. Programe la tarea que se va a ejecutar. Al ejecutarse, el paquete de distribucin estar disponible para la instalacin automtica. El servicio de administracin basada en polticas del servidor central actualiza peridicamente la lista de destinos de las polticas al volver a evaluar los resultados de las consultas de base de datos/LDAP. De esta forma se contribuye a garantizar que la base de datos central cuente con un conjunto actualizado de usuarios/equipos de destino. Un usuario se conecta a un dispositivo, se conecta a la red o, en caso contrario, inicia la administracin basada en polticas. El servicio de administracin basada en polticas del servidor central determina las polticas aplicables en funcin del Id. del dispositivo, el usuario que ha iniciado la sesin o la ubicacin del dispositivo LDAP. El servicio enva la informacin de las polticas al agente de administracin basado en polticas. En funcin de la configuracin establecida en el dispositivo para la administracin de polticas, stas se ejecutan de forma automtica, o bien el usuario selecciona las que desee ejecutar. En la lista del dispositivo slo se encuentran disponibles las polticas opcionales o recomendadas. En el caso de que la lista incluya una poltica recomendada sin procesar, sta se selecciona de forma predeterminada. Las polticas peridicas se muestran en la lista una vez que han transcurrido los intervalos de ejecucin correspondientes. Las polticas seleccionadas se ejecutan en orden. La administracin basada en polticas enva los resultados de la poltica al servidor central, que los almacena en la base de datos central. Los informes de estado de la administracin basada en polticas se envan al servidor central mediante HTTP para una mayor fiabilidad. El estado se informa en la ventana Tareas programadas.
Configuracin de polticas
La administracin basada en polticas requiere un paquete SWD, MSI, un archivo ejecutable, un archivo de proceso por lotes o un paquete Macintosh, para las polticas creadas por usted. Los paquetes se pueden crear con anterioridad o al crear la poltica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su funcionamiento antes de utilizarlos en una poltica. Las distribuciones y polticas normales pueden utilizar el mismo paquete de distribucin. La diferencia radica en la implementacin y no en la creacin de los paquetes. Existen dos mtodos de entrega que admiten la distribucin basada en polticas: Mtodos de entrega basados en polticas: Se trata del modelo de distribucin solamente con polticas. Slo los dispositivos que satisfacen los criterios de la poltica reciben el paquete.
411
MANUAL DE USUARIO
Mtodos de entrega por envo basados en polticas: Se trata del modelo de distribucin y poltica por envo. Primero, la distribucin de software intenta instalar el paquete en todos los dispositivos de la lista de destino. De este modo, se puede realizar una implementacin inicial mediante la multidifusin dirigida. Segundo, los dispositivos que no recibieron el paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de destino dinmicas), reciben el paquete cuando lo solicite el agente de administracin basada en polticas del dispositivo.
La principal diferencia entre los mtodos de entrega estndares y el mtodo de entrega basado en polticas es que el dilogo basado en polticas Mtodos de entrega tiene la pgina Tipo y frecuencia del trabajo. Las opciones de tipo y frecuencia del trabajo afectan la forma en que actan los dispositivos cuando reciben las polticas: Requerido: El agente de administracin basada en polticas aplica automticamente las polticas necesarias sin que tenga que intervenir el usuario. Estas directivas se pueden configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el dispositivo mientras se instala una tarea requerida no deber bloquear el funcionamiento del sistema; en otras palabras, la instalacin de la aplicacin no debe precisar la intervencin del usuario. Recomendado: los usuarios pueden seleccionar cundo instalar las directivas recomendadas. stas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo. Opcional: los usuarios pueden seleccionar cundo instalar las directivas opcionales. stas no se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado. A peticin: se pueden instalar en cualquier momento.
Para crear una distribucin basada en polticas 1. 2. En la consola, haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men contextual ya sea para la Distribucin basada en polticas o para el Mtodo de entrega por envo, apoyado en una nueva poltica, haga clic en Mtodo de entrega nuevo. Configure las opciones del mtodo de entrega que desee. Haga clic en Ayuda para obtener ms informacin sobre cada una de las pginas. Defina las opciones de Tipo y frecuencia del trabajo que desee. Cuando haya finalizado, haga clic en Aceptar. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. Configure las opciones de trabajo que desee y haga clic en Aceptar.
3. 4. 5. 6. 7. 8.
412
9.
Seleccione el trabajo de distribucin basada en polticas y arrastre los destinos de la poltica al panel derecho.
Las distribuciones basadas en polticas tienen vigencia en cuanto se inicia la tarea de poltica y se han resuelto los destinos. Las distribuciones por envo basadas en polticas tienen vigencia despus de que se completa la distribucin automtica inicial. Adicin
estticos
de destinos
La administracin basada en polticas utiliza destinos estticos como destinos de las polticas. Los destinos estticos son una lista de usuarios o dispositivos especficos que slo se pueden modificar de forma manual. Agregue destinos estticos mediante la seleccin de dispositivos individuales como destinos en la vista de red. Los dispositivos individuales LDAP no pueden agregarse como destinos estticos.
MANUAL DE USUARIO
3. 4. 5.
Introduzca la URL y la informacin de autenticacin del directorio y haga clic en Aceptar. Haga clic en el icono Nueva consulta de la barra de herramientas. Cree la consulta. Para obtener ms informacin, consulte "Consultas LDAP" en la pgina 328.
414
415
MANUAL DE USUARIO
416
Tenga en cuenta que debe marcar ya sea Agente de LANDesk estndar o Rastreo de red antes de seleccionar uno de los mtodos a continuacin. IPMI: Busca servidores habilitados para la Interfaz de administracin de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor est encendido o no, o en qu estado se encuentre el SO. Chasis del servidor: busca mdulos de administracin de chasis de hoja (CMM). Las hojas en el chasis del servidor se detectan como servidores individuales. Intel* AMT: busca los dispositivos habilitados para tecnologa Active Management. Los dispositivos habilitados para Intel AMT figuran en la carpeta Intel AMT.
Para automatizar la deteccin de dispositivos no administrados, puede programar rastreos de deteccin UDD para que se produzcan peridicamente. Por ejemplo, la red se puede dividir en tercios y se puede programar un barrido de ping para un tercio cada noche. Si se programa una deteccin, el servidor central la lleva a cabo. Las detecciones no programadas se producen en la consola que las inicia.
417
MANUAL DE USUARIO
Para detectar con UDD de dispositivos no administrados 1. 2. 3. En la ventana Deteccin de dispositivos no administrados (Herramientas | Configuracin | Deteccin de dispositivos no administrados ), haga clic en el botn Rastrear red. Seleccione la opcin de deteccin que desea. Introduzca un intervalo de IP de inicio y finalizacin. Debe introducir un intervalo para que Deteccin de agente LANDesk estndar o Deteccin de red funcione. Pero para Dominio NT y LDAP es opcional. Indique una mscara de subred. Haga clic en el botn Agregar para agregar el rastreo que acaba de configurar a la lista de tareas. En la lista de tareas de la parte inferior del cuadro de dilogo, seleccione los rastreos que desea ejecutar y haga clic en el botn Rastrear ahora para realizarlos de inmediato, o en el botn Programar tarea para ejecutar los rastreos ms tarde o en una programacin recurrente. Los botones Rastrear ahora y Tarea programada slo ejecutan los rastreos que se han agregado a la lista de tareas y que estn seleccionados. Consulte el cuadro de dilogo Estado del rastreo para ver las actualizaciones del estado del rastreo. Cuando finalice el rastreo, haga clic en Cerrar en los cuadros de dilogo Estado del rastreo y Configuracin del rastreador. Seleccione Equipos en el rbol de UDD para ver los resultados de rastreo.
4. 5. 6.
7.
8.
418
419
MANUAL DE USUARIO
Informacin de la direccin MAC XDD usa la deteccin wireless API en dispositivos que ejecutan Windows Vista para obtener la direccin MAC del dispositivo y mostrarla en la vista de lista. Sin embargo, esta capacidad no es compatible con dispositivos que ejecutan Windows XP/SP2.
6. 7.
420
8.
Implemente la configuracin del agente en los dispositivos de destino deseados de cada subred.
Puede configurar varios ajustes de deteccin extendida de dispositivos en los dispositivos que tengan el agente de deteccin extendida de dispositivos. Este agente sincroniza peridicamente su configuracin con el servidor central. Para configurar el agente de deteccin extendida de dispositivos para la deteccin ARP y/o WAP 1. 2. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn Configurar la deteccin extendida de dispositivos de la barra de herramientas, y seleccione el tipo deseado de configuracin para los mtodos de deteccin (ARP o WAP). Especifique las opciones de rastreo deseadas para el mtodo de deteccin. Para obtener ms informacin, haga clic en Ayuda. Haga clic en Aceptar cuando termine. Sus cambios se aplicarn la prxima vez que los agentes de deteccin extendida de dispositivos se sincronicen con el servidor central.
3. 4.
Puede establecer el valor del Filtro en 1 para habilitar el filtrado nuevamente. Puede ajustar los rangos de monitoreo del primer y el segundo octeto. Para ello debe agregar las claves de registro DWORD al servidor central y establecer sus valores en el rango numrico que desee monitorear (el valor predeterminado es de 10 para el primero y el segundo octeto): HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold 1 HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold 2
421
MANUAL DE USUARIO
Para importar todas las excepciones de la deteccin extendida de dispositivos 1. 2. 3. 4. Cree o actualice el archivo CSV separado con comas que contenga todas las excepciones que desee. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn de la barra de herramientas Importar excepciones de la deteccin extendida de dispositivos desde un archivo CSV. Haga clic en Abrir.
422
423
MANUAL DE USUARIO
Estos grupos ayudan a mantener una organizacin en la lista de UDD, por lo que resulta ms sencillo localizar los dispositivos de inters. Las listas de dispositivos se pueden organizar por cualquier encabezado de columna al hacer clic en uno de ellos. Traslado de dispositivos a grupos distintos UDD puede no categorizar a los dispositivos de manera correcta ni ubicarlos en los grupos de dispositivos adecuados en cada instancia. Si sucede esto, los dispositivos no identificados correctamente se pueden arrastrar fcilmente al grupo adecuado. UDD intenta detectar y reportar la informacin bsica sobre cada dispositivo, incluso los datos siguientes que aparecen en la vista de lista de elementos en el panel derecho de la ventana de herramientas: Nombre de dispositivo: nombre del dispositivo detectado, si est disponible. Direccin IP: direccin IP detectada. UDD siempre muestra este dato. XDD no lo hace. Mscara de subred: mscara detectada. UDD siempre muestra este dato. Descripcin de SO: descripcin del SO detectado, si est disponible. Direccin MAC: direccin MAC detectada que se suele devolver si el dispositivo dispone del agente LANDesk estndar o NetBIOS, o bien, si se encuentra en la misma subred que el servidor central o la consola que realiza la deteccin. Grupo: grupo UDD al que pertenece el dispositivo. Agente de LANDesk estndar: muestra si el dispositivo dispone de CBA. Puede implementar otros agentes de LANDesk en forma directa en dispositivos administrados con el CBA cargado. Todos los usuarios: usuarios registrados en el dispositivo que se est explorando, si est disponible. Grupo/Dominio: grupo o dominio del que es miembro el dispositivo, si est disponible. Primera exploracin: fecha en la que UDD explor este dispositivo por primera vez. ltima exploracin: fecha en la que UDD explor este dispositivo por ltima vez. Esta columna ayuda a localizar dispositivos no administrados que puede que no se encuentren en la red, o bien, que fueron localizados recientemente.
424
Nmero de exploraciones: nmero de veces que UDD ha explorado el dispositivo. AMT: Indica si el dispositivo es compatible con la tecnologa Intel Active Management.
Dependiendo del dispositivo, puede que UDD no disponga de la informacin para todas las columnas. Cuando UDD encuentra un dispositivo por primera vez, consulta la base de datos central para ver si la direccin de IP del dispositivo y el nombre ya estn en la base de datos. Si hay una coincidencia, UDD ignora el dispositivo. Si no hay ninguna coincidencia, UDD incorpora el dispositivo a la tabla de dispositivos no administrados. Los dispositivos de esta tabla no utilizan ninguna licencia LANDesk. Un dispositivo se considera administrado una vez que enva un rastreo de inventario a la base de datos central. Los dispositivos no se pueden arrastrar desde UDD a la vista de red de la consola principal. Una vez que los dispositivos no administrados envan un rastreo de inventario, se eliminarn de UDD y se agregarn a la vista de red de forma automtica. Se pueden crear grupos personalizados para clasificar de forma ms amplia a los dispositivos no administrados. Si un dispositivo se desplaza a otro grupo, UDD lo dejar en el mismo si ms adelante vuelve a detectarlo. Teniendo organizado el grupo principal Equipos y desplazando los dispositivos que no se administrarn con LANDesk a subgrupos u otras categoras, los nuevos dispositivos se pueden ver fcilmente en el grupo Equipos. Si se elimina un grupo que incluye dispositivos, UDD los desplaza al grupo Otros. Se pueden localizar rpidamente dispositivos que coincidan con los criterios de bsqueda especificados utilizando el campo de la barra de herramientas Buscar. Se puede buscar informacin en una columna determinada o en todas las columnas. Los resultados de la bsqueda aparecen en la categora Buscar resultados. Por ejemplo, utilice la opcin Buscar para agrupar los equipos no administrados que disponen de CBA buscando por "Y" en el campo Agente LANDesk estndar. Asimismo, se puede crear una alerta de AMS cuando UDD encuentre dispositivos no administrados. En AMS, el nombre de la alerta que se va a configurar es Localizado dispositivo no administrado.
Para obtener ms informacin sobre la implementacin en dispositivos, consulte la fase 4 del Manual de instalacin e implementacin.
425
MANUAL DE USUARIO
Al organizar los dispositivos para la implementacin de agentes, puede que encuentre ms sencillo organizar la lista de dispositivos no administrados por los agentes LANDesk estndar para realizar la agrupacin para implementaciones de dispositivo de agentes LANDesk estndar y realizar la organizacin por dominio para las implementaciones de tarea programada. Cuando se realizan implementaciones en dispositivos Windows XP la configuracin predeterminada de Windows XP fuerza que los inicios de sesin de red que utilizan una cuenta local usen la cuenta de invitado. Si no est utilizando una cuenta administrativa a nivel de dominio, sino una local, para el servicio de programacin, las tareas programadas fallarn porque dicho servicio no podr realizar las autenticaciones necesarias. Para obtener ms informacin, consulte la "Fase 4: Implementacin de los agentes principales en los dispositivos" en el Manual de instalacin e implementacin. Para implementar agentes de LANDesk en dispositivos no administrados 1. Haga clic en Herramientas | Configuracin | Configuracin de agentes y cree una nueva configuracin o utilice una existente. En el men contextual de la configuracin, seleccione Programar. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados y seleccione los dispositivos que desee implementar. Arrastre los dispositivos a la ventana Tareas programadas. Si la ventana Tareas programadas es una ficha minimizada, puede arrastrar los dispositivos a la ficha Tareas programadas para abrir la ventana Tareas programadas. Si los dispositivos no disponen de los agentes LANDesk estndar, haga clic en Configurar | Servicios y en la ficha Programador. Asegrese de que la cuenta del programador disponga de privilegios administrativos en los dispositivos que se estn implementando. Haga doble clic en la secuencia de comandos de implementacin y establezca una hora de inicio. Cuando haya finalizado, haga clic en Aceptar. Consulte la ventana Tareas programadas para ver las actualizaciones.
2.
3.
4. 5.
426
3. 4. 5. 6. 7.
En la ventana Tareas programadas, haga clic en el botn Programar secuencia personalizada de comandos. Haga clic en Restaurar registros de cliente y, desde su men contextual, haga clic en Programar. Desde el rbol de UDD Buscar resultados, arrastre los equipos que desee restaurar en la tarea Restaurar registros de cliente en la ventana Tareas programadas. En Restaurar registros de cliente en el men contextual de la tarea, haga clic en Propiedades para configurarla. Consulte la ventana Tareas programadas para ver las actualizaciones.
427
MANUAL DE USUARIO
/AgentBehavior=ScanRepairSettings Sobrescribe el comportamiento predeterminado del ID rastreador de seguridad (configuracin de rastreo y reparacin) solamente en la tarea actual de evaluacin de seguridad o de rastreo de reparacin. El Id. de ScanRepairSettings tiene un valor numrico.
/ChangeBehaviors Cambia la configuracin predeterminada de rastreo y /AgentBehavior=ScanRepairSettings reparacin en todas las tareas subsiguientes de evaluacin ID de seguridad o de rastreo de reparacin mediante la escritura de la configuracin de rastreo y reparacin en el registro local del dispositivo. Utilice la sintaxis exacta a la izquierda, con ambos conmutadores en la lnea de comandos. El Id. de ScanRepairSettings tiene un valor
428
Descripcin numrico. Nota: Utilice esta opcin para cambiar la configuracin predeterminada de rastreo y reparacin de un dispositivo, sin necesidad de volver a implementar una configuracin de agente completa en el mismo.
/ShowUI
/AllowUserCancelScan
Muestra el botn Cancelar en la interfaz del usuario del rastreador, que permite que el usuario final cancele el rastreo.
/AutoCloseTimeout=Nmero
Valor del tiempo de espera en segundos. Nota: Si el valor se establece en -1, la interfaz del usuario del rastreador espera a que el usuario final lo cierre de forma manual.
Identifica qu tipo de contenido de seguridad se rastrea. Los cdigos numricos para los distintos tipos de contenido de seguridad son: 0 - vulnerabilidad 1 - spyware 2 - amenaza de seguridad 3 - actualizaciones de LANDesk 4 - definicin personalizada 5 - aplicacin bloqueada 6 - actualizaciones de software 7 - actualizaciones de controladores 8 - antivirus 100 - todos los tipos
429
MANUAL DE USUARIO
Descripcin Identifica el tipo de contenido de seguridad que se rastrea. Esta opcin sobrescribe los parmetros especficos de tipo de contenido, si los hay.
/AutoFix=True o False
Parmetros de reparacin
Indica al rastreador qu grupo o vulnerabilidad reparar. Puede especificar All (Todas) en el parmetro de vulnerabilidades a fin de reparar todas las vulnerabilidades detectadas en lugar de una sola vulnerabilidad con su ID.
/RemovePatch=Nombre de revisin
/RepairPrompt=MessageText
Permite visualizar un mensaje de texto que pregunta al usuario final qu desea hacer.
/AllowUserCancelRepair
Cadena que permite al usuario final cancelar la reparacin en caso de que utilice un indicador de reparacin.
/AutoRepairTimeout=Number
Valor del tiempo de espera del indicador de reparacin (en segundos). Si se establece en -1, la interfaz del usuario espera a que el usuario lo cierre de forma manual.
/DefaultRepairTimeoutAction
Cadena que establece la accin predeterminada de vulscan si vence el tiempo de espera del indicador de reparacin, valores aceptables. Los valores incluyen: iniciar y cerrar.
/StageOnly
Cadena que permite recuperar las revisiones necesarias para la reparacin, pero no las instala.
430
/PeerDownload
/SadBandwidth=Number
Porcentaje mximo del ancho de banda que se utilizar para las descargas.
Parmetros de reinicio
/RebootIfNeeded
/RebootAction
Cadena que determina el comportamiento de reinicio de vulscan durante la reparacin. Valores aceptables: siempre, nunca o vaco (todo lo dems). Si se elige todo lo dems, vulscan reiniciar en caso de que sea necesario.
/RebootMessage
/AllowUserCancelReboot
Cadena que permite que el usuario cancele el reinicio si utiliza un indicador de reinicio.
/AutoRebootTimeout=Number
Valor del tiempo de espera del indicador de reinicio (en segundos). Si se establece en -1, la interfaz del usuario espera a que el usuario lo cierre de forma manual.
/DefaultRebootTimeoutAction
Cadena que determina la accin que vulscan debe seguir si supera el valor del tiempo de espera del indicador de reinicio. Valores aceptables: reiniciar, cerrar, aplazar.
/SnoozeCount=Number
Cantidad de aplazamientos que vulscan reduce cada vez que el usuario hace clic en "posponer" en el indicador de
431
MANUAL DE USUARIO
Descripcin reinicio.
/SnoozeInterval=Number
Parmetros MSI
/OriginalMSILocation=ruta
/Username=nombre de usuario
/Password=contrasea
Parmetros de desactivacin
/NoElevate
/NoSleep
/NoSync
/NoUpdate
/NoXML
No busca msxml.
/NoRepair
Igual que autofix=false. Anula la configuracin de reparacin automtica, en caso de estar presente.
432
Descripcin
/Dump
/Data
/O=Ruta\Nombre de archivo
/I=Ruta\Nombre de archivo
/Log=Ruta\Nombre de archivo
/CoreServer=Nombre de servidor
/Reset
/Clear o /ClearScanStatus
433
MANUAL DE USUARIO
434
435
MANUAL DE USUARIO
Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases. Debe tener la suscripcin adecuada al contenido de LANDesk Security Suite a fin de descargar los distintos tipos de contenido de seguridad. La instalacin bsica de LANDesk Management Suite permite la descarga y el rastreo de las actualizaciones de software LANDesk y la creacin de sus propias definiciones personalizadas. Para el resto de los tipos de contenido de seguridad y revisiones, como vulnerabilidades especficas de la plataforma, spyware, y archivos de definiciones (patrones) de virus, DEBE tener una suscripcin al contenido de LANDesk Security Suite para poder descargar las definiciones correspondientes. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk.
