KL 302 10 SP Advanced Skills v1 1 PDF 10621

er
no
in
t
o
S
l
pa
ra
us
Version 1.1
Kaspersky Lab
www.kaspersky.com
er
no
ndice
Introduccin ................................................................................................................... 4
in
t
Captulo 1. Administracin del trfico ........................................................................... 4

1.1 Consideraciones ...................................................................................................................................................... 6
En qu consiste el trfico ....................................................................................................................................... 6
Mtricas de trfico ................................................................................................................................................. 8
1.2 Supervisin de trfico ........................................................................................................................................... 10
1.3 Mtodos de la limitacin de trfico....................................................................................................................... 10
us
Trfico general..................................................................................................................................................... 10
Trfico de sincronizaciones ................................................................................................................................. 13
Informacin acerca del equipo ............................................................................................................................ 16
Trfico de eventos ................................................................................................................................................ 16
Trfico de actualizaciones ................................................................................................................................... 18
Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin .................... 20
2.1 Agentes de Actualizacin ..................................................................................................................................... 20
pa
ra
Finalidad .............................................................................................................................................................. 20
Funcionamiento ................................................................................................................................................... 20
Configuracin ...................................................................................................................................................... 22
Multidifusin ........................................................................................................................................................ 22
Actualizacin de las fuentes para los Agentes de Actualizacin .......................................................................... 28
Anlisis de subred ................................................................................................................................................ 30
Instalacin mediante Agentes de Actualizacin ................................................................................................... 30
Asignacin automtica de Agentes de Actualizacin ........................................................................................... 32
2.2 Puertas de enlace de conexin .............................................................................................................................. 35
Finalidad .............................................................................................................................................................. 35
Funcionamiento ................................................................................................................................................... 35
Configuracin ...................................................................................................................................................... 35
Puerta de enlace de conexin en la DMZ ............................................................................................................ 37
2.3 Supervisin de Agentes de Actualizacin ............................................................................................................. 43
Estadsticas .......................................................................................................................................................... 43
Informes ............................................................................................................................................................... 43
Paneles de control................................................................................................................................................ 44
Bsqueda ............................................................................................................................................................. 46
klnagchk.exe ......................................................................................................................................................... 46
Captulo 3. Uso de varios Servidores de Administracin ............................................ 48
S
l
3.1 Consideraciones .................................................................................................................................................... 48

Requisitos previos ................................................................................................................................................ 48
Alternativas .......................................................................................................................................................... 50
Arquitecturas posibles.......................................................................................................................................... 52
3.2 Servidores independientes .................................................................................................................................... 54

Movimiento de equipos ........................................................................................................................................ 54
Perfiles de conexin ............................................................................................................................................. 58
3.3 Jerarqua de servidores.......................................................................................................................................... 70
KASPERSKY LAB
er
no
KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados
Conexin a una jerarqua .................................................................................................................................... 70

Informes globales ................................................................................................................................................. 82
Herencia de directivas y tareas ............................................................................................................................ 86
Actualizaciones en la jerarqua ............................................................................................................................ 94
Distribucin de los programas en la jerarqua .................................................................................................... 96
Captulo 4. Gestin de administradores ..................................................................... 108
4.1 Control de acceso ................................................................................................................................................ 108
in
t
Situaciones principales ...................................................................................................................................... 108

Descripcin del sistema de control de acceso .................................................................................................... 110
Configuracin de parmetros de control de acceso ........................................................................................... 112
Listas de control de acceso ................................................................................................................................ 112
Derechos de acceso ............................................................................................................................................ 115
Objetos de acceso ............................................................................................................................................... 118
Creacin de usuarios internos del Servidor de Administracin ......................................................................... 120
4.2 Auditora ............................................................................................................................................................. 122
Finalidad ............................................................................................................................................................ 122

Configuracin de parmetros de auditora ........................................................................................................ 122
Descripcin de eventos de auditora .................................................................................................................. 122
Captulo 5. Funciones especiales ............................................................................... 125
us
5.1 Prueba de actualizaciones ................................................................................................................................... 125