436
Luego de especificar el tipo de contenido que se desea descargar y otras opciones en el cuadro de dilogo Descargar actualizaciones: Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en Aplicar, la configuracin que especifica se guardar y aparecer la prxima vez que abra este cuadro de dilogo. Si hace clic en Cerrar, el sistema preguntar si desea guardar la configuracin. Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar actualizacin para abrir el cuadro de dilogo Informacin de actualizacin programada. Escriba un nombre para la tarea, verifique la informacin para la tarea y luego haga clic en Aceptar para agregarla a Tareas programadas.
Configuracin especfica de la tarea y configuracin globalObserve que slo la configuracin de la descarga de los tipos de definiciones, idiomas y definiciones y parches se guardan y asocian con una tarea especfica cuando la crea. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante. Para guardar los cambios en cualquier ficha de este cuadro de dilogo en cualquier momento, haga clic en Aplicar. La ficha LANDesk Antivirus contiene las siguientes opciones: Definiciones de virus aprobadas para la distribucin: Muestra la fecha y el nmero de versin de los archivos de definiciones de virus aprobados ms recientemente que se encuentran disponibles para distribuirlos a los dispositivos administrados. Los archivos de definiciones de virus aprobados se ubican en la carpeta predeterminada (\LDLogon\Antivirus\Bases), desde donde se implementan en los dispositivos de destino como parte de los rastreos de antivirus a peticin y programados. El tiempo exacto de la actualizacin de los archivos de definiciones de virus (descargados desde el sitio de contenidos de LANDesk Security, que tiene los ltimos archivos de patrn conocidos) se observa entre parntesis debajo de este campo. Definiciones de virus actualmente en prueba piloto: Muestra la fecha y el nmero de versin de los archivos de definiciones de virus que actualmente residen en la carpeta piloto, siempre y cuando se hayan descargado en esa ubicacin. La prueba piloto ayuda a verificar la validez y la utilidad de un archivo de definiciones de virus antes de usarlo para rastrear virus en los dispositivos administrados. Las definiciones de virus que se han descargado en la carpeta de prueba piloto pueden implementarse en los dispositivos de destino "de prueba". Actualizaciones de definiciones de virus Aprobar inmediatamente (hacerlas disponibles a todos los equipos): Descarga definiciones de virus directamente a la carpeta predeterminada (\LDLogon\Antivirus\Bases). Las definiciones de virus descargadas a la carpeta predeterminada estn aprobadas y pueden implementarse en los dispositivos de destino para el rastreo de antivirus.
437
MANUAL DE USUARIO
Restringirlas primero a una prueba piloto: Descarga archivos de definiciones de virus a la carpeta piloto para fines de prueba. Las definiciones de virus de la carpeta piloto pueden implementarse en los equipos de prueba designados antes de hacerlo en los dispositivos administrados. Aprobar automticamente las definiciones piloto al expirar el perodo de prueba (en la prxima actualizacin): Mueve automticamente los archivos de definiciones de virus descargados desde la carpeta piloto a la carpeta predeterminada de definiciones de virus cuando se realiza la prxima actualizacin de definiciones de virus despus del perodo especificado a continuacin. Esta opcin se encuentra disponible slo si se restringen las actualizaciones de los archivos de definiciones de virus a una prueba piloto. Adems, permite automatizar la aprobacin de los archivos de definiciones. Si no se habilita esta opcin, los archivos de definiciones de virus de la carpeta piloto deben aprobarse de forma manual con el botn Aprobar ahora. Perodo de prueba mnimo: Si se ha habilitado la aprobacin automtica de las definiciones de virus en la carpeta piloto, este valor especifica la duracin del perodo de prueba. Tenga en cuenta que durante este perodo no se procesan las tareas de actualizacin de archivos de definiciones de virus programadas. Obtener las definiciones ms recientes: Inicia un proceso inmediato de descarga de archivos de definiciones de virus. El cuadro de dilogo Actualizacin de definiciones muestra el progreso de la descarga. Aprobar ahora: Le permite mover los archivos de definiciones de virus desde la carpeta piloto a la carpeta predeterminada de definiciones de virus para poder implementarlas en el rastreo de antivirus de los dispositivos de destino. Copias de seguridad de definiciones Crear copias de seguridad de las definiciones anteriores: Guarda las descargas de los archivos de definiciones de virus anteriores. Esto puede resultar til si necesita volver a un archivo de definiciones ms antiguo para rastrear o limpiar archivos infectados o para restaurar un archivo de definiciones de virus que resolvi un problema en particular. (Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacin bajo: \LDLogon\Antivirus\Backups\) Nmero de copias de seguridad a mantener: Especifica el nmero de descargas de archivos de definiciones de virus a guardar. Historial: Ofrece una lista de las copias de seguridad de los archivos de definiciones de virus disponibles. Restaurar: Mueve la copia de seguridad del archivo de definiciones de virus seleccionada a la carpeta predeterminada del antivirus para poder distribuirla en los dispositivos de destino. Eliminar: Quita del servidor central la copia de seguridad del archivo de definiciones de virus en forma permanente. Actualizar ahora: Descarga inmediatamente los tipos de contenido de seguridad seleccionados. El cuadro de dilogo Actualizacin de definiciones muestra el progreso y el estado de la descarga.
438
Programar actualizacin: Abre el cuadro de dilogo Informacin de actualizaciones programadas, donde puede escribir un nombre nico para esta tarea de descarga, verificar la configuracin de la misma y hacer clic en Aceptar para guardar la tarea en la herramienta de la tarea Programada. (Observe que slo los tipos de definiciones, los idiomas y la configuracin de descarga de definicin y de revisiones se guardan y asocian cuando crea una tarea en particular. La configuracin de descarga de las otras fichas de este cuadro de dilogo, como la ubicacin de descarga de revisiones, configuracin de proxy y configuracin de alerta, son generales, es decir, se aplican a todas las tareas de descarga de contenido de seguridad. No obstante, es posible modificar esa configuracin en cualquier momento y esta se aplicar a todas las tareas de descarga de contenido de seguridad a partir de este punto). Aplicar: Guarda la configuracin de la descarga seleccionada para aplicarla al cuadro de dilogo Descargar actualizaciones y aparece la prxima vez que abre dicho cuadro. Cerrar: Cierra el cuadro de dilogo sin guardar los ltimos cambios hechos en la configuracin.
Para obtener una descripcin de las opciones en en las otras fichas del cuadro de dilogo Descargar actualizaciones, consulte "Acerca del cuadro de dilogo Descargar actualizaciones" en la pgina 499 en la seccin Administrador de seguridad y revisiones.
439
MANUAL DE USUARIO
Eliminar: quita la configuracin seleccionada de la base de datos. Tenga en cuenta que es posible que la configuracin seleccionada se encuentre actualmente asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea de cambio de configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva
Configuracin de Antivirus
Nombre: Identifica la configuracin de antivirus con un nombre nico. Este nombre aparece en la lista desplegable Configuracin de LANDesk Antivirus en un cuadro de dilogo de tarea de rastreo de antivirus.
El cuadro de dilogo Configuracin de Antivirus contiene las siguientes fichas: "Acerca de la ficha General" en la pgina 441 "Acerca de la ficha Rastreo programado" en la pgina 442 "Acerca de la ficha Rastreo de virus" en la pgina 442 "Acerca de la ficha Cuarentena/Copia de seguridad" en la pgina 444 "Acerca de la ficha Proteccin en tiempo real" en la pgina 446 "Acerca de la ficha Actualizaciones de archivos de definiciones de virus" en la pgina 447
440
MANUAL DE USUARIO
Restaurar predeterminados: Restaura la configuracin predeterminada definida anteriormente para todas las opciones de antivirus de las fichas del cuadro de dilogo.
442
Excluir los siguientes archivos y carpetas Agregar: Abre el cuadro de dilogo Agregar ruta de acceso excluida donde puede crear exclusiones nuevas para especificar los archivos, las carpetas o los tipos de archivos (por extensin) que desea excluir del rastreo de antivirus asociado con esa configuracin. Editar: Abre la exclusin seleccionada para modificar la ruta de acceso, el nombre y la extensin de un archivo y las variables. Eliminar: Quita la exclusin seleccionada de la configuracin de antivirus.
Rastreo de puntos de reparacin del sistema LANDesk Antivirus rastrear los archivos en cualquiera de los archivos de puntos de reparacin del sistema que puedan existir en el dispositivo administrado.
MANUAL DE USUARIO
JSE JTD MDB MSO OBD OBT OCX PIF PL PM POT PPS PPT RTF SCR SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
444
Limitar tamao de la carpeta cuarentena/copia de seguridad: Permite especificar el tamao mximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos de destino. Esta carpeta es un rea de almacenamiento segura y aislada en los dispositivos que tienen LANDesk Antivirus. En forma predeterminada, el tamao de almacenamiento de cuarentena es de 50 MB y los objetos que se encuentran en cuarentena se almacenan durante 90 das. Los objetos que se encuentran en la carpeta cuarentena/copia de seguridad pueden volver a rastrearse, eliminarse o restaurarse. Los archivos en cuarentena se vuelven a rastrear automticamente con las ltimas definiciones de virus, siempre que se ejecute un rastreo a peticin o que se actualicen archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los objetos infectados. Si un archivo en cuarentena puede limpiarse, se restaura automticamente y se notifica al usuario. Si se detecta una infeccin de virus, primero se hace una copia de seguridad del archivo infectado (con una extensin *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una extensin *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se codifica el archivo para que no se pueda acceder a l ni ejecutarlo.
Tamao mximo: Especifica el tamao mximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos con el agente de LANDesk Antivirus. Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales la opcin de restaurar objetos sospechosos detectados por el rastreo de antivirus o por la proteccin en tiempo real. Los objetos sospechosos son aquellos que contienen un cdigo que se encuentra modificado o que recuerda al de un virus conocido. Los objetos sospechosos se colocan en cuarentena automticamente. Si se activa esta opcin, los usuarios finales pueden mover el archivo original de la carpeta cuarentena a una carpeta de destino especfica o a su ubicacin original, donde se almacen antes de la cuarentena, la desinfeccin o la eliminacin. Observe que si se est ejecutando la proteccin en tiempo real, el archivo restaurado se rastrea y si an sigue infectado se lo vuelve a poner en cuarentena. Permite que el usuario restaure objetos infectados y software riesgoso: Provee a los usuarios finales la opcin de restaurar objetos infectados detectados por el rastreo de antivirus o por la proteccin en tiempo real. Los objetos infectados son aquellos que contienen un cdigo peligroso detectado por un archivo de definiciones (patrones o firmas) de virus conocido. Los objetos infectados pueden daar an ms los dispositivos administrados. El software riesgoso es simplemente el software cliente que tiene la posibilidad de ser riesgoso para el usuario final. Por ejemplo: Software FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de rastreo falso-positivo, el usuario final puede sentirse seguro y cmodo para restaurar el archivo. Esta opcin le permite a los usuarios restaurar archivos a los recursos compartidos de la red. Si restauran un archivo infectado a su ubicacin original, el prximo rastreo de antivirus detectar el mismo virus, aunque sea falso-positivo, y lo volver a poner en cuarentena.) El usuario debe ingresar una contrasea para restaurar objetos: Los usuarios deben ingresar la contrasea especificada antes de poder restaurar los objetos sospechosos o infectados o el software riesgoso. Se le pide al usuario que ingrese la contrasea antes de intentar restaurar el objeto desde la carpeta cuarentena/copia de seguridad. Si habilita esta opcin para proteger con contrasea los objetos en cuarentena, debe compartir la misma con los usuarios que usted desea que puedan restaurar dichos objetos.
445
MANUAL DE USUARIO
Contrasea: Ingrese la contrasea que necesitan los usuarios para restaurar los objetos en cuarentena.
446
Rastrear slo archivos infectables: Especifica que slo se rastreen los archivos infectables. Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las infecciones de virus. Resulta ms eficiente rastrear slo los archivos infectables que rastrear todos, ya que algunos virus afectan slo a determinados tipos de archivos. Sin embargo, debera rastrear peridicamente todos los archivos con un rastreo a peticin para garantizar que los dispositivos estn limpios. Los tipos de archivos infectables se identifican por medio de su identificador de formato en el encabezado del archivo y no por medio de su extensin para garantizar que se rastreen los archivos a los que se les cambi el nombre. Los archivos infectables son: archivos de documentos tales como archivos de Word y Excel, archivos de plantillas asociados con archivos de documentos y archivos de programa tales como Dynamic Link Libraries (.DLL), archivos de comunicacin (.COM), archivos ejecutables (.EXE) y otros archivos de programa.
Utilizar heursticos para rastrear archivos sospechosos: Utiliza la capacidad de anlisis de heursticos del rastreador al rastrear los dispositivos de destino. El rastreo de heursticos intenta detectar archivos sospechosos que estn infectados con un virus al observar su comportamiento sospechoso, tales como un programa que: se modifica a s mismo, que trata inmediatamente de encontrar otros ejecutables o que se modifica despus de la finalizacin. El uso del rastreo de heursticos puede afectar negativamente el rendimiento y la velocidad de los dispositivos administrados.
Excluir los siguientes archivos y carpetas Agregar: Abre el cuadro de dilogo Agregar ruta de acceso excluida donde puede crear exclusiones nuevas para especificar los archivos, las carpetas o los tipos de archivos (por extensin) que desea excluir del rastreo de antivirus asociado con esa configuracin. Editar: Abre la exclusin seleccionada para modificar la ruta de acceso, el nombre y la extensin de un archivo y las variables. Eliminar: Quita la exclusin seleccionada de la configuracin de antivirus.
447
MANUAL DE USUARIO
Descargar la versin piloto de archivos de definiciones de virus: Descargar archivos de definiciones de virus de la carpeta de prueba piloto en lugar de hacerlo desde el depsito predeterminado (\LDLogon\Antivirus\Bases) del servidor central. Un conjunto restringido de usuarios puede descargar las definiciones de virus de la carpeta piloto para probar las definiciones de virus antes de implementarlas en toda la red. Cuando crea una tarea de rastreo de antivirus, tambin puede seleccionar descargar las ltimas actualizaciones de las definiciones de virus, entre ellas las que residen en la carpeta de prueba piloto, luego asociar una configuracin de antivirus con esta opcin habilitada para garantizar que los equipos de prueba reciban los ltimos archivos conocidos de definiciones de virus. Si se selecciona esta opcin, no se descargan los archivos de definiciones de virus de la carpeta predeterminada (\LDLogon\Antivirus\Bases). Los usuarios pueden descargar actualizaciones de definiciones de virus: Provee a los usuarios finales de los dispositivos de destino la opcin de descargar archivos de definiciones de virus por s solos. Esta opcin se visualiza en el cliente de LANDesk Antivirus y est disponible en dicho cuadro de dilogo, al igual que al hacer clic con el botn secundario en el icono de LANDesk Antivirus en la bandeja del sistema. Cuando un usuario final descarga actualizaciones de archivos de definiciones de virus, el dispositivo intenta conectarse a los servidores en el orden siguiente: servidor preferido (si se ha configurado); servidor central; sitio Web de servidor de contenido de LANDesk Security.
Programar actualizaciones de definiciones de virus: Habilita una actualizacin peridica y programada de los archivos de definiciones de virus que se ejecutan en los dispositivos de destino de acuerdo con la hora de inicio, la frecuencia, la restriccin de tiempo y los requisitos de ancho de banda que especifique. Cambiar configuracin: Abre el cuadro de dilogo Programar, donde puede establecer las opciones de programacin. Consulte "Acerca del cuadro de dilogo Programar actualizaciones peridicas de antivirus" en la pgina 450. Actualizaciones de Internet: Descargar directamente desde LANDesk si el servidor central no se encuentra disponible: Le permite a los dispositivos de destino descargar las actualizaciones de los archivos de definiciones de virus directamente desde el sitio de LANDesk Security si no pueden acceder a su servidor central. Las descargas se realizan a travs de una conexin a Internet iniciada como una tarea programada o por el usuario final. Esto resulta til si hay usuarios mviles que desean mantener sus archivos de definiciones de virus actualizados. Seleccionar el sitio de origen de la actualizacin: Especifica el servidor de contenido de LANDesk Security al que se accede para descargar las ltimas definiciones a la base de datos. Seleccione el servidor ms cercano a su ubicacin. Volver al sitio de origen alternativo en caso de error: Intenta descargar automticamente las actualizaciones desde otro servidor de contenido de LANDesk Security, con las firmas de antivirus, si el sitio de origen especificado no puede transmitir los archivos.
448
449
MANUAL DE USUARIO
Nombre del equipo: Identifica el equipo que se utiliza para probar el ancho de banda del dispositivo. La transmisin de prueba es entre un dispositivo de destino y este equipo.
450
El dispositivo debe tener suficiente ancho de banda: Impone un requisito de ancho de banda mnimo a los dispositivos de destino para que la actualizacin de las definiciones de virus se ejecute correctamente. Si se habilita esta opcin y el ancho de banda disponible actualmente en el dispositivo de destino no cumple con el requisito, la actualizacin no se ejecuta. Ancho de banda mnimo: Especifica el ancho de banda mnimo de red requerido para que se ejecute la tarea. Seleccione RAS, WAN o LAN. Para obtener detalles, consulte "Descripcin de las opciones de ancho de banda" en la pgina 450. Nombre del equipo: Identifica el equipo que se utiliza para probar el ancho de banda del dispositivo. La transmisin de prueba es entre un dispositivo de destino y este equipo.
451
MANUAL DE USUARIO
Configuracin de LANDesk Antivirus: Especifica la configuracin de antivirus utilizada para la tarea de rastreo. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivos para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Actualizar definiciones de virus (inclusive las piloto) antes del rastreo: Actualiza automticamente los archivos de patrones de virus en los dispositivos de destino antes de ejecutar el rastreo, incluso los archivos de definiciones de virus que residen actualmente en la carpeta piloto.
452
Equipos en los que no se han rastreado vulnerabilidades de antivirus recientemente: Detalla todos los dispositivos que tienen el agente de LANDesk Antivirus y en los que no se han buscado virus durante el perodo de tiempo especificado en el cuadro de dilogo Configuracin de umbrales. Si desea ejecutar un rastreo de antivirus inmediatamente, haga clic con el botn secundario sobre el dispositivo, haga clic en Rastreo de LANDesk Antivirus ahora, seleccione una configuracin de antivirus y luego haga clic en Aceptar. Equipos con reciente actividad de antivirus: Detalla todos los dispositivos que tienen el agente de LANDesk Antivirus y que se han rastreado y han devuelto actividad de antivirus durante el perodo de tiempo especificado en el cuadro de dilogo Configuracin de umbrales. Seleccione un dispositivo para ver sus actividades de antivirus especficas, entre ellas: deteccin y eliminacin de virus, objetos infectados en cuarentena, copia de seguridad y restauracin.
MANUAL DE USUARIO
Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la instalacin/actualizacin del agente de LANDesk Antivirus en los dispositivos de destino. Remover agente de antivirus existente: quita automticamente otro software de antivirus que ya podra estar instalado en los dispositivos antes de instalar LANDesk Antivirus. (Nota: Tambin puede seleccionar quitar el software de antivirus existente de los dispositivos administrados durante la configuracin inicial del agente). Configuracin de LANDesk Antivirus: Especifica la configuracin de antivirus asociada con la instalacin de este agente de LANDesk Antivirus en particular. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivo para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos programados de antivirus y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Configuracin de rastreo y reparacin (slo en el reinicio): Especifica la configuracin de rastreo y reparacin asociada con esta instalacin particular del agente de LANDesk Antivirus. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk Antivirus.
454
Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la eliminacin del agente de LANDesk Antivirus de los dispositivos de destino. Configuracin de rastreo y reparacin: Especifica la configuracin de rastreo y reparacin asociada con esta tarea de eliminacin particular del agente de LANDesk Antivirus. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente.
Ayuda de Inventario
Acerca de la ventana Inventario
Utilice la ventana Inventario para visualizar todo el inventario de un dispositivo, incluidos los siguientes componentes: BIOS: Tipo, fecha, bytes de Id., fabricante, versin de ROM, versin de SMBIOS y el modelo del sistema para el BIOS. El BIOS reside de forma permanente en la memoria de slo lectura (ROM) del equipo y permite que la memoria de ste, las unidades de disco y el monitor se comuniquen.
En la ventana Inventario aparece informacin adicional del BIOS como cadenas de texto BIOS. Para ver y buscar las cadenas de texto BIOS, expanda el objeto BIOS, seleccione Cadenas BIOS, haga clic con el botn derecho en el atributo de Datos y seleccione Propiedades y, a continuacin, haga clic en Valores ampliados. Durante un rastreo de inventario, se exportan las cadenas de texto disponibles en el BIOS a un archivo de texto, LDBIOS.TXT. Puede configurar una consulta en el archivo LDAPPL3.INI que extraiga una o varias cadenas de texto del BIOS a la consola. Para obtener ms informacin, consulteAppendix A: Additional inventory operations and troubleshooting . Bus: el tipo de bus. El bus conecta el microprocesador, las unidades de disco, la memoria y los puertos de entrada/salida. Los tipos de bus pueden ser ISA, EISA, bus local VESA, PCI y USB. Coprocesador: el tipo de coprocesador, si existe. Aunque es distinto que el microprocesador principal, puede encontrarse en la misma motherboard o incluso el mismo chip. El coprocesador matemtico evala las operaciones de punto flotante para el microprocesador principal. Entorno: las ubicaciones de archivo, ruta de comando, indicador del sistema y dems variables del entorno Windows. Teclado: el tipo de teclado conectado al dispositivo. Actualmente, el tipo ms utilizado es el teclado mejorado de IBM. El teclado utiliza el lenguaje de pgina de cdigos. LANDesk Management: informacin sobre los agentes, Client Manager y Alert Management System (AMS). Asimismo, contiene informacin sobre el rastreador de inventario y los archivos de inicializacin.
455
MANUAL DE USUARIO
Almacenamiento masivo: los dispositivos de almacenamiento del equipo, incluidos los discos duros, unidades de disquete, unidades lgicas y de cinta y CD-ROM. Entre los objetos de disco duro y unidad de disquete, se encuentran los atributos de almacenamiento total, sector, nmero y cabezal. Memoria: los atributos de memoria virtual, fsica y archivo de paginacin. Todos estos objetos de memoria incluyen atributos de bytes. El primer byte representa la cantidad de memoria disponible. El segundo es la memoria total. Ratn: el tipo de ratn conectado al dispositivo. En los valores de tipo de ratn, se encuentran PS/2, serie e infrarrojos. Red: el adaptador de red, direccin NIC y la informacin de direccin del nodo del adaptador. El objeto Red incluye informacin de cada protocolo cargado en el equipo. Entre los valores usuales, se incluyen objetos TCP/IP, IPX*, NetBEUI y NetBIOS. IPX constituye un protocolo que los servidores NetWare* pueden utilizar para establecer comunicacin con sus dispositivos y otros servidores. Este objeto contiene los atributos de direccin de nodo, nmero de red y direccin. NetBEUI permite que un equipo se comunique con servidores Windows NT/2000, Windows para Trabajo en Grupo o LAN Manager. Actualmente, Microsoft aconseja utilizar TCP/IP para estas conexiones. NetBIOS es una interfaz (API) para aplicaciones que permite enviar y recibir paquetes a travs de TCP/IP, NetBEUI o IPX. TCP/IP es un protocolo que permite la comunicacin de un equipo a travs de Internet y con redes WAN. Este objeto incluye la direccin (contiene la direccin TCP/IP del equipo), el nombre de host (contiene el contexto DNS del equipo), la ruta IP habilitada y la resolucin NetBIOS (utiliza atributos habilitados de proxy DNS y WINS). Adaptadores de red: los atributos de cada adaptador de red instalado en el dispositivo. SO: el sistema operativo, controladores, servicios y puertos. Estos objetos y sus atributos varan en funcin de las configuraciones de los servicios y controladores cargados. Puertos: los objetos de cada puerto de salida del equipo (serie y paralelo). Cada puerto de salida contiene atributos de direccin y nombre. El atributo de direccin incluye la direccin de hardware del puerto. Impresoras: los objetos de cada impresora conectada al equipo, ya sea directamente o en red. Entre estos objetos, se incluyen atributos de puerto, nmero, nombre y controlador. El atributo de puerto contiene la cola de red o el puerto al que la impresora se encuentra conectada. Procesador: los atributos de la CPU del dispositivo. Detecta procesadores Intel, Motorola 680x0 y PowerPC. Recursos: los objetos de cada recurso de hardware del equipo. Todos estos objetos contienen atributos que describen el tipo del que se trata y los puertos o interrupciones que utiliza. Software: los objetos de cada aplicacin de software instalada en la unidad de disco duro del dispositivo. Cada objeto enumera los atributos que suelen contener el nombre del software, la ubicacin y el nmero de versin. Vdeo: los objetos de cada adaptador de vdeo en el dispositivo. El objeto de adaptador de vdeo suele contener atributos que describen la resolucin y el nmero de colores admitidos.
456
Para definir dnde se registran los cambios de inventario, seleccione un atributo y active una o varias opciones. Active la opcin Inventario para registrar los cambios de inventario en el cuadro de dilogo Historial de cambios del inventario del dispositivo. Active la opcin Registro de NT para registrar cambios de inventario en el registro de eventos de Windows NT. Active la opcin AMS a fin de enviar los cambios de inventario como una alerta a travs de AMS (configure estas alertas con la herramienta Configuracin de alertas. Gravedad de alertas/registro: enumera todas las opciones de prioridad de alertas. Esta funcin se encontrar atenuada hasta que se seleccione un atributo. Puede seleccionar un nivel de gravedad de Ninguno, Informacin, Advertencia o Crtico.
457
MANUAL DE USUARIO
Puede hacer clic en un encabezado de columna, a fin de ordenar la lista por dicho atributo. Haga clic de nuevo en el encabezado, para invertir el orden.
458
Vista previa: abre el formulario, de modo que puede ver el aspecto que tendr para los usuarios. En este modo, no tiene que rellenar ningn dato y no se guardar nada de lo que introduzca.
Asimismo, tiene que especificar qu tipo de campo de datos (control) desea ver junto a cada pregunta y si ste es obligatorio. Los campos de datos disponibles son: Cuadro de edicin: los usuarios escriben respuestas en un cuadro de texto editable. Cuadro combinado (lista de edicin): los usuarios seleccionan uno de los elementos de lista predefinidos o escriben en uno nuevo propio. Cuadro combinado (lista fija): los usuarios seleccionan uno de los elementos de lista predefinidos. Hacer que el campo sea obligatorio: obliga al usuario a responder la pregunta, quien no podr finalizar un formulario ni desplazarse a la pgina siguiente mientras no responda los campos obligatorios.
459
MANUAL DE USUARIO
Nombre de grupo: identifica el grupo en la ventana Formularios de datos personalizados. Formularios disponibles: enumera todos los formularios disponibles que puede agregar al grupo. Aceptar: guarda el grupo y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar el grupo.
Nota: Si utiliza el cuadro de dilogo Configuracin de agente para crear una nueva configuracin predeterminada, tenga en cuenta que todos los dispositivos que se configuren mediante WSCFG32 con archivos de comandos de inicio de sesin, se volvern a configurar automticamente con los nuevos valores de configuracin predeterminados la prxima vez inicien la sesin, aunque su configuracin actual coincida con la nueva. Las secciones siguientes describen las pginas del cuadro de dilogo Configuracin de agente.
460
Agente de LANDesk estndar: instala el agente de LANDesk estndar que forma la base de la comunicacin entre los dispositivos y el servidor central. Esta opcin es obligatoria. No podr deshabilitarla pero podr personalizar los componentes que estn asociados con ella. (Observe que el rastreador de seguridad y revisiones se instala automticamente con el agente LANDesk estndar, pero lo configura con las opciones en la pgina rastreo de seguridad y revisiones que se encuentra a continuacin). Formularios de datos personalizados: presenta un formulario a los usuarios para que lo completen. Puede solicitar a la base de datos central los datos que introduzcan los usuarios. Utilice esta opcin para recuperar informacin personalizada de los usuarios directamente. Control remoto: permite controlar un dispositivo o servidor a travs de la red. Reduce el tiempo que se tarda en resolver los problemas con el cliente desde un escritorio de ayuda centralizado. Esta opcin se puede utilizar para proporcionar administracin remota de dispositivos a travs de redes LAN/WAN.
Componentes de agentes que se instalarn (distribucin): Distribucin de software: automatiza el proceso de instalacin de aplicaciones de software o de distribucin de archivos en dispositivos. Se puede utilizar para instalar aplicaciones de forma simultnea en varios dispositivos o para actualizar archivos o controladores en distintos dispositivos. Migracin de perfiles: no instala otro agente en los dispositivos, pero asegura que los agentes de LANDesk necesarios estn presentes en los dispositivos administrados, a fin de que tengan la capacidad para capturar y migrar los perfiles del usuario.
Componentes de agentes que se instalarn (seguridad): Agente de confianza de LANDesk: instala el agente de confianza de LANDesk (LTA), que permite que un dispositivo administrado se comunique con el servidor DHCP de LANDesk y con el servidor de validacin de postura. Se necesita un agente a fin de utilizar las siguientes soluciones de control de acceso de red de LANDesk que permite el rastreo y la reparacin de la seguridad de cumplimiento (por ejemplo, seguridad de punto extremo). Control de acceso de red basado en DHCP de LANDesk, Cisco NAC integrada y autenticacin de seguridad de IP de LANDesk. (Nota: Si ha implementado la solucin DHCP de LANDesk o la solucin de seguridad de IP de LANDesk, puede utilizar una configuracin de agente para instalar LTA en los dispositivos administrados. Si ha implementado la solucin Cisco NAC, debe instalar el agente de confianza de Cisco (CTA) de forma manual en los dispositivos administrados. Recuerde que tambin puede instalar el LTA en los dispositivos administrados aunque est utilizando la solucin de Cisco NAC para agregar capacidades administrativas al dispositivo, tales como el rastreo de inventario y el programador local. En otras palabras, con Cisco NAC se pueden tener ambos agentes instalados en el dispositivo. No obstante, si utiliza la solucin DHCP o de seguridad de IP de LANDesk, slo deber instalar el LTA en los dispositivos administrados).
461
MANUAL DE USUARIO
LANDesk Antivirus: Instala el agente de LANDesk Antivirus en los dispositivos administrados. LANDesk Antivirus utiliza el rastreador de seguridad y revisiones (instalado con el agente de LANDesk estndar) para buscar e identificar virus en los dispositivos administrados y para brindar opciones de manejo de los archivos y las carpetas infectados. El administrador de LANDesk descarga actualizaciones de definiciones de virus y configura los rastreos de virus en la consola de Management Suite. Tambin muestra la forma en que el cliente de LANDesk Antivirus aparece en los dispositivos administrados y las opciones que se encuentran disponibles para el usuario final. Primero debe seleccionar la casilla de verificacin del agente de LANDesk Antivirus en la pgina Inicio de la Configuracin del agente para configurar la pgina de LANDesk Antivirus. LANDesk Host Intrusion Prevention: instala el agente de LANDesk HIPS en los dispositivos administrados. LANDesk HIPS defiende de forma activa los dispositivos administrados de los ataques de da de lanzamiento mediante la supervisin de aplicaciones y procesos y el bloqueo de acciones no autorizadas en funcin de reglas personalizadas y certificaciones de archivo.
Otras opciones: Seleccionar todo: selecciona todos los agentes disponibles en la lista Agentes para instalar. Borrar todo: borra todos los agentes disponibles de la lista Agentes para instalar, con excepcin del Agente de LANDesk estndar, el cual es obligatorio. Predeterminado: selecciona todos los agentes incluidos en la lista de Agentes para instalar, a excepcin de los agentes de seguridad: Agente de confianza de LANDesk, LANDesk Antivirus y Host intrusion prevention. Realizar rastreo de inventario completo durante la instalacin: cuando se instala esta configuracin en los clientes, indica si se realiza un rastreo de inventario completo durante la instalacin de agentes. Esta opcin se encuentra marcada de forma predeterminada. Mostrar el men de inicio en el dispositivo del usuario final: cuando se activa, crea entradas en el men Inicio de Windows para los agentes instalados que tienen una interfaz de usuario. Si se borra esta opcin, los agentes se instalan pero no se crean entradas en el men Inicio. Directorio temporal de instalacin: especifica la carpeta temporal que se utiliza en los dispositivos administrados durante la instalacin de agentes. Para que el agente se instale correctamente, la carpeta debe permitir la escritura.
Implementacin del agente de LANDesk estndar (incluye el rastreador de inventario, el programador local y el rastreador de seguridad)
Los componentes de Management Suite requieren el agente de LANDesk estndar (antes conocido como CBA), el cual se instala de forma predeterminada en todas las instalaciones de dispositivos. Entre otras cosas, el agente de LANDesk estndar detecta dispositivos y administra la comunicacin entre el servidor central y el dispositivo. Utilice las pginas del agente de LANDesk estndar para configurar dicho agente, el cual incluye los componentes y las siguientes configuraciones: Rastreador de inventario Programador local Deteccin del ancho de banda
462
Una vez que haya seleccionado los certificados de confianza y haya cambiado el nombre del servidor central si fuese necesario, puede probarlos. Cuando hace clic en Probar, aparece una casilla de mensaje que indica si el nombre o la direccin IP del dispositivo que ingres pudieron resolverse. Tenga en cuenta que el botn Probar no hace ping en el dispositivo que ingres ni comprueba si el nombre o la direccin IP pertenecen a un servidor central. mbito Si desea que los dispositivos se incluyan en mbitos basados en directorios personalizados, escriba una ruta de directorio en el campo Ruta. La ruta especificada define el atributo de inventario de ubicacin del equipo del dispositivo. La administracin basada en funciones de Management Suite utiliza los mbitos para controlar el acceso de los usuarios a los dispositivos y se puede basar en esta ruta de directorio personalizada.
463
MANUAL DE USUARIO
Las rutas de directorio personalizadas utilizan un formato similar a una ruta de archivo, pero con barras inclinadas como separadores. Si desea utilizar mbitos basados en directorios personalizados, primero decida cmo desea clasificar los dispositivos para la administracin basada en funciones. Es probable que clasifique los dispositivos segn la ubicacin geogrfica, el departamento, el nombre del grupo o cualquier otro detalle de organizacin que prefiera. Las rutas de directorio que especifique como parte de la configuracin de un agente se agregan al registro del dispositivo bajo: HKLM\Software\Intel\LANDesk\Inventory\ComputerLocation
No es necesario completar este campo. Si lo deja en blanco, el atributo de ubicacin del equipo del dispositivo se define con la ruta de Active Directory o eDirectory. Cuando el rastreador de inventario se ejecuta en un dispositivo, registra el atributo de inventario de ubicacin del equipo del dispositivo. Si especifica una ruta de directorio personalizada en el campo Ruta, dicha ruta es el directorio que registra el rastreador. Si dej la ruta de directorio personalizada en blanco, el rastreador intentar llenar el atributo de inventario de ubicacin del equipo con la ruta de Active Directory o NetWare eDirectory del dispositivo. Si no se encuentra una ruta de directorio personalizada ni un directorio compatible con LDAP, el atributo de ubicacin del equipo no se definir. No obstante, el dispositivo an se puede incluir en los mbitos de consulta o en los mbitos de grupos de los dispositivos. Para obtener ms informacin sobre la forma de utilizar los mbitos en la administracin basada en funciones de Management Suite y la forma de definir mbitos con las rutas de directorio personalizadas, consulteRole-based administration.
Acerca de la pgina del Rastreador de inventario del cuadro de dilogo Configuracin de agente (en el agente de LANDesk estndar)
La pgina Rastreador de inventario del cuadro de dilogo Configuracin de agente contiene las siguientes opciones: Actualizacin manual: la lista de software utilizada para excluir ttulos durante los rastreos de software se carga en los dispositivos remotos. Siempre que se modifica la lista de software en la consola, debe volver a enviarla de forma manual a los dispositivos remotos. Actualizacin automtica: los dispositivos remotos leen la lista de software en el servidor central durante los rastreos de software. Si se establece esta opcin, cada dispositivo debe disponer de una unidad asignada en el directorio LDLOGON del servidor central de modo que puedan tener acceso a la lista de software. Los cambios de la lista estn disponibles de inmediato en los dispositivos.
464
Actualizacin con HTTP: comenzando con Management Suite 8, el rastreador de inventario puede utilizar HTTP para las transferencias del archivo LDAPPL3.INI. Esto permite que el rastreador admita caractersticas de multidifusin dirigida como la descarga priorizada de ancho de banda y la descarga de iguales. Con las descarga entre iguales se permite a los dispositivos que necesitan actualizaciones de LDAPPL3.INI consultar con el servidor central la fecha de la versin ms reciente y, posteriormente, transmitir a los iguales en su subred para ver si alguno dispone de la actualizacin en su cach de multidifusin. Si uno de los iguales tiene la actualizacin, tiene lugar la transferencia de archivos en la subred local sin que se genere trfico de red entre los enrutadores o enlaces WAN. Al inicio, la configuracin del registro de la clave de ejecucin: active esta opcin si desea que el rastreo de inventario se ejecute al inicio. Tambin puede hacer clic en Cambiar configuracin y configurar una programacin personalizada basada en la hora, el da de la semana o del mes, en si el usuario ha iniciado sesin o no, en los cambios en la direccin IP y en el ancho de banda de red disponible. Si desactiva Al inicio, con la configuracin del registro de la clave de ejecucin y no configura ms opciones de configuracin haciendo clic en Cambiar configuracin, los rastreos de inventario no se ejecutan automticamente.
Pgina del Programador local del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
El agente del programador local le permite a Management Suite iniciar tareas de dispositivo basadas en la hora o el ancho de banda disponible. El agente del programador local resulta de mayor utilidad en el caso de equipos porttiles que no se encuentran conectados siempre a la red o que se conectan a ella con una conexin de acceso telefnico. Por ejemplo, se puede utilizar el programador local para permitir la distribucin de los paquetes de equipos porttiles slo cuando dichos dispositivos se encuentren conectados a la red WAN. Al programar la distribucin de paquetes de software o al crear las directivas de las aplicaciones, se puede especificar el ancho de banda que precisarn los paquetes o las directivas antes de su aplicacin. El programador local se ejecuta como un servicio en Windows NT/2000/XP o como un pseudo servicio en Windows 95/98. La pgina Programador local incluye las siguientes funciones: Frecuencia con que el agente sondear las tareas: la frecuencia con la que el programador local busca las tareas. El valor predeterminado es de 10 segundos. El intervalo de consulta seleccionado se almacena en el equipo local. Frecuencia de deteccin del ancho de banda: frecuencia con la que el programador local comprueba el ancho de banda. El valor predeterminado es de 120 segundos. Las comprobaciones de ancho de banda se producen nicamente cuando existe una tarea programada pendiente.
465
MANUAL DE USUARIO
Pgina Deteccin del ancho de banda del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
La deteccin del ancho de banda permite que se detecte el ancho de banda entre los dispositivos y el servidor central. Las acciones de Management Suite como, por ejemplo la distribucin de software, se pueden limitar en funcin del ancho de banda disponible. Utilice esta opcin si existen dispositivos remotos o dispositivos que se conectan a la red a travs de un vnculo lento. La pgina Deteccin del ancho de banda del cuadro de dilogo Configuracin de agente contiene las siguientes funciones: Elegir el mtodo de deteccin de ancho de banda: seleccione utilizar ICMP o PDS para la deteccin del ancho de banda. El protocolo ICMP enva solicitudes de eco ICMP de distintos tamaos al dispositivo remoto y utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas de eco para determinar el ancho de banda aproximado. El protocolo ICMP tambin distingue entre conexiones LAN (de alta velocidad) y WAN (de baja velocidad pero no de conexin telefnica). No obstante, no todos los enrutadores o dispositivos admiten las solicitudes de eco ICMP. Si la red no est configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Las pruebas de ancho de banda de PDS no son tan detalladas pero detectan una conexin de red de rea local o una conexin de tipo RAS de ancho de banda bajo (generalmente de acceso telefnico). El mtodo PDS solamente funciona si el servicio PDS se ejecuta en el servidor de paquetes. Puede instalar este servicio mediante la implementacin del agente de LANDesk estndar en el servidor de paquetes. Umbral de LAN, en bits por segundo: umbral que clasifica una conexin como WAN en lugar de LAN. El valor predeterminado es de 262144 bps. Habilitar lmite dinmico: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Esta opcin tambin hace que se realice una descarga completa del archivo en la cach del dispositivo, que asimismo permite el reinicio del punto de comprobacin del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron si se interrumpieron. Esta opcin tambin est disponible en el cuadro de dilogo Mtodos de entrega. Si habilita esta opcin en la configuracin de agente pero no en el cuadro de dilogo Mtodos de entrega, an estar habilitada en el dispositivo. Si no habilita esta opcin en la configuracin de agente pero s en el cuadro de dilogo Mtodos de entrega, el lmite de ancho de banda dinmico se habilitar en el dispositivo para esa secuencia de comandos del paquete.
Pgina Opciones de reinicio de dispositivo del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
Una vez que se han instalado los agentes de Management Suite en los dispositivos, es probable que stos deban reiniciarse a fin de completar la configuracin de los agentes. La pgina Opciones de reinicio de dispositivo del cuadro de dilogo Configuracin de agente contiene las siguientes funciones:
466
No reiniciar los dispositivos despus de la configuracin: los dispositivos no se reiniciarn, aunque los componentes seleccionados lo necesiten. Si el reinicio es necesario, los componentes no funcionarn correctamente hasta que se reinicie el dispositivo. Reiniciar los dispositivos si es necesario: reinicia los dispositivos slo si el componente seleccionado necesita un reinicio. Reiniciar con opcin para que el usuario cancele: si se debe reiniciar algn agente seleccionado, los usuarios podrn cancelar el reinicio. Si el reinicio es necesario, los componentes no funcionarn correctamente hasta que se reinicie el dispositivo. Se puede seleccionar el tiempo que la indicacin de reinicio debe permanecer en la pantalla del usuario antes de que se reinicie el equipo. Este tiempo de espera es til para los usuarios que no estn en sus equipos cuando se produce la implementacin de los dispositivos. Permitir al usuario cancelar el reinicio durante este perodo de tiempo: si desea dar a los usuarios la oportunidad de cancelar el reinicio antes de que se realice de forma automtica, especifique la duracin del indicador de reinicio.
467
MANUAL DE USUARIO
Acerca de los Formularios del cuadro de dilogo Configuracin de agente enviados con la pgina de agente
La seccin de formularios de datos personalizados consta de dos pginas. La pgina Formularios de datos personalizados incluye las siguientes funciones: Formularios de actualizacin manual: los formularios seleccionados se envan a cada dispositivo. Si los formularios cambian o se agregan nuevos, debe volver a enviarlos manualmente a los dispositivos remotos. Actualizacin automtica: los dispositivos remotos acuden al servidor central para consultar los formularios actualizados siempre que se ejecuta el rastreador de inventario, como por ejemplo al inicio. Cada dispositivo debe tener una unidad asignada en el directorio LDLOGON del servidor central para tener acceso a los formularios actualizados. Mostrar formularios a usuarios finales: seleccione el modo de acceso de los dispositivos remotos a los formularios personalizados: Al iniciar: los formularios seleccionados se ejecutan automticamente al inicio en cada dispositivo. Cuando se ejecute el Rastreador de inventario: los formularios seleccionados slo se ejecutan cuando el rastreador de inventario se ejecuta en cada dispositivo. El rastreador de inventario se ejecuta automticamente al inicio y los dispositivos pueden ejecutarlo de forma manual en cualquier momento. Si se inicia desde la carpeta del programa LANDesk: los formularios seleccionados aparecen como elementos en la carpeta de LANDesk Management del dispositivo. No se ejecutan de forma automtica.
La pgina Formularios enviados con agente muestra todos los formularios de datos personalizados. Marque los formularios que estarn disponibles en los dispositivos que reciban esta tarea de configuracin. Tendr que crear los formularios (Herramientas | Configuracin | Formularios de datos personalizados) para que aparezcan en esta lista.
468
Pgina de opciones de Poltica del cuadro de dilogo Configuracin de agente (en la distribucin de software)
El agente de distribucin basada en directivas permite instalar de forma automtica conjuntos de aplicaciones en grupos de dispositivos. Utilice este agente para administrar grupos de dispositivos que tengan necesidades de software comunes. El portal de implementacin de software de LANDesk se ejecuta en dispositivos administrados y muestra el software disponible para ese dispositivo administrado. Para mostrar un software disponible, el portal de implementacin de software necesita obtener peridicamente informacin de poltica desde el servidor central. Las actualizaciones polticas se realizarn cuando: Un usuario ejecuta el portal de implementacin de software de LANDesk desde el men Inicio de Windows. En inicio de sesin si la ejecucin en la opcin Portal de implementacin de software de LANDesk de inicio de sesin se encuentra marcada. En inicio de sesin si la ejecucin en la opcin Actualizar informacin de poltica desde el servidor central de inicio de sesin se encuentra marcada. En el intervalo del programador local especifica cundo hace clic en el botn Change settings. De forma predeterminada, los dispositivos administrados utilizan el programador local para obtener actualizaciones polticas una vez al da.
La pgina Opciones de poltica incluye las siguientes funciones: Portal de implementacin de software de LANDesk: Si est marcado, el dispositivo administrado muestra el Portal de implementacin de software de LANDesk luego de que el usuario inicia sesin. Los usuarios pueden ver qu software se encuentra disponible para ellos. Actualizar informacin de poltica desde el servidor central: Si est marcado, el dispositivo administrado actualiza la informacin de poltica luego de que un usuario inicia sesin. Cambiar configuracin: Use esto para cambiar la frecuencia y el momento en que el programador local buscar actualizaciones de poltica. Esta programacin se suma a cualquiera de las ejecuciones en las opciones de inicio de sesin que active.
469
MANUAL DE USUARIO
A continuacin se incluye un esquema del flujo de comunicacin de control remoto: 1. 2. La consola de Management Suite le pide permiso al servidor central para controlar de forma remota al dispositivo especificado. Si la consola o el usuario estn autorizados para controlar al dispositivo especificado de forma remota, el servidor central le indica al dispositivo que cargue el agente de control remoto con un conjunto de credenciales de autenticacin generadas al azar. El servidor central transmite las credenciales de autenticacin a la consola. La consola autentica al dispositivo con las credenciales de autenticacin y se inicia el control remoto.
3. 4.
Advertencia: El control remoto a peticin necesita el servidor central Con el control remoto a peticin, si el servidor no se encuentra disponible, las consolas no podrn controlar de forma remota los dispositivos. El control remoto a peticin necesita al servidor central para funcionar.
470
2. 3.
4.
Advertencia: La seguridad integrada necesita el servidor central Con el control remoto de seguridad integrada, si el servidor central no se encuentra disponible, las consolas no podrn controlar de forma remota los dispositivos. El control remoto de la seguridad integrada necesita al servidor central para funcionar.
MANUAL DE USUARIO
Plantilla local/seguridad de Windows NT: slo permite que los miembros del grupo de operadores de control remoto inicien conexiones de control desde la consola en los dispositivos remotos. Los usuarios autorizados deben utilizar los permisos establecidos en la pgina Configuracin de control remoto de este asistente. El grupo de operadores de control remoto es un grupo local, por tanto, cada dispositivo dispone de su propia copia del grupo. Para evitar la administracin del grupo de operadores de control remoto de cada dispositivo de forma individual, incluya grupos globales (nivel de dominio) con cada grupo local. Los usuarios con permisos todava utilizan las opciones de control remoto del dispositivo, tales como el permiso requerido. Plantilla local/basada en certificado: la comunicacin entre la consola y los dispositivos remotos se autentica con un servidor central; slo las consolas autenticadas desde el mismo servidor central pueden utilizar las funciones de control remoto para estos dispositivos. Seleccione los certificados que desee incluir en la lista Certificados de confianza. Los usuarios con permisos an deben utilizar el conjunto de permisos de la Pgina de permisos. Esta opcin tambin se conoce como control remoto de seguridad a peticin, tal como se describe anteriormente en este captulo. Seguridad integrada: Este es el modelo de seguridad predeterminado que se describi antes en este captulo. Los usuarios con permisos an deben utilizar el conjunto de permisos de la Pgina de permisos.
472
Para introducir nombres de forma manual Para escribir nombres de forma manual, haga clic en la lista Nombres insertados y utilice cualquiera de los siguientes formatos para escribirlos. Utilice puntos y comas para separar los nombres. DOMINIO\nombredeusuario; DOMINIO es el nombre de cualquier dominio al que puede acceder el dispositivo de destino. MQUINA\nombredeusuario; MQUINA es el nombre de cualquier dispositivo en el mismo dominio que el dispositivo de destino. DOMINIO\nombredegrupo; DOMINIO es el nombre de cualquier dominio al que puede acceder el dispositivo de destino y nombredegrupo es el nombre de un grupo de administracin de dicho dominio. MQUINA\nombredegrupo; MQUINA es el nombre de cualquier dispositivo en el mismo dominio que el nodo administrado y nombredegrupo es el nombre del grupo de administracin en dicho dispositivo.
Si no especifica ningn nombre de dispositivo o dominio, se asume que el usuario o grupo especificado pertenece al dispositivo local. Haga clic en Aceptar para agregar los nombres al grupo de usuarios de operadores de control remoto en el dispositivo de destino.
Pgina Permisos del cuadro de dilogo Configuracin de cliente (en el Control remoto)
La pgina Permisos de la seccin Control remoto contiene las siguientes funciones: Control remoto: otorga permiso para controlar el dispositivo. Reiniciar: otorga permiso para reiniciar el dispositivo. Conversacin: otorga permiso para conversar con el dispositivo. Transferencia de archivos: otorga permiso para transferir archivos a y desde las unidades locales del dispositivo. Ejecutar programas en dispositivo remoto: otorga permiso para ejecutar programas en el dispositivo. Dibujar: otorga permiso para utilizar las herramientas de dibujo de la ventana del visor en el dispositivo.
Tambin se pueden especificar las siguientes configuraciones de control remoto: Se requieren permisos: es necesario que el usuario de la consola obtenga permiso del dispositivo antes de que se le otorgue cualquier tipo de acceso remoto. Solamente si el usuario ha iniciado sesin: pide al usuario que ha iniciado la sesin que especifique el permiso. Si ningn usuario ha iniciado una sesin, el control remoto no requiere permiso. Pedir todos los permisos a la vez: se pide al usuario una vez los permisos de sesin. Normalmente, si el permiso es necesario, el usuario debe permitir de forma individual el control remoto, la conversacin, la transferencia de archivos, etc. Esta opcin otorga permiso para todas las opciones relacionadas con el control remoto durante la duracin de una sesin.
473
MANUAL DE USUARIO
Slo ver: los operadores de control remoto solamente pueden ver el dispositivo, no interactuar con l de forma remota.
Si se utiliza la seguridad de control remoto basada en certificados, el indicador solamente est visible durante el control remoto. Este modelo de seguridad descarga el agente de control remoto y el icono indicador cuando no se utiliza el control remoto.
474
Acerca de la pgina Rastreo de seguridad y revisiones del cuadro de dilogo Configuracin de agente
Utilice esta pgina para configurar la forma en que se inicia y el modo en que se comporta el rastreador de seguridad en los dispositivos administrados con esta configuracin de agente. (Tambin puede ejecutar rastreos de seguridad como tareas y directivas programadas desde la consola o de forma manual en el dispositivo administrado). La pgina Rastreo de seguridad y revisiones contiene las opciones siguientes:
475
MANUAL DE USUARIO
Durante el inicio de sesin con Ejecutar configuracin de registro de claves: Coloca el rastreador de seguridad en la clave de ejecucin del registro de Windows, lo cual hace que el rastreador se ejecute siempre que se inicie una sesin en los dispositivos administrados con esta configuracin de agente. Cambiar configuracin: Abre el cuadro de dilogo Programar rastreador de seguridad y revisiones, donde puede configurar las opciones de programacin de los rastreos de seguridad que ejecuta el programador local. El programador local ejecuta de forma automtica un rastreo de seguridad de forma repetida en la primera oportunidad que se presente dentro del perodo de tiempo y las restricciones especificadas. Tambin puede configurar opciones para ejecutar el rastreador de seguridad cuando un dispositivo cumple con determinadas condiciones, tales como: slo cuando el usuario ha iniciado sesin, slo si se encuentra disponible un ancho de banda mnimo especificado y siempre que se cambie la direccin IP de un dispositivo. Cuando haya configurado estas opciones de programacin para el rastreador de seguridad, simplemente haga clic en Guardar para volver a la pgina principal donde ahora aparecen los criterios de programacin. Configuracin global: Se aplica a todos los dispositivos con esta configuracin de agente y sobrescribe las opciones especficas de las tareas. No reiniciar nunca: garantiza que los dispositivos con esta configuracin de agentes no se reinicien durante la ejecucin del rastreador de seguridad y revisiones. Esta opcin es global para todos los dispositivos con esta configuracin de agentes, lo cual significa que anula las opciones de reinicio del usuario que se aplican a los rastreos de seguridad o a las tareas de reparacin. En otras palabras, independientemente de las opciones de reinicio del usuario final utilizadas para una tarea de seguridad, esta opcin global tiene precedencia. Marque esta opcin si no desea que los dispositivos se reinicien durante cualquier operacin de rastreo de seguridad y revisiones y desmrquela si desea poder configurar las opciones de reinicio con la herramienta de administracin de seguridad y revisiones. Nunca reparar automticamente: garantiza que los dispositivos con esta configuracin de agente no permitan que los rastreos de seguridad y revisiones realicen la reparacin automtica al corregir vulnerabilidades detectadas, aun cuando esta tenga habilitada la reparacin automtica. Como esta opcin es global para todos los dispositivos con esta configuracin de agentes, su uso anula las opciones de reparacin automtica del usuario que se aplican a los rastreos de seguridad o a las tareas de reparacin. Utilice esta opcin si desea garantizar que los dispositivos no corrijan de forma automtica las vulnerabilidades detectadas mediante un rastreo de seguridad. Configuracin de rastreo y reparacin: Determina la informacin que muestra el rastreador de seguridad en los dispositivos administrados, la interaccin del usuario final, la operacin de reinicio y la configuracin del contenido cuando se ejecuta el rastreador en los dispositivos administrados con esta configuracin de agente por medio del mtodo seleccionado anteriormente (ejecutar clave durante el inicio de sesin, el programador local o ambos). Seleccione una configuracin de rastreo y reparacin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin de rastreo y reparacin o para editar una existente.
476
MANUAL DE USUARIO
Slo rastreos de grupo Los rastreos de seguridad frecuentes se basan en las definiciones de seguridad del grupo seleccionado a partir de los grupos de contenido de seguridad predefinidos del Administrador de Seguridad y Revisiones. Esta pgina contiene las siguientes opciones: Usar el rastreo de seguridad frecuente: habilita el rastreo de seguridad frecuente en los dispositivos con esta configuracin de agente. Rastrear slo cuando un usuario inicie sesin: limita el rastreo de seguridad frecuente para que slo se ejecute si el usuario ha iniciado sesin en el dispositivo de destino. Cada: especifica el intervalo de tiempo de un rastreo de seguridad frecuente. Seleccione una configuracin de rastreo y reparacin (que busque en un grupo): especifica la configuracin de rastreo y reparacin que controla el rastreador de seguridad para rastreos de seguridad frecuentes. La configuracin de rastreo y reparacin determina si el rastreador de seguridad y revisiones se muestra en los dispositivos durante la ejecucin, las opciones de reinicio y la interaccin con el usuario. La opcin que seleccione debe estar configurada para rastrear un grupo, no un tipo. Tambin puede hacer clic en Configurar para crear una configuracin de rastreo o reparacin nueva que est asociada a un grupo.
478
479
MANUAL DE USUARIO
Implementacin de LANDesk Antivirus en dispositivos que ya tienen un producto de antivirus instalado Si hay otro producto de antivirus instalado en los dispositivos de destino, puede seleccionar removerlo automticamente durante la configuracin del agente de LANDesk. Para ello seleccione la opcin Quitar producto de antivirus existente. Si elige no quitar el otro producto de antivirus durante la configuracin del agente, LANDesk Antivirus se deshabilita hasta que quite de forma manual el otro producto. Sin embargo, an puede implementar el agente de LANDesk Antivirus en los dispositivos de destino. Para obtener una lista actual de productos de antivirus que pueden quitarse de los dispositivos al implementar LANDesk Antivirus, consulteAntivirus products that can be automatically removed during configuration. Esta pgina contiene las siguientes opciones: Quitar producto de antivirus existente: quita automticamente otro software de antivirus que ya podra estar instalado en los dispositivos antes de instalar LANDesk Antivirus. (Nota: Tambin puede seleccionar quitar el software de antivirus existente de los dispositivos administrados al crear una tarea de Instalar o actualizar LANDesk Antivirus con el Administrador de Seguridad y Revisiones). Configuracin de LANDesk Antivirus: La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivos para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Acerca de la pgina Servidor de seguridad de Windows del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar el servidor de seguridad de Windows en dispositivos administrados con esta configuracin de agente. Puede utilizar esta funcin para implementar una configuracin para el servidor de seguridad en las siguientes versiones de Windows: Windows 2003/XP Windows Vista
Esta pgina contiene las siguientes opciones: Configuracin del servidor de seguridad de Windows: Permite la configuracin automtica del servidor de seguridad de Windows en dispositivos con esta configuracin de agente.
480
Elegir una configuracin de servidor de seguridad de Windows: Especifica las opciones de configuracin del servidor de seguridad de Windows implementadas en los dispositivos de destino con esta configuracin de agente. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin de rastreo y reparacin o para editar una existente.
Acerca de la pgina LANDesk Host Intrusion Prevention (HIPS) del cuadro de dilogo Configuracin de agente
Utilice esta pgina para seleccionar una configuracin de HIPS en los dispositivos administrados con esta configuracin de agente. La configuracin de HIPS determina si el cliente de LANDesk HIPS tiene proteccin con contrasea, la disponibilidad de las opciones interactivas para los usuarios finales, el manejo de cdigo firmado, el modo de operacin y las certificaciones de archivo. Para seleccionar una configuracin de HIPSs, primero debe activar la casilla de verificacin del agente de LANDesk HIPS en la pgina Inicio. LANDesk HIPS es compatible con LANDesk Antivirus y Symantec Antivirus LANDesk HIPS se admite en dispositivos administrados que tengan instalado LANDesk Antivirus o Symantec Antivirus. NO implemente LANDesk HIPS en dispositivos que tengan instaladas otras soluciones de antivirus. Esta pgina contiene las siguientes opciones: Configuracin de Host Intrusion Prevention: La configuracin de HIPS determina la forma en que LANDesk HIPS se visualiza y funciona en los dispositivos protegidos. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte About the Host Intrusion Prevention settings dialog.
Acerca de la pgina del Vigilante del agente del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar la utilidad del vigilante del agente de LANDesk en los dispositivos con esta configuracin de agente. El Vigilante del agente le permite supervisar de forma activa los servicios y los archivos del agente de LANDesk seleccionados en los dispositivos. El vigilante del agente reinicia los servicios del agente que se han detenido y restablece los tipos de inicio de los servicios que se han establecido como automticos. Adems, la utilidad quita los archivos del agente monitoreado de las listas de archivos que se eliminarn durante el reinicio, a fin de impedir su eliminacin. De forma adicional, el Vigilante del agente le avisa cuando no se pueden reiniciar los servicios del agente, cuando se han eliminado los archivos del agente y cuando estos se han programado para ser eliminados durante el reinicio. Esta pgina contiene las siguientes opciones:
481
MANUAL DE USUARIO
Usar Vigilante del agente: habilita la utilidad del Vigilante del agente de LANDesk en los dispositivos con esta configuracin. Buscar cambios en la configuracin seleccionada: verifica automticamente los cambios en la configuracin del vigilante del agente seleccionado (implementado). Si se detecta un cambio, la configuracin actualizada del vigilante del agente se implementa de forma automtica en los dispositivos con esta configuracin de agente. Intervalo de verificacin: especifica el intervalo de tiempo para verificar cambios en la configuracin del vigilante del agente seleccionado. Seleccionar una configuracin para el vigilante del agente: especifica las opciones de configuracin del vigilante del agente implementadas en los dispositivos de destino con esta configuracin de agente. La configuracin del vigilante del agente determina qu servicios y archivos se supervisan y con qu frecuencia, as como tambin si la utilidad permanece residente en el dispositivo. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte Acerca del cuadro de dilogo Configuracin del agente.
Acerca de la pgina Deteccin extendida de dispositivos del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar la Deteccin extendida de dispositivos en dispositivos administrados con esta configuracin de agente. La deteccin extendida de dispositivos es una extensin de la herramienta de deteccin de dispositivos no administrados, y encuentra dispositivos en su red que no han enviado un rastreo de inventario a la base de datos central. Con la deteccin extendida de dispositivos, puede utilizar uno o ambos mtodos de deteccin que se encuentran a continuacin: Deteccin ARP (Protocolo de resolucin de direcciones) y deteccin WAP (punto de acceso inalmbrico). Con la deteccin ARP, el agente de deteccin extendida de dispositivos escucha las difusiones ARP de red. Luego el agente verifica los dispositivos detectados ARP para ver si tienen instalado el agente de LANDesk estndar. Si el agente de LANDesk no responde, el dispositivo detectado ARP se muestra en la lista Equipos. La deteccin extendida de dispositivos es ideal en situaciones donde los servidores de seguridad evitan que los dispositivos respondan a los mtodos de deteccin UDD normales basados en ping. Recuerde que no necesita implementar el agente de deteccin extendida de dispositivos a cada dispositivo administrado en su red, aunque lo puede hacer si quiere. La implementacin de este agente en varios dispositivos de cada subred debera brindar una cobertura suficiente. Esta pgina contiene las siguientes opciones: Utilice el Protocolo de resolucin de direcciones (ARP): Habilita al agente de deteccin extendida usando el mtodo de deteccin protocolo de resolucin de direcciones (ARP) en dispositivos con esta configuracin de agentes. Seleccionar una configuracin de deteccin ARP: Especifica la configuracin ARP que controla al agente de deteccin extendida de dispositivos al ejecutar la deteccin ARP en su red. Las configuraciones ARP determinan el nivel de frecuencia de rastreo y de registro de la deteccin. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin o para editar una existente.
482
Utilizacin de deteccin Punto de acceso inalmbrico (WAP): Habilita al agente de deteccin extendida usando el mtodo de deteccin protocolo de aplicacin inalmbrica (WAP) en dispositivos con esta configuracin de agentes. Seleccionar una configuracin de deteccin WAP: Especifica la configuracin WAP que controla al agente de deteccin extendida de dispositivos al ejecutar la deteccin WAP en su red. Las configuraciones WAP determinan el nivel de frecuencia de rastreo y de registro de la deteccin. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin o para editar una existente. Frecuencia de descarga de la configuracin (en minutos): Frecuencia con que los dispositivos administrados que tienen el agente de deteccin extendida de dispositivos instalado buscan una configuracin actualizada de la deteccin extendida de dispositivos en el servidor central. El agente siempre actualiza su configuracin desde el servidor central cuando se carga por primera vez. El valor predeterminado es 720 minutos (12 horas) Si determina este valor muy alto, los cambios de configuracin tardarn mucho en propagarse a los dispositivos. Si lo establece demasiado bajo, habr ms carga en el servidor central y en la red.
Acerca de la pgina Compatibilidad LANDesk 802.1x del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar la implementacin 802.1X del Control de acceso de red de LANDesk (NAC). Puede utilizar LANDesk 802.1X para aplicar su poltica de seguridad de cumplimiento en dispositivos administrados que admiten 802.1X, al ejecutar rastreos de seguridad de cumplimiento, otorgar o bloquear el acceso dependiendo del estado de integridad del dispositivo (cumplimiento), poniendo en cuarentena los dispositivos en mala condicin (que no cumplen) y realizando la reparacin. Esta pgina contiene las siguientes opciones: Habilitacin de la compatibilidad con LANDesk 802.1x: Activa el control de acceso de red 802.1X en dispositivos con esta configuracin de agente. (Nota: Esta opcin no est disponible si no ha habilitado el servidor Radius 802.1X en la herramienta NAC de LANDesk de la consola. LANDesk 802.1X utiliza el tipo EAP especificado en NAC de LANDesk de la herramienta Administrador de Seguridad y Revisiones. La configuracin del tipo EAP abarca todo el servidor central. En otras palabras, todos los dispositivos configurados con esta configuracin de agente tendrn el tipo EAP especificado en la consola. Utilizacin del IP en el rango de asignacin automtica: Especifica que los dispositivos que estn determinados a estar en mala condicin (que no cumplen), basados en la poltica de seguridad de cumplimiento, se enven a un rea de red de cuarentena utilizando la funcionalidad rango de direcciones IP asignada automticamente integrada del protocolo TCP/IP. Utilizacin de DHCP en la red de cuarentena: Especifica que los dispositivos que estn determinados a estar en mala condicin (que no cumplen), basados en la poltica de seguridad de cumplimiento, se enven a un rea de red de cuarentena utilizando un servidor DHCP y de reparacin configurado en su red de LANDesk. Seleccin de servidor de reparacin: Especifica el servidor de reparacin que quiere utilizar para reparar los dispositivos en mala condicin para que se puedan rastrear nuevamente y se les permita acceder a la red empresarial.
483
MANUAL DE USUARIO
Poner al cliente en cuarentena si no se ha realizado el rastreo de estado en: Utilice esta opcin para automatizar la cuarentena del dispositivo especificando un perodo mximo de tiempo en el que el dispositivo se puede considerar que est en buen estado sin tener que ejecutar el rastreo de seguridad de cumplimiento. Si este tiempo caduca sin un rastreo, el dispositivo se ubica automticamente en el rea de red de cuarentena.
484
485
MANUAL DE USUARIO
3.
4.
Para agregar varios dispositivos 1. 2. En la Vista de red, ample el grupo Configuracin. En el men contextual del elemento Servidor de estructura metlica, haga clic en Agregar dispositivos. En la lista desplegable inferior, seleccione un tipo de identificador y el tipo de ubicacin para el archivo de texto (CVS) que contiene la informacin del identificador en el cuadro de texto (o haga clic en Examinar para buscar el archivo) y haga clic en Importar.
Cada identificador debe ir separado por comas en el archivo CSV. Formato del archivo de importacin: identificador; nombre para mostrar.
Si desea ms informacin sobre la implementacin de agentes de Linux, consulteYou can use LANDesk Management Suite to manage supported Linux/UNIX distributions. .
486
487
MANUAL DE USUARIO
Ejecutar como servicio con la seguridad de Windows NT: el agente se ejecuta como servicio y en segundo plano. Utiliza la seguridad basada en NT. Si desea agregar usuarios o grupos para utilizar el control remoto basado en NT, debe agregarlos al grupo de operadores de control remoto. Ejecutar a peticin con la seguridad basada en certificados: el agente slo se ejecuta cuando es necesario. Utiliza la seguridad basada en certificados.
Acerca de la Pgina Opciones de reinicio de servidor (bajo Configuracin de agente de servidor predeterminado y Linux)
La pgina de opciones de reinicio de la Configuracin de agente Linux se encuentra deshabilitada. La pgina Configuracin predeterminada de agente de servidor contiene las siguientes opciones: No reiniciar los servidores despus de la configuracin: no reinicia el servidor aunque sea necesario finalizar la configuracin del agente. Debe reiniciar el servidor de forma manual para que todos los agentes funcionen correctamente. Reiniciar los servidores si es necesario: reinicia automticamente el servidor si es necesario. Reiniciar los servidores siempre: reinicia el servidor siempre.
488
Monitoreo y alertas: seleccione los reglamentos de monitoreo y de alertas que desee incluir en la configuracin. Estos reglamentos se almacenan en la carpeta ldlogon/alertrules. Se pueden crear nuevos reglamentos de alertas en las herramientas Monitoreo o Alertas del Administrador de sistema. Para que los reglamentos recientemente creados se muestren en las listas desplegables, debe generar el XML para el reglamento personalizado en la consola del Administrador de sistema.
Ayuda de Informes
Cuadro de dilogo Propiedades de informe
Utilice este cuadro de dilogo para configurar el informe. Para obtener ms informacin, consulte Creating custom reports. Ttulo: especifica el ttulo del informe. Descripcin: ofrece una descripcin del informe. Filtro de Consulta: especifica la consulta aplicada al informe. Seleccione: permite seleccionar una consulta existente, la cual proporciona los parmetros para la generacin del informe. Editar: permite editar la consulta del informe. Nuevo: permite crear una consulta personalizada. Tipo de grfico: especifica si el informe incluye diagramas e informacin de grficos, al igual que el tipo de grfico que utilizar. Campo de consulta: especifica los datos de parmetro o de consulta en el cual se basar el grfico. Vista previa: genera y ejecuta una vista previa del informe. Diseo: ejecuta el diseador de informes, el cual permite personalizar el informe y crear plantillas de informe. Aceptar: guarda el informe y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios. Ayuda: abre el archivo de ayuda.
MANUAL DE USUARIO
Programar tarea Esta pgina permite programar la tarea. Puede configurar en qu momento se ejecutar una tarea y la forma en que funcionarn los reintentos. Hora inicial: especifica en qu momento se realiza la tarea. Dejar sin Programar: deja la tarea sin programar, pero conserva la tarea. Iniciar ahora: inicia la tarea una vez que se cierra el cuadro de dilogo. Iniciar ms adelante: especifica que la tarea se realice en una fecha y a una hora designadas. Fecha: especifica la fecha en que se realizar la tarea. Hora: especifica la hora en que se realizar la tarea. Repetir cada: marque esta opcin para especificar que se repetir la tarea a partir de la hora de inicio.
Destinatarios Esta pgina permite seleccionar los destinatarios del informe. Nombre: marque esta opcin para verificar adnde se enviar el informe. Destino: proporciona la ruta de archivo o la direccin de correo electrnico a la cual se enviar el informe. Correo electrnico de respuesta: especifica el remitente de los informes enviados por correo electrnico, que corresponde a la cuenta que recibir los mensajes de correo electrnico de respuesta. Seleccionar todos: selecciona todos los destinos. Borrar todo: anula la seleccin de todos los destinos.
490
Configuracin de SMTP Utilice esta pgina para configurar el servidor SMTP. Servidor del correo de salida (SMTP): especifica el servidor SMTP. Si selecciona <localhost> se utiliza el servidor SMTP predeterminado del servidor central. Nmero de puerto: especifica el nmero de puerto para el envo de correo electrnico. El puerto predeterminado es 25. Este servidor requiere una conexin segura (SSL): marque esta opcin para especificar si el servidor SMTP requiere SSL. Mi servidor (SMTP) requiere autenticacin: marque esta opcin para especificar si el servidor SMTP requiere autenticacin. Iniciar sesin utilizando autenticacin de NTLM: especifica si el servidor utiliza NTLM para la autenticacin. Iniciar sesin utilizando: especifica si el servidor utiliza un nombre de usuario y una contrasea para la autenticacin. Nombre de usuario: especifica el nombre de usuario para la autenticacin en el servidor SMTP. Contrasea: especifica la contrasea para la autenticacin en el servidor SMTP. Correo electrnico de prueba: especifica la direccin de correo electrnico que recibir un mensaje que verifica la configuracin debida del servidor SMTP. Probar: enva el mensaje de correo electrnico de prueba para verificar la configuracin.
491
MANUAL DE USUARIO
Nombre de archivo: introduzca un nombre de archivo nico al final de la ruta existente. Si no existe la ruta del directorio, debe indicar si desea crearla. Examinar: permite navegar a la ubicacin de un archivo. Informe de todos los dispositivos: especifica si desea ejecutar el informe en todos los dispositivos o nicamente en los seleccionados actualmente en la vista de red. Informe de nodos seleccionados: especifica si desea ejecutar el informe en los dispositivos seleccionados en la vista de red. Codificacin de pgina actual: hace que se utilice la codificacin de pgina actual. Codificacin Unicode: hace que se utilice la codificacin Unicode. Aceptar: guarda el informe y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar el informe. Ayuda: abre el archivo de ayuda.
492
493
MANUAL DE USUARIO
En esta pgina tambin puede marcar la opcin Dispositivos reactivados. Esta opcin reactiva un equipo apagado para la tarea seleccionada mediante el uso de Wake On LAN. Una vez completada la tarea, el equipo se vuelve a apagar. Esta funcin slo funciona en equipos con versiones del BIOS que admiten la tecnologa Wake on LAN. Seleccionar esta opcin causar que las tareas demoren ms tiempo, debido a que la tarea espera a los dispositivos que se acaban de iniciar o activar. No seleccione esta opcin para realizar la instalacin solicitada de paquetes de distribucin.
Al reprogramar una tarea, puede limitar los dispositivos en los que se ejecuta. Es probable que desee hacerlo si la tarea no se ejecuta en una gran cantidad de dispositivos y no cree que cambie el estado de los dispositivos fallidos. El limitar la tarea de este modo podra ayudar a que sta se complete ms rpidamente debido a que el programador no continuar intentando en los dispositivos que no procesarn la tarea. Puede elegir ejecutar las tareas en dispositivos con los estados siguientes. Esperando o en ejecucin: opcin predeterminada que debe utilizarse al ejecutar la tarea por primera vez. Si vuelve a ejecutar la tarea, esta opcin utiliza los dispositivos de destino que ejecutaron la tarea la primera vez que se ejecut. Todos: seleccione esta opcin si desea que la tarea se ejecute en todos los dispositivos, independientemente del estado. Considere esta opcin si tiene una tarea, particularmente una repetitiva, que necesite ejecutarse en la mayor cantidad de dispositivos posible.
494
Dispositivos que no ejecutaron la tarea: seleccione esta opcin si desea que la tarea solamente se ejecute en todos los dispositivos que no la completaron la primera vez. Esta opcin excluye los dispositivos que tienen el estado Satisfactorio. La tarea se ejecutar en los dispositivos con todos los dems estados, incluso Esperando o Activo. Considere esta opcin si necesita ejecutar la tarea en la mayor cantidad posible de dispositivos que no la ejecutaron, y solamente necesita ejecutarla una vez en cada dispositivo. Dispositivos que no intentaron ejecutar la tarea: seleccione esta opcin si desea que la tarea solamente se ejecute en los dispositivos que no la ejecutaron pero que tampoco fallaron. Esto excluye los dispositivos con el estado Apagado, Ocupado, Fallido o Cancelado. Considere esta opcin si varios dispositivos de destino fallaron y no tienen importancia como destino.
495
MANUAL DE USUARIO
Seccin "Hora" del cuadro de dilogo Programacin Use esta seccin para configurar los horarios de ejecucin de la tarea. Si ejecut este cuadro de dilogo desde la herramienta configuracin del agente, puede especificar un retraso aleatorio en la pgina de configuracin del agente desde la que usted lleg. El intervalo de retraso aleatorio que especifique es un rango horario en el que puede ejecutarse la tarea. Por ejemplo, si cuenta con una gran cantidad de usuarios que inician sesin al mismo tiempo, este retraso permite que las tareas que se ejecutan en el inicio de sesin no lo hagan todas a la vez, si se asume que su intervalo de retraso es lo suficientemente extenso. El retraso predeterminado es de una hora. Iniciar: marque esta opcin para mostrar un calendario en el que puede seleccionar el da de inicio de la tarea. Despus de elegir un da, tambin puede ingresar un horario. El valor predeterminado de estas opciones es la fecha y hora actuales. Repetir despus de: si desea que la tarea se reitere, haga clic en el cuadro de lista y seleccione minutos, horas o das. Despus, ingrese en el primer cuadro la extensin deseada para el intervalo que seleccion. Por ejemplo, 10 das. Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las horas de inicio y fin. Las horas estn en formato horario de 24 horas (militar). Semanalmente entre: si desea que la tarea se ejecute entre ciertos das de la semana, seleccione los das de inicio y fin. Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes, seleccione las fechas de inicio y fin.
Seccin "Ejecutar filtros" del cuadro de dilogo Programacin Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda mnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en crear trfico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del programador local enva una pequea cantidad de trfico de red ICMP al dispositivo especificado y evala el rendimiento de la transferencia. Si el dispositivo de destino de prueba no est disponible, la tarea no se ejecuta. Al especificar criterios de ancho de banda para dispositivos que pueden conectarse al servidor central a travs de LANDesk Management Gateway, se debe colocar la direccin IP de Management Gateway en el campo para. Esto permite que se complete la prueba de ancho de banda y que la tarea pueda ejecutarse a continuacin. Las opciones de Ancho de banda mnimo son: RAS: la tarea se ejecuta si la conexin de red del dispositivo al dispositivo de destino tiene al menos una velocidad RAS o de acceso telefnico, tal como se detecta a travs del API de red. Normalmente, si se selecciona esta opcin, la tarea siempre se va a ejecutar si el dispositivo tiene una conexin de red de algn tipo. WAN: la tarea se ejecuta si la conexin del dispositivo al dispositivo de destino es al menos una velocidad WAN. La velocidad WAN se define como una conexin no RAS que es ms lenta que el umbral LAN.
496
LAN: La tarea se ejecuta cuando la conexin del dispositivo al dispositivo de destino excede la configuracin de velocidad LAN. La velocidad LAN se define como cualquier velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la configuracin del agente (Herramientas | Configuracin | Agente | Configuracin, Deteccin de ancho de banda). Los cambios que realice entran en efecto cuando se implementa la configuracin actualizada en los dispositivos.
La seccin ejecutar filtros cuenta con estas opciones: Ancho de banda mnimo: Si desea que el criterio de ejecucin de tareas incluya el ancho de banda disponible, seleccione el ancho de banda mnimo deseado e ingrese el nombre del dispositivo o direccin IP de destino para la prueba de ancho de banda entre el destino y el dispositivo. Estado del equipo: si desea que el criterio de ejecucin de tareas incluya un estado del equipo, seleccione uno de los siguientes estados: Protector de pantalla o equipo de escritorio bloqueado, El equipo de escritorio debe bloquearse, El equipo debe estar en posicin neutral, El usuario debe estar en sesin o El usuario debe estar fuera de sesin. Los criterios para el estado El equipo debe estar en posicin neutral son: el SO est bloqueado, el protector de pantalla est activo, o el usuario est fuera de sesin.
Otras opciones del cuadro de dilogo Programacin Retraso aleatorio adicional una vez que se superan todos los dems filtros: si desea un retraso aleatorio adicional, utilice esta opcin. Si selecciona un retraso aleatorio que se extienda ms all de los lmites horarios configurados para la tarea, sta puede no ejecutarse si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados. Retraso de hasta: Seleccione el retraso aleatorio adicional que desee. Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de minutos antes de ejecutarse, seleccione esta opcin. Por ejemplo, si programa un rastreo de inventario, puede ingresar un cinco aqu, de manera que el equipo tenga tiempo para terminar el inicio antes de que comience el rastreo, con lo que se mejora la reaccin del equipo para el usuario. Comando: escriba el programa que desea ejecutar de forma local. Incluya la ruta completa al programa o cercirese de que el programa est es una carpeta que forme parte de la ruta del dispositivo. La ruta debe ser la misma en todos los dispositivos en los que se despliega el archivo de comandos. Parmetros: escriba los parmetros de lnea de comandos que desea pasar al programa.
497
MANUAL DE USUARIO
498
"Acerca del cuadro de dilogo Configuracin de alertas" en la pgina 534 "Acerca del cuadro de dilogo Configuracin del servidor central de resumen" en la pgina 535 "Acerca del cuadro de dilogo Seleccionar columnas" en la pgina 535 "Acerca de los cuadros de dilogo Configuracin del servidor de seguridad" en la pgina 536
499
MANUAL DE USUARIO
Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en Aplicar, la configuracin que especifica se guardar y aparecer la prxima vez que abra este cuadro de dilogo. Si hace clic en Cerrar, el sistema preguntar si desea guardar la configuracin. Para programar una tarea de descarga de contenido de seguridad y revisiones, haga clic en Programar actualizacin para abrir el cuadro de dilogo Informacin de actualizacin programada. Escriba un nombre para la tarea, corrobore la informacin para la tarea y luego haga clic en Aceptar para agregar la tarea a las Tareas programadas.
Para guardar los cambios en cualquier ficha de este cuadro de dilogo, haga clic en Aplicar. El cuadro de dilogo Descargar actualizaciones contiene las siguientes fichas: "Acerca de la ficha Actualizaciones" en la pgina 501 "Acerca de la ficha Configuracin del proxy" en la pgina 502 "Acerca de la ficha Ubicacin de la revisin" en la pgina 503 "Acerca de la ficha LANDesk Antivirus" en la pgina 503
500
501
MANUAL DE USUARIO
Habilitar la implementacin de revisiones automticas mediante Process Manager: Le permite configurar la base de datos de LANDesk Process Manager que se requiere para usar la funcin integrada de implementacin de revisiones automticas. Configurar Process Manager: Abre el cuadro de dilogo Implementacin de revisiones automticas que describe la capacidad integrada entre la herramienta LANDesk Process Manager y Administrador de seguridad y revisiones que le permite crear un flujo de trabajo que automatice la implementacin de revisiones a los dispositivos de destino en la red de LANDesk. Tambin tiene la opcin de ver un tutorial que le mostrar los pasos para este procedimiento. LANDesk Process Manager incluye una ayuda en lnea a la que puede tener acceso en cualquier momento para obtener informacin detallada sobre estas funciones y cmo usarlas. Coloque definiciones nuevas en el grupo No asignadas (a menos que estn sobrescritas en la configuracin del grupo Definicin): coloca de forma automtica las nuevas definiciones y las reglas de deteccin asociadas en el grupo No asignadas en lugar del grupo Rastrear. Seleccione esta opcin si desea poder mover de forma manual contenido hacia y desde el grupo Rastrear para personalizar el rastreo de seguridad. (Nota: las definiciones que se seleccionan para colocarse en el grupo de Alertas (del cuadro de dilogo Configurar alertas) se colocan automticamente en el grupo Rastrear aunque est seleccionada esta opcin. Para el tipo de aplicacin bloqueada, las definiciones se descargan del grupo No asignadas de manera predeterminada, no del grupo Rastrear. No es necesario seleccionar esta opcin si est descargando slo definiciones de aplicaciones bloqueadas Configuracin del grupo Definicin: abre la configuracin del grupo Definicin en el que puede crear, administrar y seleccionar los grupos de definicin. Puede usar la configuracin del grupo Definicin para automatizar la forma en que se descargan las definiciones de seguridad (contenido) que coinciden con los criterios de tipo y gravedad especificados, su estado de rastreo y la ubicacin de descarga.
502
503
MANUAL DE USUARIO
Utilice los botones de flecha derecha e izquierda (<, >) para ver la informacin de propiedades para la anterior o la siguiente definicin en el orden en que se incluyen actualmente en la ventana principal. El cuadro de dilogo Propiedades de definicin contiene las siguientes fichas: "Acerca de la Definicin: Ficha General" en la pgina 504 "Acerca de la Definicin: Ficha Descripcin" en la pgina 505 "Acerca de la Definicin: Ficha Dependencias" en la pgina 505 "Acerca de la Definicin: Ficha Variables personalizadas" en la pgina 505
Puede hacer clic con el botn derecho en una regla de deteccin para descargar su revisin asociada (o revisiones), habilitar o deshabilitar la regla de deteccin del rastreo de seguridad, desinstalar sus revisiones asociadas o ver sus propiedades. Puede hacer doble clic en una regla de deteccin para ver sus propiedades.
504
Si trabaja con una definicin personalizada, haga clic en Agregar para crear una nueva regla de deteccin, en Editar para modificar la regla seleccionada, o en Eliminar para quitar la regla seleccionada. Para obtener ms informacin sobre definiciones personalizadas, consulteTo create custom detection rules.
505
MANUAL DE USUARIO
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante la modificacin de uno o ms valores de ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es vulnerable slo si se cumple con esa condicin (por ejemplo, si se detecta el valor especificado). Derecho requerido para modificar variables personalizadas Para modificar los ajustes de las variables personalizadas, el usuario de LANDesk debe tener el derecho de administracin basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta Usuarios. Cada definicin de seguridad con variables que se puedan personalizar tiene un conjunto nico de valores especficos que pueden modificarse. En cada caso, sin embargo, la ficha Variables personalizadas mostrar la siguiente informacin comn: Nombre: identifica la variable personalizada. No se puede modificar el nombre. Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de slo lectura, puede hacer doble clic en este campo para cambiar el valor. Descripcin: provee informacin adicional til del fabricante de la definicin sobre las variables personalizadas. Valor predeterminado: Brinda el valor predeterminado si modific la configuracin y desea restaurarla a su valor original.
Para cambiar una variable personalizada, haga doble clic en el campo Valor y seleccione un valor, si hay una lista desplegable disponible, o edite manualmente el valor y luego haga clic en Aplicar. Observe que algunas variables son de slo lectura y no pueden editarse (esto generalmente se indica en la descripcin). La informacin sobre la configuracin de reemplazo de variable personalizada puede verse en la vista Inventario del dispositivo. Configuracin de reemplazo de variable personalizada Es posible que en algunos casos desee hacer caso omiso de la configuracin de variables personalizadas o, en otras palabras, crear una excepcin a la regla. Puede hacerlo con una funcin denominada configuracin de reemplazo de variables personalizadas. La configuracin del reemplazo de variables personalizadas le permite decidir qu variables personalizadas se van a pasar por alto durante el rastreo de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccin de una definicin. Puede crear las configuraciones de reemplazo de variables personalizadas que desee y aplicarlos a los dispositivos con la tarea Cambiar configuracin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533.
506
Nombre: indica el nombre de archivo ejecutable de la revisin. Definiciones: indica la vulnerabilidad que est asociada con este archivo de revisin. Descargada: indica si el archivo de revisin se ha descargado o no. Puede descargar: indica si la revisin puede descargarse automticamente o si es necesario descargarla mediante un proceso del Administrador de Seguridad y Revisiones. Mostrar slo las revisiones actualmente requeridas: muestra solamente los archivos de revisin necesarios para reparar la vulnerabilidad seleccionada en este momento. En otras palabras, la lista incluye las revisiones que han reemplazado a las revisiones anteriores y no estas ltimas. Mostrar todas las revisiones asociadas: muestra una lista exhaustiva de todas las revisiones asociadas con la vulnerabilidad seleccionada, ya sea que se hayan reemplazado o no. Descarga: haga clic en esta opcin para descargar los archivos de revisin del sitio de origen de actualizacin. Cancelar: cancela la operacin de descarga.
MANUAL DE USUARIO
Si est creando o editando una regla de deteccin personalizada, haga clic en Configurar para abrir un nuevo dilogo que permite agregar y eliminar productos en la lista. La lista de productos disponibles es determinada por el contenido de seguridad y revisiones que actualiz mediante el servicio LANDesk Security. Nombre: proporciona el nombre del producto seleccionado. Proveedor: proporciona el nombre del proveedor.
508
Observe que para los parmetros Versin del archivo, Fecha y Tamao puede hacer clic en el botn Recolectar datos, luego de especificar la ruta y nombre del archivo a fin de completar los campos con los valores correspondientes. Fecha de archivo: realiza la verificacin mediante el rastreo del archivo especificado y la fecha. Los parmetros son: Ruta, Fecha mnima y Requisito (debe existir, no debe existir o podra existir). Tamao y/o Suma de comprobacin: realiza la verificacin mediante el rastreo del archivo especificado y el tamao o el valor de la suma de comprobacin. Los parmetros son: Ruta, Suma de comprobacin, Tamao de archivo y Requisito (debe existir, no debe existir o podra existir).
509
MANUAL DE USUARIO
ID de Producto MSI instalado: realiza la verificacin mediante el rastreo a fin de cerciorarse de que el producto MSI est instalado (un producto instalado mediante la utilidad Microsoft Installer). Los parmetros son: Guid (identificador nico global del producto). ID de Producto MSI no instalado: realiza la verificacin mediante el rastreo a fin de asegurarse de que el producto MSI no est instalado. Los parmetros son: Guid.
Acerca de la Lgica de deteccin: Configuracin del registro usado para la pgina de deteccin
Registro: muestra una lista de las condiciones de clave de registro que se utilizan para determinar si existe la vulnerabilidad asociada (u otro tipo) en un dispositivo rastreado. Seleccione una clave de registro en la lista para ver los parmetros esperados. Si NO se cumple cualquiera de estas condiciones, se determina que existe la vulnerabilidad en el dispositivo.
Importante: si no existen condiciones de registro en la lista Y no existen condiciones de archivo en la ficha Archivos, el rastreo falla. En otras palabras, la regla de deteccin debe tener al menos una condicin de archivo o de registro. Si est creando o editando una regla de deteccin personalizada, haga clic en Agregar para hacer que los campos se puedan editar, lo cual permite configurar una condicin de clave de registro nueva y los valores o parmetros esperados. Una regla puede incluir una o ms condiciones de registro. Para guardar una condicin de registro, haga clic en Actualizar. Para eliminar una condicin de registro de la lista, seleccinela y haga clic en Eliminar. Clave: identifica la carpeta y la ruta esperadas de la clave de registro. Nombre: identifica el nombre de clave esperado. Valor: identifica el valor de clave esperado. Requisito: indica si la clave de registro debe o no existir en los dispositivos de destino.
510
Acerca de las propiedades del producto de la vulnerabilidad personalizada: Pgina de Informacin general
Utilice estos cuadros de dilogo al crear una definicin de vulnerabilidad personalizada que incluya un producto personalizado. Puede escribir un nombre, proveedor y el nmero de versin, y luego definir la lgica de deteccin que determine las condiciones para que exista la vulnerabilidad. Estos cuadros de dilogo son similares a los cuadros de dilogo de propiedades para las definiciones de vulnerabilidad publicadas y descargadas. Consulte las secciones correspondientes ms arriba. Esta pgina incluye las siguientes opciones: Productos afectados: Menciona los productos afectados por la definicin de vulnerabilidad personalizada. Productos disponibles: Muestra todos los productos descargados. Filtrar productos disponibles por plataformas afectadas: Restringe la lista de productos disponibles slo a aquellos que se asocian con las plataformas que seleccion en Lgica de deteccin: Pgina Plataformas afectadas. Agregar: Abre el cuadro de dilogo Propiedades en el que puede crear una definicin de productos personalizada.
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Archivos utilizados para la pgina de deteccin
Consulte la Lgica de deteccin: Archivos utilizados para la pgina de deteccin ms arriba.
511
MANUAL DE USUARIO
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Claves de configuracin del registro usadas para la pgina de deteccin
Consulte la Lgica de deteccin: Configuracin del registro usado para la pgina de deteccin anterior.
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Pgina de Secuencia personalizada de comandos de deteccin
Consulte la Lgica de deteccin: Pgina de Secuencia personalizada de comandos anterior.
512
Nombre de archivo nico: Identifica el nombre de archivo ejecutable nico del archivo de revisin. Tenga en cuenta que se recomienda enfticamente que cuando descargue un archivo de revisin, cree un hash para dicho archivo. Para ello, haga clic en Generar MD5 Hash. (La mayora de los archivos de revisin asociados de las vulnerabilidades conocidas contienen un hash.) Debe descargarse el archivo de revisin antes de crear un hash. El archivo hash se utiliza para garantizar la integridad del archivo de revisin durante la reparacin (por ejemplo, cuando se despliega e instala en un dispositivo afectado). El rastreador de seguridad realiza esto mediante la comparacin del cdigo hash creado al hacer clic en el botn Generar MD5 hash con un hash nuevo generado inmediatamente antes de que se intenta instalar el archivo de revisin a partir del depsito de revisiones del cliente. Si los dos archivos hash coinciden, se contina con la reparacin. Si los dos archivos hash no coinciden, quiere decir que el archivo de revisin ha cambiado de algn modo desde que se descarg en el depsito y se interrumpe el proceso de reparacin. Requiere reinicio: indica si el archivo de revisin requiere que el dispositivo reinicie antes de terminar sus procesos de instalacin y configuracin en el mismo. Instalacin en segundo plano: indica si el archivo de revisin puede completar su instalacin sin la interaccin con el usuario final.
Acerca de la Deteccin de la revisin: Archivos utilizados para la pgina de deteccin de revisiones instalada
Esta pgina especifica las condiciones de archivo que se utilizan para determinar si un archivo de revisin ya se encuentra instalado en un dispositivo. Las opciones de esta pgina son las mismas que las de la pgina Archivos de la definicin de la lgica de deteccin (vase ms arriba). Sin embargo, la lgica funciona al revs cuando se est detectando una instalacin de revisin. En otras palabras, al verificar la instalacin de una revisin, deben satisfacerse todas las condiciones de archivo especificadas en esta pgina para determinar la instalacin.
513
MANUAL DE USUARIO
Acerca de la Deteccin de la revisin: Configuracin del registro usado para la pgina de deteccin de revisiones instalada
Esta pgina especifica las condiciones de clave de registro que se utilizan para determinar si un archivo de revisin ya se encuentra instalado en un dispositivo. Las opciones de esta pgina son las mismas que las de la pgina Configuracin del registro de la definicin de la lgica de deteccin (vase ms arriba). No obstante, la lgica funciona de forma inversa en este caso. En otras palabras, al verificar la instalacin de una revisin, deben satisfacerse todas las condiciones de registro especificadas en esta pgina para determinar la instalacin. Importante: deben satisfacerse TODAS las condiciones especificadas para la configuracin de AMBOS archivos y del registro a fin de que se detecte la instalacin del archivo de revisin en un dispositivo.
514
Copiar: copia un archivo del origen especificado al destino especificado en el disco duro del dispositivo destino. Este comando se puede utilizar antes y/o despus de la ejecucin del archivo de revisin en s mismo. Por ejemplo, luego de extraer el contenido de un archivo comprimido con el comando Descomprimir, copie los archivos desde donde se encuentran hasta otra ubicacin. Los argumentos del comando Copiar son los siguientes: Dest (ruta completa de donde desea copiar el archivo, no incluye el nombre de archivo) y Fuente (ruta completa y nombre del archivo que desea copiar).
Ejecutar: ejecuta el archivo de revisin, o cualquier otro archivo ejecutable, en los dispositivos destino. Los argumentos del comando Ejecutar son los siguientes: Ruta (ruta completa y el nombre de archivo, dnde est guardado el archivo ejecutable; para el archivo de revisin puede utilizar las variables %SDMCACHE% y %PATCHFILENAME%), Args (Opciones de lnea de comandos para el archivo ejecutable, este campo no es obligatorio), Espera (nmero de segundos para esperar que el ejecutable finalice antes de continuar con el prximo comando en la lista, si el argumento Esperar se establece como verdadero), y Esperar (valor verdadero o falso que determina si debe esperar a que el ejecutable finalice antes de continuar con el prximo comando de la lista)
ButtonClick: hace clic automticamente en un botn especfico que aparece cuando se ejecuta un archivo ejecutable. Puede utilizar este comando para programar el clic en un botn si se necesita esa interaccin con el ejecutable. Para que el comando ButtonClick funcione correctamente, el argumento Esperar para el comando precedente Ejecutar debe establecerse en falso, a fin de que el ejecutable finalice antes de continuar con la accin del clic en el botn. Los argumentos del comando ButtonClick son los siguientes: Requerido (valor verdadero o falso que indica si el botn se debe apretar antes de proceder, si selecciona verdadero y el botn no se puede apretar por alguna razn, se elimina la reparacin. Si se selecciona falso, y el botn no se puede apretar, la reparacin continuar), ButtonIDorCaption (identifica el botn que desee presionar por su etiqueta de texto, o su Id. de control), Espera (nmero de segundos que toma apretar el botn aparecer cuando se ejecute el ejecutable) y WindowCaption (identifica la ventana o cuadro de dilogo donde se encuentra el botn que desea apretar).
ReplaceInFile: edita el archivo basado en texto en los dispositivos destino. Utilice este comando si necesita realizar alguna modificacin a un archivo basado en texto, como por ejemplo un valor especfico en un archivo .INI, antes o despus de la ejecucin de un archivo de revisin para asegurarse que se ejecute correctamente. Los argumentos del comando ReplaceInFile son los siguientes: Filename (nombre y ruta completa del archivo que desea editar), ReplaceWith (cadena de texto exacta que desee agregar al archivo) y Original Text (cadena de texto exacta que desee eliminar del archivo).
StartService: inicia el servicio en los dispositivos destino. Utilice esta opcin para comenzar un servicio requerido a fin de que se ejecute la revisin, o reinicie el servicio que se requera detener para que se ejecute el archivo de revisin.
515
MANUAL DE USUARIO
Los argumentos del comando StartService son los siguientes: Service (nombre del servicio). StopService: detiene el servicio en los dispositivos de destino. Utilice este comando si debe detenerse en un dispositivo un servicio para que pueda instalarse el archivo de revisin. Los argumentos del comando StopService son los siguientes: Service (nombre del servicio). Unzip: descomprime un archivo comprimido en el dispositivo de destino. Por ejemplo, puede utilizar este comando si la reparacin requiere que se ejecute ms de un archivo o que se copie a los dispositivos destino. Los argumentos del comando Descomprimir son los siguientes: Dest (ruta completa hacia donde se desee extraer los contenidos de un archivo comprimido en el disco duro de un dispositivo) y Fuente (ruta completa del archivo comprimido). WriteRegistryValue: escribe un valor en el registro. Los argumentos de WriteRegistryValue son los siguientes: Clave, Escribir, ValueName, ValueData, WriteIfDataEmpty
Para obtener ms informacin sobre los comandos, consulte"Acerca de la pgina de Comandos de instalacin de la revisin" en la pgina 514.
516
Puede eliminar las definiciones si se convierten en obsoletas, si no funcionan correctamente, o si el riesgo de seguridad relacionado se resolvi en su totalidad. Este cuadro de dilogo contiene las opciones siguientes: Plataformas: especifica las plataformas cuyas definiciones desee eliminar de la base de datos. Si una definicin se asocia con varias plataformas, debe seleccionarlas todas para poder eliminar la definicin y su informacin de regla de deteccin. Idiomas: especifica las versiones de idiomas de las plataformas seleccionadas cuyas definiciones desee eliminar de la base de datos. Si seleccion una plataforma de Windows o Macintosh, debe especificar los idiomas cuya informacin de definicin desea eliminar. Si eligi una plataforma UNIX o Linux, es necesario especificar la opcin Idioma neutral para poder eliminar la informacin de definiciones independientes de los idiomas de la plataforma. Tipos: especifica los tipos de contenidos cuyas definiciones desee eliminar. Purgar: elimina definitivamente la definicin y la informacin de regla de deteccin para los tipos que seleccion que pertenecen a las plataformas especificadas y los idiomas que seleccion. Esta informacin solo puede restaurarse al descargar nuevamente el contenido. Cerrar: cierra el cuadro de dilogo sin guardar los cambios y sin eliminar la informacin de definicin.
517
MANUAL DE USUARIO
Configuracin de rastreo y reparacin: especifica la configuracin de rastreo y reparacin que se utiliza para la tarea de rastreo. La configuracin de rastreo y reparacin determina si el rastreo de seguridad y revisiones se muestra en los dispositivos mientras se ejecuta, las opciones de reinicio, la interaccin con el usuario y los tipos de contenido de seguridad rastreados. Seleccione una configuracin de rastreo y reparacin de la lista desplegable para asignarla a la tarea de rastreo de seguridad que cre. Puede hacer clic en Editar para modificar las opciones de la configuracin de rastreo y reparacin seleccionada. Tambin puede hacer clic en Configurar para crear una configuracin de rastreo o reparacin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Configurar rastreo y reparacin (cumplimiento y servidor de seguridad)" en la pgina 518.
Acerca del cuadro de dilogo Configurar rastreo y reparacin (cumplimiento y servidor de seguridad)
Utilice este cuadro de dilogo para administrar la configuracin de rastreo y reparacin (cumplimiento y servidor de seguridad). Una vez configurada, se puede aplicar la configuracin a las tareas de rastreo de seguridad, de rastreo de cumplimiento, de reparacin, de desinstalacin y de reinicio. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: abre el cuadro de dilogo donde puede configurar las opciones pertinentes al tipo de configuracin especificado. Editar: abre el cuadro de dilogo de configuracin donde puede modificar la configuracin seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Eliminar: quita la configuracin seleccionada de la base de datos. Nota: la configuracin seleccionada puede estar asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea de cambio de configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva. Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
518
Nota sobre la configuracin del rastreo de cumplimiento La informacin que se encuentra en este cuadro de dilogo tambin se aplica a los rastreos de cumplimiento. Observe que la ficha Cumplimiento reemplaza a la ficha Rastrear. Consulte la seccin Acerca de la ficha Cumplimiento, para obtener detalles sobre la configuracin especfica que se aplica a los rastreos de cumplimiento. Note sobre la configuracin de reinicio Las opciones de la ficha Reiniciar de este cuadro de dilogo tambin sirven para las tareas de slo reinicio. Se pueden crear tantas reglas de configuracin de rastreo y reparacin como se desee y editarlas en cualquier momento. Por ejemplo, puede configurar una configuracin de rastreo y reparacin con un panorama especfico de notificacin y reinicio para los dispositivos de escritorio, y otra configuracin de rastreo y reparacin con opciones de reinicio diferentes para los servidores. o, puede ajustar una configuracin de rastreo y reparacin para el rastreo de vulnerabilidades de Windows, y otro para el rastreo de spyware, etc. Una vez configurada, se puede aplicar la configuracin de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio.
El cuadro de dilogo de configuracin contiene las siguientes fichas: "Acerca de Ajustes de rastreo y reparacin: Ficha General" en la pgina 519 "Acerca de Ajustes de rastreo y reparacin: Ficha Rastreo" en la pgina 520 "Acerca de Ajustes de rastreo y reparacin: Ficha Cumplimiento" en la pgina 521 "Acerca de Ajustes de rastreo y reparacin: Ficha Reparacin" en la pgina 522 "Acerca de Ajustes de rastreo y reparacin: Ficha MSI" en la pgina 522 "Acerca de Ajustes de rastreo y reparacin: Ficha Reinicio" en la pgina 523 "Acerca de Ajustes de rastreo y reparacin: Ficha Red" en la pgina 523 "Acerca de Ajustes de rastreo y reparacin: Ficha Piloto" en la pgina 524
MANUAL DE USUARIO
requiere la entrada por parte del usuario final antes de cerrar. para un rastreo o tarea de rastreo que no necesite reiniciar para completar la operacin completa, haga clic en esta opcin si desea que el rastreador pregunte al usuario final antes de que cierre el dilogo de muestra en el dispositivo. Si seleccion esta opcin, y el usuario final no responde, el dilogo permanece abierto, lo que puede causar que se agote el tiempo de espera de otras tareas programadas. Cerrar al expirar el tiempo de espera: para un rastreo de una tarea de reparacin que no necesite reinicio, haga clic en esta opcin si desea que el dilogo de muestra del rastreador se cierre luego de una duracin que especifica. Rastrear por: especifica los tipos de contenidos que desea rastrear en este rastreo. Puede seleccionar un grupo personalizado (preconfigurado) o especificar los tipos de contenidos. Puede seleccionar solo aquellos tipos para los que posee una suscripcin al contenido de LANDesk Security Suite. Tambin, las definiciones actuales de seguridad que se rastrean dependen de los contenidos del grupo Rastrear en la ventana del Administrador de Seguridad y Revisiones. En otras palabras, si en este dilogo selecciona vulnerabilidades y ataques de seguridad, solo se rastrearn aquellas vulnerabilidades y ataques de seguridad que se encuentran en el momento en sus respectivos grupos de Rastrear. Habilitar reparacin automtica: indica que el rastreador de seguridad y revisiones implementar e instalar de forma automtica los archivos de revisin necesarios asociados para las vulnerabilidades o definiciones personalizadas que detecte en los dispositivos rastreados. Esta opcin solo se aplica con las tareas de rastreos de seguridad. Para que funcione la reparacin automtica, el archivo de revisin debe tener activada la reparacin automtica.
520
521
MANUAL DE USUARIO
Rastrear inmediatamente el cumplimiento de los dispositivos: si se detecta un virus y ste no se puede eliminar ni poner en cuarentena, se inicia directamente el rastreo de seguridad de cumplimiento (a travs del rastreador de seguridad, no del rastreador de antivirus). Realizar verificacin de control de acceso de red para determinar si el dispositivo no es apropiado: si se detecta un virus y ste no se puede eliminar ni poner en cuarentena, se inicia inmediatamente una verificacin de control de acceso a travs del NAC de LANDesk.
522
Credenciales para la ubicacin del paquete original: escriba un nombre de usuario y contrasea vlidos para autenticarse en el recurso compartido de red que se especifica ms arriba. Omitir la opcin de lnea de comandos /overwriteoem: indica que se omitir el comando para sobrescribir las instrucciones especficas de OEM. En otras palabras, se ejecutan las instrucciones de OEM. Ejecutar como informacin: credenciales para ejecutar revisiones: Especifique un nombre de usuario y una contrasea vlidos para identificar las revisiones en ejecucin del usuario que ha iniciado una sesin.
MANUAL DE USUARIO
Nota: La sintaxis para el campo del nombre del servidor debe ser: <nombre del servidor>:<nmero de puerto> donde el nmero de puerto es el puerto de seguridad 433 para la transmisin SSL. Si slo ingresa el nombre del servidor, sin especificar el puerto 443, utiliza de manera predeterminada el puerto 80 que es el puerto estndar HTTP.
524
MANUAL DE USUARIO
Revisiones faltantes (Vulnerabilidades detectadas): enumera todas las vulnerabilidades detectadas en el dispositivo durante el ltimo rastreo. Revisiones instaladas: muestra una lista de todas las revisiones instaladas en el dispositivo. Historial de reparacin: muestra la informacin sobre las tareas de reparacin que se intentaron en el dispositivo. Esta informacin es muy til al resolver problemas de dispositivos. Para borrar esta informacin, haga clic en Purgar historial de reparaciones, especifique la configuracin de dispositivos y el lapso de tiempo, y luego haga clic en Purgar. Informacin de vulnerabilidad: Ttulo: muestra el ttulo de la vulnerabilidad seleccionada. Detectada: indica si se detect la vulnerabilidad seleccionada. Detectada por primera vez: muestra la fecha y la hora en que la vulnerabilidad se detect originalmente en el dispositivo. Esta informacin resulta til si ha realizado varios rastreos. Motivo: describe el motivo de la deteccin de la vulnerabilidad seleccionada. Esta informacin puede resultar til a la hora de decidir si el riesgo de seguridad es lo suficientemente relevante para indicar una reparacin inmediata. Esperado: muestra el nmero de versin del archivo o la clave de registro que busca el rastreador de vulnerabilidad. Si el nmero de versin del archivo o la clave de registro del dispositivo rastreado coincide con este nmero, no existe vulnerabilidad. Encontrados: muestra el nmero de versin del archivo o la clave de registro localizados en el dispositivo rastreado. Si este nmero es distinto al nmero esperado, existe vulnerabilidad. Informacin de revisin: Requiere revisin: muestra el nombre del archivo del ejecutable de revisin necesario para reparar la vulnerabilidad seleccionada. Revisin instalada: indica si la revisin fue instalada. ltima accin: muestra la fecha y la hora en que la revisin se instal en el dispositivo. Accin: indica si la ltima accin fue de instalar o desinstalar. Detalles: indica si la implementacin e instalacin se han realizado correctamente. Si se ha producido un error en la instalacin, esta informacin de estado se debe borrar antes de intentar instalar de nuevo la revisin. Borrar: borra la informacin sobre la fecha y el estado de la instalacin actual de la revisin para el dispositivo seleccionado. Es necesario borrar esta informacin a fin de volver a intentar el despliegue y la instalacin de la revisin.
526
Rastreos de seguridad y cumplimiento a peticin Tambin puede ejecutar un rastreo de seguridad o cumplimiento inmediato en uno o ms dispositivos de destino. Haga clic con botn derecho en el dispositivo seleccionado (o en hasta 20 dispositivos mltiples seleccionados) y haga clic en Rastreo de seguridad y revisiones y seleccione una configuracin de rastreo y reparacin o bien, haga clic en Rastreo de cumplimiento y luego en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico que identifique la tarea de rastreo de cumplimiento. Crear una tarea programada: agrega la tarea de rastreo de cumplimiento a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Mquinas de destino que no han informado desde: limita el rastreo de cumplimiento solamente en los dispositivos administrados que no han informado resultados del rastreo de seguridad desde la fecha especificada. Iniciar ahora: establece que la tarea de rastreo programada comience cuando se agregue la tarea a la ventana Tareas programadas para que no tenga que configurar las opciones de programacin de forma manual. Crear una directiva: agrega la tarea de rastreo de cumplimiento como una directiva a la ventana Tareas programadas, donde puede configurar las opciones de directivas.
527
MANUAL DE USUARIO
528
Slo descargar revisin (sin reparar): descarga la revisin en el depsito de revisiones pero no implementa la revisin. Puede utilizar esta opcin si desea recuperar el archivo de revisin para fines de pruebas previo a la implementacin en s misma. Configuracin de rastreo y reparacin: especifica cul configuracin de rastreo y reparacin se est utilizando para la tarea de reparacin, para as determinar si el rastreo de seguridad y revisiones se muestra en los dispositivos al ejecutarse. Seleccione una configuracin de rastreo y reparacin en la lista desplegable, o haga clic en Configurar para crear una nueva configuracin de rastreo y reparacin.
Las siguientes opciones permiten configurar los parmetros de multidifusin dirigida especficos de la tarea. Los valores predeterminados deben ser adecuados para la mayora de multidifusiones. A continuacin se explican cada una de las opciones:
529
MANUAL DE USUARIO
Nmero mximo de representantes de dominio de multidifusin funcionando simultneamente: este valor seala el nmero mximo de representantes que realizan activamente una multidifusin al mismo tiempo. Limitar el procesamiento de los equipos con error en la multidifusin: si un dispositivo no recibe el archivo a travs de la multidifusin, descargar el archivo desde el servidor de archivos o Web. Este parmetro se puede utilizar para limitar el nmero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el nmero mximo de subprocesos es 200 y el nmero mximo de subprocesos de fallo de multidifusin es 20, el cuadro de dilogo Tarea personalizada procesar un mximo de 20 equipos en el momento en que fall la multidifusin. El cuadro de dilogo Tarea personalizada procesa hasta 200 dispositivos a la vez si reciben correctamente la multidifusin, aunque como mximo 20 de los 200 subprocesos correspondern a dispositivos en los que fall la tarea de multidifusin. Si este valor se establece como 0, el cuadro de dilogo Tarea personalizada no realizar la parte de la tarea correspondiente a la distribucin para cualquier equipo en el que haya fallado la multidifusin. Nmero de das que el archivo permanece en el cach: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach de los equipos cliente. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. Nmero de das que permanecern los archivos en la cach del representante de dominio de multidifusin: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach del representante de dominio de multidifusin. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. Nmero mnimo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mnima que debe transcurrir entre el envo de diferentes paquetes de multidifusin.
Este valor slo se utiliza cuando el representante de dominio no transfiere el archivo desde su propia cach. Si no se especifica este parmetro, se utilizar el tiempo de espera mnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede utilizar este parmetro para limitar el uso de ancho de banda en la red WAN. Nmero mximo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mxima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Para obtener ms informacin, consulte Nmero mnimo de milisegundos entre transmisiones de paquetes.
530
Utilizar multidifusin: habilita esta funcin para la tarea de implementacin de la desinstalacin de la revisin en dispositivos. Haga clic en esta opcin, luego en Opciones de multidifusin si desea configurar las opciones de multidifusin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Opciones de multidifusin" en la pgina 529. Desinstalar como directiva: crea una directiva de desinstalacin de revisin en la ventana Tareas programadas cuando hace clic en Aceptar. Agregar consulta representando los dispositivos afectados: crea una nueva consulta, basada en la revisin seleccionada, y aplica la directiva. La directiva basada en consultas buscar dispositivos que tengan instalada la ruta seleccionada, y la desinstalarn. Configuracin de rastreo y reparacin: especifica cul configuracin de rastreo y reparacin se est utilizando para la tarea de desinstalacin, a fin de determinar si el rastreador de seguridad y revisiones se muestra en los dispositivos, las opciones de revisin, la informacin de la ubicacin MSI, etc. Seleccione una configuracin de rastreo y reparacin en la lista desplegable, o haga clic en Configurar para crear una nueva configuracin de rastreo y reparacin.
Con una tarea de cambio de configuracin usted puede cambiar de forma conveniente la configuracin predeterminada (que se encuentra escrita en el registro local del dispositivo) de un dispositivo administrado sin tener que implementar nuevamente una configuracin de agente completa. Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Configuracin de rastreo y reparacin: especifica la configuracin de rastreo y reparacin que se utiliza en las tareas de rastreo de seguridad.
531
MANUAL DE USUARIO
La configuracin de rastreo y reparacin determina si el rastreador se muestra en los dispositivos mientras se ejecutan, las opciones de reinicio, la interaccin con el usuario y los tipos de contenidos de seguridad rastreados. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de rastreo y reparacin" en la pgina 518. Configuracin de cumplimiento: especifica la configuracin de cumplimiento utilizada para las tareas de rastreo de cumplimiento. La configuracin de cumplimiento determina el momento y la forma en que se realiza el rastreo de cumplimiento, si la reparacin ocurre automticamente y qu hacer cuando LANDesk Antivirus detecte una infeccin de virus en los dispositivos de destino. Configuracin de LANDesk Antivirus: especifica la configuracin de antivirus que se utiliza en las tareas de rastreo de antivirus. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440. Configuracin de reemplazo de variable personalizada: especifica la configuracin de reemplazo de variables personalizadas que se utilizan en los dispositivos de destino cuando se rastrean las definiciones de seguridad que incluyen variables personalizadas (tales como amenazas de seguridad y virus). La configuracin de reemplazo de variables personalizadas permite especificar los valores de la configuracin que desea ignorar u omitir durante un rastreo de seguridad. Resulta muy til cuando no se desea que el dispositivo rastreado sea identificado como vulnerable de acuerdo con una configuracin de variable personalizada predeterminada de la definicin. Seleccionar una configuracin de la lista desplegable. En la lista desplegable tambin puede seleccionar eliminar la configuracin de reemplazo de variable personalizada de los dispositivos de destino. La opcin Quitar configuracin de variable personalizada le permite borrar un dispositivo para que la configuracin de variable personalizada est en efecto completo. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533.
Configuracin de Host Intrusion Prevention System (HIPS): especifica la configuracin de HIPS utilizada para la proteccin HIPS en los dispositivos de destino. Para obtener ms informacin, consulte Configuring LANDesk HIPS protection options with HIPS settings.
532
Acerca del cuadro de dilogo Configurar los ajustes de reemplazo de variables personalizadas
Utilice este cuadro de dilogo para administrar su configuracin reemplazo de variable personalizada. Una vez configurada, puede aplicar la configuracin de reemplazo de variable personalizada a una tarea de cambio de configuracin e implementarla en los dispositivos de destino para cambiar (o quitar) su configuracin predeterminada de reemplazo de variable personalizada. El reemplazo de variable personalizada permite configurar excepciones para los valores de las variables personalizadas. En otras palabras, con la configuracin de reemplazo de variable personalizada se puede pasar por alto u omitir una condicin especfica de variable personalizada para que el dispositivo rastreado no se determine como vulnerable. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: abre el cuadro de dilogo de configuracin de reemplazo de variable personalizada donde puede configurar las opciones. Editar: abre el cuadro de dilogo de configuracin donde puede modificar la configuracin de reemplazo de la variable personalizada seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Eliminar: quita la configuracin seleccionada de la base de datos. Tenga en cuenta que la configuracin seleccionada puede estar asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea cambiar configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
533
MANUAL DE USUARIO
Derecho requerido para modificar variables personalizadas Para modificar los ajustes de las variables personalizadas, el usuario de LANDesk debe tener el derecho de administracin basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta Usuarios. La informacin sobre la configuracin de reemplazo de variable personalizada puede verse en la vista Inventario del dispositivo.
Ficha Definiciones
Utilice esta ficha para configurar los avisos de seguridad. Si agreg definiciones de seguridad al grupo de Alertas, el Administrador de Seguridad y Revisiones le avisar cundo alguna de estas definiciones se detecta en dispositivos rastreados. Intervalo mnimo de alertas: especifica el intervalo de tiempo ms corto (en minutos u horas) en el que se envan avisos sobre vulnerabilidades detectadas. Es posible utilizar esta configuracin si no desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir alertas instantneas y en tiempo real. Agregar a grupo de Alertas: indica qu vulnerabilidades, por nivel de seguridad, se ubican de manera automtica en el grupo de Alertas durante un proceso de descarga de contenidos. Cada definicin que se ubica en el grupo de Alerta tambin se ubica de manera predeterminada y automtica en el grupo Rastrear (para incluir aquellas definiciones en una tarea de rastreo de seguridad).
Ficha antivirus
Utilice esta ficha para configurar las alertas de antivirus. Nivel mnimo de alerta: especifica el intervalo de tiempo ms corto (en minutos u horas) en el que se envan alertas sobre virus detectados. Es posible utilizar esta configuracin si no desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir alertas instantneas y en tiempo real. Alerta activa: indica qu eventos de antivirus generan alertas.
534
535
MANUAL DE USUARIO
Uso de la columna de datos de ID de CVE Los productos de seguridad de LANDesk admiten el estndar de nombres CVE (Vulnerabilidades y Exposiciones Comunes). Con el Administrador de Seguridad y Revisiones puede buscar vulnerabilidades por nombre CVE y ver la informacin CVE de las definiciones de vulnerabilidades descargadas. Para obtener ms informacin sobre la convencin de nombres de CVE, la compatibilidad de LANDesk con el estndar CVE, y la forma de usar la identificacin CVE para buscar definiciones de vulnerabilidades de seguridad individuales en el Administrador de Seguridad y Revisiones, consulteUsing CVE names. Si se agregan y quitan columnas de datos y se las desplaza hacia arriba y hacia abajo en la lista (hacia la izquierda y hacia la derecha en la vista de la columna), garantiza que la informacin ms importante se ubique al centro en el frente. Columnas disponibles: detalla las columnas de datos que actualmente no se muestran en la ventana de herramientas del Administrador de Seguridad y Revisiones pero que se encuentran disponibles para agregarlas en la lista de Columnas seleccionadas. Columnas seleccionadas: detalla las columnas de datos que actualmente se muestran en la ventana del Administrador de Seguridad y Revisiones. Las columnas de datos se muestran en una lista de definiciones de seguridad descargada de izquierda a derecha en el mismo orden en que aqu aparecen de arriba a abajo. Valores predeterminados: restaura las columnas de datos mostradas predeterminadas.
Este cuadro de dilogo contiene las opciones siguientes: Excepciones actuales: enumera programas, puertos y servicios cuyas conexiones y comunicaciones NO estn bloqueadas por el servidor de seguridad. El servidor de seguridad previene el acceso no autorizado a los dispositivos, excepto para los elementos en la lista. Agregar programa: permite agregar un programa especfico a la lista de excepciones para permitir la comunicacin. Agregar puertos: permite agregar un puerto especfico a la lista de excepciones para permitir la comunicacin. Editar: permite editar las propiedades de la excepcin seleccionada, incluso el alcance de los dispositivos afectados. Eliminar: quita la excepcin seleccionada de la lista.
536
Aceptar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios.
537
MANUAL DE USUARIO
Para utilizar el explorador de archivos, escriba el nombre de un recurso compartido de Web o de una ruta de archivo en el cuadro junto al botn Ir. Haga clic en Ir para visualizar el destino en el cuadro Archivo principal. Puede continuar explorando ah. Al explorar el archivo, haga doble clic en el archivo que desee establecer como principal. Al hacerlo, se agrega el nombre del archivo a la ruta del paquete junto al botn Ir. Nombre: El nombre especificado aqu aparece en los rboles y cuadros de dilogo de Paquetes de distribucin y Mtodos de entrega. Utilice un nombre descriptivo que no sea demasiado largo, debido a que tendr que desplazarse para ver las descripciones extensas. Propietario del paquete: Puede seleccionar Pblico si desea que todos los usuarios de la consola vean este paquete, de lo contrario, puede seleccionar su propio nombre de usuario para que solamente usted pueda verlo. Los administradores pueden seleccionar un usuario especfico, adems de seleccionar Pblico. Descripcin: la descripcin especificada aqu aparece en los cuadros de dilogo Paquetes de distribucin y Mtodos de entrega. Archivo principal: el archivo principal del paquete. Ir: empieza a explorar la ruta especificada junto al botn Ir. Arriba: sube un nivel de carpeta a partir de la ubicacin que se est explorando.
Uso de variables de entorno Management Suite no admite la colocacin de variables de entorno directamente en la ruta del paquete, aunque la expansin an funciona con las secuencias de comandos personalizadas creadas con anterioridad. A fin de admitir variables de entorno en la nueva arquitectura SWD, el valor de registro "PreferredPackageServer" debe definirse en la variable de entorno que se utilizar. La variable de entorno se expande para definir el servidor en el cual se recuperar el archivo.
538
El campo lnea de comandos tambin permite pasar valores de la entrada de la base de datos del dispositivo a la lnea de comandos. Puede utilizar esto para pasar parmetros nicos a los archivos de proceso por lotes y ejecutables que distribuye. El campo lnea de comandos puede contener un parmetro, tal como %Computer.Device Name% que llame el nombre del dispositivo de la base de datos para cada dispositivo de destino y pase el parmetro como parte del proceso de ejecucin. Los parmetros deben tener el formato BNF y deben estar delimitados por smbolos de porcentaje. A continuacin se muestran ejemplos de BNF vlidos: % Computer.Display Name% : nombre de visualizacin de red del equipo. % Computer.Network.TCPIP.Address% : direccin IP del equipo. % Computer.OS.Name% : nombre del sistema operativo del equipo.
Puede ver los valores BNF de los atributos de base de datos en el cuadro de dilogo de creacin de consulta.
539
MANUAL DE USUARIO
/ j: anuncia el paquete MSI. LANDesk implementa conceptos similares a travs de la entrega basada en polticas y del portal de implementacin de software en dispositivos locales. / l: histrico. Sdclient.exe recopila el estado y crea archivos histricos en el dispositivo de forma predeterminada. /p: instala una revisin; se utiliza para revisar imgenes administrativas. Se provee funcionalidad equivalente bajo LANDesk a travs de Patch Manager, al igual que de la distribucin de software y los paquetes dependientes. Nota: implemente la revisin ms reciente como paquete principal y configure una cadena de dependencia para la aplicacin MSI y otras revisiones.
540
Dependencias Linux de software Cuando hace clic en Guardar en el cuadro de dilogo Propiedades del paquete de distribucin del paquete Linux, la distribucin de software analiza el RPM primario y los RPM dependientes que se seleccionaron para las dependencias que estos RPM requieren. Estas dependencias luego aparecen en el cuadro de dilogo Bibliotecas faltantes. Si se activa una dependencia en este dilogo, sta le dice al software de distribucin que no le enve ms mensajes. Puede activar las dependencias que sabe que estn instaladas en los dispositivos administrados. Este cuadro de dilogo es slo para su informacin. Si falta una dependencia en el dispositivo de destino y no la incluy especficamente como un paquete dependiente, es probable que el RPM no se instale correctamente.
MANUAL DE USUARIO
Se pueden agregar varios criterios. Al seleccionar un criterio de la lista, las opciones de ese criterio aparecen debajo de la misma. Escriba la informacin necesaria y haga clic en Agregar. Repita este paso las veces que sea necesario.
542
Cuando se permita respuesta, visualizar pantalla de fondo: Muestra la pantalla de fondo azul slido. Puede habilitar la respuesta en la pgina Respuestas del cuadro de dilogo Propiedades del mtodo de envo.
543
MANUAL DE USUARIO
Utilice descargar desde el origen para desplegar archivos: Cada dispositivo descarga archivos de paquetes desde el servidor de paquetes antes de utilizarlos. Esta opcin no aprovecha la Multidifusin dirigida.
Si utiliza PDS para detectar la velocidad de la conexin de la red, las conexiones de red de alta y baja velocidad proporcionan la misma informacin. Para obtener una deteccin ms precisa de las conexiones de red de alta velocidad, es necesario utilizar el protocolo ICMP. El protocolo ICMP enva solicitudes de eco ICMP de distintos tamaos al equipo remoto y utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas para determinar el ancho de banda aproximado. Sin embargo, no todos los enrutadores ni todos los equipos admiten reenviar ni responder solicitudes de eco ICMP. El protocolo ICMP tambin distingue entre conexiones LAN (de alta velocidad) y WAN (de baja velocidad, aunque sin ser de conexin telefnica). Si la red no est configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Si utiliza PDS, la opcin Permitir slo conexiones de red de alta velocidad no proporcionar una gran precisin.
544
Descarga entre iguales (instalar slo desde la cach o un igual): slo se permite la descarga de paquetes si se encuentran en la cach local o en un igual del mismo dominio de multidifusin. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin del paquete se realice correctamente, el paquete se debe encontrar en uno de estos dos lugares. Lmite dinmico de ancho de banda: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Si selecciona esta opcin y deja el Porcentaje mnimo de ancho de banda disponible para utilizar en 0, una vez que el dispositivo inicie el trfico de la red, la distribucin disminuye a un paquete por segundo hasta que se detiene el trfico. Esta opcin obliga una descarga completa del archivo en la cach del dispositivo, que tambin habilita el reinicio de punto de control a nivel de byte, donde las descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un paquete SWD o MSI, puede que no se desee utilizar la opcin Lmite dinmico de ancho de banda, ya que estos tipos de paquetes normalmente slo descargan los archivos que necesitan. Porcentaje mnimo de ancho de banda disponible para utilizar: especifica el lmite dinmico de ancho de banda que se va a aplicar. Puede escribir valores de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por ejemplo, si hubiera otra aplicacin consumiendo ancho de banda de red en el dispositivo durante una distribucin y se define el porcentaje de ancho de banda en 50, la tarea de distribucin tomara el 50 por ciento y la aplicacin de dispositivo el otro 50. En la prctica, este porcentaje es variable porque el sistema operativo asigna automticamente gran parte del ancho de banda de red segn el nmero de aplicaciones que necesitan el ancho de banda y su prioridad. Retraso entre paquetes al descargar de un igual: Esta opcin especifica el retraso entre paquetes para iguales en la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las distribuciones. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin. Retraso entre paquetes al descargar del origen: Especifica el retraso entre el origen del paquete y el destino del dispositivo. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin.
545
MANUAL DE USUARIO
Usar los resultados de la ltima deteccin de dominio de multidifusin: utilice esta opcin despus de que la multidifusin dirigida haya realizado una deteccin de dominio y haya guardado el resultado. Dispositivos de reactivacin de representantes de dominio: esta opcin permite hacer que los equipos que admiten la tecnologa Wake On LAN* se activen para que puedan recibir la multidifusin. El cuadro de dilogo Opciones de multidifusin permite configurar el tiempo que esperan los representantes de dominio para realizar la multidifusin una vez se ha enviado el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Nmero de segundos que se esperar la funcin Wake On LAN: expresa la cantidad de tiempo que esperan los representantes de dominio para realizar la multidifusin tras enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si algunos equipos de la red tardan ms de 120 segundos en iniciar, se recomienda aumentar este valor. El valor mximo permitido es 3600 segundos (una hora).
Descubrimiento de dominios El descubrimiento de dominios slo es necesario en redes con subredes cuyo trfico de multidifusin puede verse de unas a otras. Si las subredes conocen el trfico las unas de las otras, puede ahorrar tiempo guardando en primer lugar los resultados de una deteccin de dominio y, a continuacin, seleccionando Utilizar resultados del ltimo descubrimiento de dominio de multidifusin de modo que la multidifusin dirigida no realiza una deteccin de dominio antes de cada tarea. Si las subredes de la red no pueden ver el trfico del resto, la multidifusin dirigida funcionar ms rpidamente realizando una deteccin previa de los dominios mediante el archivo de secuencia de comandos multicast_domain_discovery.ini incluido en la carpeta ManagementSuite\Scripts. Esta secuencia de comandos no realiza ninguna operacin en los dispositivos de destino. Ejecute esta secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se extienda a lo largo de la red. De esta forma se guarda el resultado del descubrimiento de dominios para utilizarlo en un futuro. Quizs desee ejecutar esta secuencia de comandos peridicamente si existen grandes conjuntos de distribuciones de multidifusin. Si se ha seleccionado Usar archivo en cach en Configurar | Servicios | Multidifusin, la multidifusin dirigida continuar con el proceso de descubrimiento aunque se haya seleccionado Utilizar el resultado del ltimo descubrimiento de dominio de multidifusin. La multidifusin dirigida requiere realizar esta operacin para determinar los representantes de dominio de multidifusin que incluye potencialmente el archivo en la cach.
546
Nmero mximo de dispositivos que no lograron procesar la multidifusin de forma simultnea: si un dispositivo no recibe el archivo a travs de la multidifusin, descargar el archivo desde el servidor de archivos o Web. Este parmetro se puede utilizar para limitar el nmero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el nmero mximo de subprocesos es 200 y el nmero mximo de subprocesos de fallo de multidifusin es 20, el gestor de tareas programadas procesar un mximo de 20 equipos en el momento en que fall la multidifusin. El gestor de tareas programadas procesa hasta 200 dispositivos a la vez si reciben correctamente la multidifusin, aunque como mximo 20 de los 200 subprocesos correspondern a dispositivos en los que fall la tarea de multidifusin. Si este valor se establece como 0, el gestor de tareas programadas no realizar la parte de la tarea correspondiente a la distribucin para cualquier equipo en el que haya fallado la multidifusin. El valor predeterminado es 240. Nmero de das que permanecern los archivos en la cach del dispositivo: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach de los equipos cliente. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. El valor predeterminado es 2. Nmero de das que permanecern los archivos en la cach de los representantes de dominio de multidifusin: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach del representante de dominio de multidifusin. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. El valor predeterminado es 14.
547
MANUAL DE USUARIO
No reiniciar nunca: los dispositivos no se reiniciarn tras la instalacin de un paquete. Si se selecciona este parmetro y el paquete requiere que se reinicie el equipo, se pueden producir errores de la aplicacin en el dispositivo hasta que se reinicie el sistema. Si el paquete es un paquete SWD, esta opcin anula cualquier configuracin establecida en el paquete. Si el paquete es un ejecutable genrico o un paquete MSI, la configuracin del paquete puede anular esta opcin. Reiniciar slo si es necesario: los dispositivos se reiniciarn si as lo requiere el paquete. Reiniciar siempre: los dispositivos se reiniciarn independientemente de que el paquete lo requiera o no.
548
MANUAL DE USUARIO
Si desea proporcionar a los dispositivos algn control, existen estas opciones: Posponer instalacin/eliminacin hasta el siguiente inicio de sesin: Esta opcin retrasa la implementacin hasta la prxima vez que un usuario inicie sesin en el equipo. Permitir al usuario posponer la instalacin/eliminacin: Esta opcin permite al usuario posponer la tarea. Esta opcin se puede personalizar mediante los parmetros siguientes: Utilizar mensaje personalizado: Esta opcin permite especificar un mensaje de retraso personalizado. Cantidad de tiempo antes de que la instalacin/desinstalacin se inicie automticamente: Esta opcin permite especificar el tiempo de espera mximo para que el usuario introduzca un perodo de retraso. El valor predeterminado es 60 segundos. Si el usuario no responde a la solicitud del perodo de retraso en el intervalo especificado, se inicia la implementacin.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. A peticin: se pueden instalar en cualquier momento. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado.
Pgina Degradar
Utilice esta pgina para configurar el comportamiento de la distribucin si el sistema operativo o los agentes del dispositivo de destino no admiten los mtodos de entrega elegidos. Por ejemplo, si utiliza agentes de Management Suite anteriores en los dispositivos, es probable que no admitan la multidifusin o la descarga entre iguales. Opciones de degradacin de SO:
550
Degradar funcionalidad al nivel del sistema operativo: permite que las tareas continen aunque las opciones del mtodo de entrega seleccionado no estn activas. Fallo si el sistema operativo no admite la funcionalidad predeterminada: la tarea falla si el sistema operativo no admite las opciones del mtodo de entrega que ha seleccionado.
Opciones de degradacin de dispositivo: Degradar funcionalidad al nivel del agente: permite que las tareas continen aunque las opciones del mtodo de entrega seleccionado no estn activas. Fallo si el agente no admite la funcionalidad predeterminada: la tarea falla si el agente no admite las opciones del mtodo de entrega que ha seleccionado.
Pgina Deteccin
Esta pgina permite elegir las opciones de deteccin de dispositivos. Para que el gestor de tareas programadas pueda procesar una tarea, debe detectar cada direccin IP actual de los dispositivos. Esta ficha permite configurar el modo en que el servicio se comunicar con los dispositivos. Opciones de deteccin: UDP: al seleccionar UDP se utiliza el servicio de deteccin de ping (PDS) a travs de UDP. La mayora de los componentes de dispositivo de Management Suite dependen de PDS, de modo que los dispositivos administrados deben tenerlo. PDS es parte del agente LANDesk estndar. Constituye el mtodo de deteccin predeterminado y el ms rpido. Con UDP, tambin puede seleccionar los reintentos y el tiempo de espera del ping de UDP. TCP: al seleccionar TCP se utiliza una conexin HTTP al dispositivo en el puerto 9595. Este mtodo de deteccin tiene la ventaja de que es capaz de funcionar a travs de un servidor de seguridad si se abre el puerto 9595. No obstante, est sujeto a los tiempos de espera de conexin HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser de 20 segundos o ms. Si muchos de los dispositivos de destino no responden a la conexin TCP, la tarea tardar mucho en iniciarse. Ambos:al seleccionar Ambos, el servicio intenta la deteccin primero con UDP, luego con TCP y finalmente con DNS/WINS, si est seleccionado. Nmero de reintentos: cantidad de intentos de deteccin. Tiempo de espera de la Deteccin: duracin de la espera de una respuesta por cada intento de deteccin. Tiempo de espera para las difusiones de la Subred: duracin de la espera de una respuesta a las difusiones de subred. Inhabilitar difusin en subred:si se selecciona, se deshabilita la deteccin a travs de una difusin de subred. Si se selecciona, se enva una difusin dirigida a subredes mediante UDP y PDS. DNS/WINS:si se selecciona, se deshabilita la bsqueda del servicio de nombre para cada dispositivo, si falla el mtodo de deteccin TCP/UDP seleccionado.
551
MANUAL DE USUARIO
Esta ventana se cierra de forma automtica una vez han transcurrido 10 segundos. Si desea que la ventana permanezca abierta durante toda la distribucin, haga clic en Mantener el cuadro de dilogo abierto para que la ventana permanezca abierta hasta que la cierre manualmente. Si el cuadro de dilogo se mantiene abierto, se detendr la ejecucin del archivo de comandos. Por tanto, asegrese de cerrarlo cuando haya finalizado.
552
2. 3. 4.
En el men contextual Todas las dems secuencias, haga clic en Crear secuencia de comandos personalizada. Introduzca un Nombre de secuencia de comando personalizada. Haga clic en Aceptar. El editor de texto predeterminado se abre con un documento cuyo nombre corresponde al nombre de la secuencia de comando personalizada que especific. Ingrese la secuencia de comando que desee y guarde el documento en la ruta predeterminada (LDMAIN\scripts).
6.
Las secciones siguientes describen las pginas y opciones del asistente Crear secuencia de comandos de implementacin de archivos.
553
MANUAL DE USUARIO
Lmite dinmico de ancho de banda: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Si selecciona esta opcin y deja el Porcentaje de ancho de banda mnimo disponible en 0, cuando el dispositivo inicia el trfico de red, la distribucin se reduce a aproximadamente un paquete por segundo hasta que se detenga el trfico. Esta opcin obliga una descarga completa del archivo en la cach del dispositivo, que tambin habilita el reinicio de punto de control a nivel de byte, donde las descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un paquete ESWD o MSI, puede que no se desee utilizar la opcin Lmite dinmico de ancho de banda, ya que estos tipos de paquetes normalmente slo descargan los archivos que necesitan. Porcentaje mnimo de ancho de banda disponible para utilizar en un equipo cliente: especifica el lmite dinmico de ancho de banda que se va a aplicar. Puede escribir valores de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por ejemplo, si hubiera otra aplicacin consumiendo ancho de banda de red en el dispositivo durante una distribucin y se define el porcentaje de ancho de banda en 50, la tarea de distribucin tomara el 50 por ciento y la aplicacin de dispositivo el otro 50. En la prctica, este porcentaje es variable porque el sistema operativo asigna automticamente gran parte del ancho de banda de red segn el nmero de aplicaciones que necesitan el ancho de banda y su prioridad. Retraso entre paquetes (igual): Esta opcin especifica el retraso entre paquetes para iguales en la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las distribuciones. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin. Retraso entre paquetes (origen): Especifica el retraso entre el origen del paquete y el destino del dispositivo. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin.
554
Instalar slo desde la cach o un igual: Esta opcin impide que los equipos de destino busquen ms all de su subred para instalar un paquete. Los equipos buscan en primer lugar en el directorio de cach de la multidifusin y si el paquete no se encuentra en dicha ubicacin, verifican los iguales de la subred en busca del paquete. Si el paquete no existe en ningn igual, la distribucin falla. Esta opcin permite reducir el trfico de red a travs de las subredes. Esta opcin se puede utilizar tras copiar un paquete en cada subred mediante la opcin Copiar en cach slo el o los archivos del equipo mediante la multidifusin de la pgina Crear secuencia de comandos. Compruebe el archivo antes de instalar el cliente: Genera un grupo (CRC) para el paquete que va a distribuir una vez finalizado el asistente. Los dispositivos pueden utilizar este valor de grupo para asegurarse de que el paquete o archivo recibido no est daado. En funcin del tamao del paquete o archivo que va a distribuir, puede que tenga que esperar varios minutos hasta que finalice el clculo del grupo. No intente completar tareas: Utilice esta opcin para no usar la funcin completar tareas a fin de reintentar tareas con errores. Generalmente, cuando se instala la finalizacin de tareas en los dispositivos, las tareas con errores se reintentarn la prxima vez que sta se ejecute. Si utiliza esta opcin, las tareas con errores se registrarn.
Descubrimiento de dominios El descubrimiento de dominios slo es necesario en redes con subredes cuyo trfico de multidifusin puede verse de unas a otras. Si las subredes conocen el trfico las unas de las otras, puede ahorrar tiempo guardando en primer lugar los resultados de una deteccin de dominio y, a continuacin, seleccionando Utilizar resultados del ltimo descubrimiento de dominio de multidifusin de modo que la multidifusin dirigida no realiza una deteccin de dominio antes de cada tarea.
555
MANUAL DE USUARIO
Si las subredes de la red no pueden ver el trfico del resto, la multidifusin dirigida funcionar ms rpidamente realizando una deteccin previa de los dominios mediante el archivo de secuencia de comandos multicast_domain_discovery.ini incluido en la carpeta LDMAIN\Scripts. Esta secuencia de comandos no realiza ninguna operacin en los equipos destino. Ejecute esta secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se extienda a lo largo de la red. De esta forma se guarda el resultado del descubrimiento de dominios para utilizarlo en un futuro. Quizs desee ejecutar esta secuencia de comandos peridicamente si existen grandes conjuntos de distribuciones de multidifusin. Si se ha seleccionado Usar archivo en cach en Configurar | Servicios de Management Suite | Multidifusin, la multidifusin dirigida continuar con el proceso de descubrimiento aunque se haya seleccionado Utilizar el resultado del ltimo descubrimiento de dominio de multidifusin. La multidifusin dirigida requiere realizar esta operacin para determinar los representantes de dominio de multidifusin que incluye potencialmente el archivo en la cach.
556
Nmero mnimo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mnima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Este valor slo se utiliza cuando el representante no transfiere el archivo desde su propia cach. Si no se especifica este parmetro, se utilizar el tiempo de espera mnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede utilizar este parmetro para limitar el uso de ancho de banda en la red WAN. Nmero mximo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mxima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Para obtener ms informacin, consulte Nmero mnimo de milisegundos entre transmisiones de paquetes. Nmero de segundos que se esperar tras la funcin Wake On LAN: expresa la cantidad de tiempo que esperan los representantes de dominio para realizar la multidifusin tras enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si algunos equipos de la red tardan ms de 120 segundos en iniciar, se recomienda aumentar este valor. El valor mximo permitido es 3600 segundos (una hora).
557
MANUAL DE USUARIO
558
559
MANUAL DE USUARIO
Filtrar por intervalo IP (para dominios NT y LDAP): filtra la deteccin de LDAP y el dominio NT en funcin de los intervalos IP especificados en IP de inicio e IP de finalizacin. LDAP: detecta dispositivos en un directorio LDAP. Al seleccionar esta opcin y hacer clic en Configurar se abre el cuadro de dilogo Configuracin de LDAP donde se puede personalizar la configuracin de la deteccin de LDAP. IPMI: Busca servidores habilitados para la Interfaz de administracin de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor est encendido o no, o en qu estado se encuentre el SO. Chasis del servidor: busca mdulos de administracin de chasis de hoja (CMM). Las hojas en el chasis del servidor se detectan como servidores individuales. Intel* AMT: busca los dispositivos habilitados para tecnologa Active Management. Los dispositivos habilitados para Intel AMT figuran en la carpeta Intel AMT. IP de inicio:especifique la direccin IP de inicio para el intervalo de direcciones que desee rastrear. IP de finalizacin:especifique la direccin IP de finalizacin para el intervalo de direcciones que desee rastrear. UDD actualiza este campo automticamente a medida que se indica la direccin IP de inicio; la direccin IP de finalizacin se puede modificar de forma manual. La IP de finalizacin se calcula utilizando el valor de la mscara de subred + el valor indicado en la IP de inicio. Mscara de subred: introduzca la mscara de subred para el intervalo de direccin IP que se est explorando. Agregar y Quitar: agrega o elimina los intervalos de direccin IP de la cola de trabajo en la parte inferior del cuadro de dilogo. Programar tarea: programa el rastreo en funcin de la configuracin establecida. En la ventana Tareas programadas se puede personalizar la hora de inicio. Los rastreos programados se inician en el servidor central. Rastrear ahora: inicia el rastreo inmediatamente en funcin de la configuracin establecida. Las exploraciones que aqu se inician se originan en la consola en la que se est. Una vez comenzada la exploracin, aparecer el cuadro de dilogo Estado del rastreo donde se muestra el nmero total de dispositivos localizados, cuntos de los existentes se han actualizado y cuntos nuevos se han aadido.
560
El cuadro de dilogo Configuracin de SNMP V3 contiene estas opciones: Nombre de usuario: el nombre de usuario que UDD debe utilizar para la autenticacin con el servicio SNMP remoto. Contrasea: contrasea del servicio SNMP remoto. Tipo de autenticacin: tipo de autenticacin que SNMP utiliza. Puede ser MD5, SHA o Ninguna. Tipo de privacidad: mtodo de codificacin que utiliza el servicio SNMP. Puede ser DES, AES128 o Ninguna. Contrasea de privacidad: contrasea que se utiliza con el tipo de privacidad especificado. No est disponible si selecciona el tipo de privacidad Ninguna.
561
MANUAL DE USUARIO
562
Retraso mximo (en segundos) para enviar pings a un dispositivo desconocido para el agente de LANDesk: Cuando un dispositivo que tiene el agente de deteccin extendida de dispositivos reconoce un ARP nuevo, el dispositivo espera dos minutos para que el dispositivo detectado se inicie y luego espera durante un perodo aleatorio de tiempo dentro del valor especificado aqu. El agente que tiene la espera aleatoria ms breve hace primero un ping y luego se enva la difusin UDP a la subred que se ocup del ping de dicho dispositivo. Si hay varios agentes de deteccin extendida de dispositivos instalados, los dispositivos no pueden generar trfico en exceso y hacen ping al mismo tiempo. Si se establece muy alto, es probable que los dispositivos no administrados abandonen la red antes de que se les pueda hacer un ping. Si se establece demasiado bajo, es probable que varios agentes hagan ping e informen sobre el mismo dispositivo. El valor predeterminado es una hora (3,600 segundos). Frecuencia (en segundos) de actualizacin de la tabla de ARP en cach: Frecuencia con la que el dispositivo escribe el cach ARP en el disco para no perder la informacin si el dispositivo se apaga, se bloquea o se reinicia. El valor predeterminado es cinco minutos (300 segundos). Nivel de registro: Nivel de registro de errores (1), advertencias (2), todo (3) de la deteccin extendida de dispositivos. El nivel predeterminado es 1- Errores solamente. Los registros se almacenan localmente en C:\Archivos de programa\LANDesk\LDClient\xddclient.log. Forzar el nivel de sesin: Reemplaza la configuracin del nivel de registro desde el servidor central. Si desactiva esta opcin, puede establecer el nivel de registro de forma manual en un dispositivo especfico. Esto puede resultar til para resolver problemas en un dispositivo especfico sin tener que cambiar el nivel de registro de todos los dispositivos. Est habilitada de forma predeterminada. La deteccin extendida de dispositivos est habilitada: Cuando se desactiva, XDD se apaga en todos los dispositivos. Esta configuracin surtir efecto la prxima vez que un dispositivo con la deteccin extendida busque una actualizacin para la configuracin de la deteccin extendida de dispositivos en el servidor central. El agente busca actualizaciones para la configuracin en el servidor central aunque la deteccin no est habilitada. Est habilitada de forma predeterminada.
563
MANUAL DE USUARIO
564