Motivos de las pruebas ....................................................................................................................................... 125
Funcionamiento de la prueba de actualizaciones .............................................................................................. 127
Configuracin de la prueba de actualizaciones ................................................................................................. 127
Posibles resultados de la prueba de actualizaciones ......................................................................................... 133
5.2 Soporte para la virtualizacin.............................................................................................................................. 135
S
l
pa
ra
Deteccin de mquinas virtuales ....................................................................................................................... 135

Compatibilidad con VDI dinmico..................................................................................................................... 137
S
l
pa
ra
o
us
in
t
er
no
3
KASPERSKY LAB
er
no

Administracin y seguridad de Kaspersky Endpoint Security
Introduccin
in
t
En este curso se describe el uso del sistema de administracin de Kaspersky Security enter en redes grandes y sus
funciones y capacidades, diseadas para tal fin. En concreto:
Administracin del trfico
Agentes de Actualizacin y puertas de enlace de conexin
Arquitecturas multiservidor
Control de acceso
Prueba de actualizaciones
us
Estas funciones no suelen ser necesarias en redes medianas y pequeas, donde un Servidor de Administracin suele
ser suficiente, el trfico no es un problema y hay uno o varios administradores con los mismos permisos.
Captulo 1. Administracin del trfico
S
l
pa
ra
En este captulo se describen las operaciones relacionadas con la transmisin de informacin entre el servidor y los
equipos cliente, y se proporcionan estadsticas sobre el volumen de esta informacin, as como funciones de
Kaspersky Security Center que ayudan a supervisar y disminuir el trfico.
S
l
pa
ra
us
in
t
er
no
KASPERSKY LAB
er
no
1.1 Consideraciones
En qu consiste el trfico
Hay varias situaciones en las que el servidor y los equipos cliente intercambian informacin. Vamos a examinarlas.
in
t
Algunas tareas implican la transmisin de informacin desde el servidor hasta los equipos cliente: tareas de
actualizacin, instalacin, desinstalacin y, en cierto modo, de envo de mensajes al usuario. Estas, a excepcin de
las tareas de actualizacin, no son frecuentes y no influyen en la carga diaria del Servidor de Administracin. Por el
contrario, las tareas de actualizacin se ejecutan a menudo y son responsables de la mayora del trfico diario.
Adems de las actualizaciones de Kaspersky Lab, tambin hay actualizaciones de Windows y de programas de otros
fabricantes. Se distribuyen con menor frecuencia y suelen ser grandes. La ejecucin de una tarea que repare
vulnerabilidades e instale actualizaciones puede aumentar el trfico de red de forma considerable. Si los Agentes de
Red estn configurados para utilizar el Servidor de Administracin como fuente de datos para las actualizaciones de
Windows, dichos datos se envan entre el servidor y los clientes al buscar vulnerabilidades.
us
La informacin tambin se enva del servidor a los clientes cuando se cambia la configuracin centralizada. Cuando
el administrador crea o cambia tareas y directivas, el Servidor de Administracin intenta iniciar la conexin a todos
los clientes del grupo para transferirles la nueva configuracin. Si el grupo es bastante grande, esto puede dar lugar a
un nmero muy elevado de conexiones y a una carga muy elevada.
Tambin hay otras acciones del administrador que pueden crear trfico, como el inicio manual de tareas, la creacin
de tneles y la visualizacin de las propiedades del equipo y de las estadsticas de los programas administrados. A
excepcin del inicio de la tarea, estas acciones suelen afectar solo a un equipo cliente y ejercen una influencia
insignificante en la carga de la red y del servidor.
pa
ra
Tambin hay trfico de eventos. Segn la configuracin de la directiva del grupo, los equipos cliente envan eventos
al Servidor de Administracin, que se almacenan en la base de datos y se utilizan para los informes. Los eventos se
envan inmediatamente despus de su registro.
Adems de los eventos, los equipos cliente envan su informacin de estado para que se represente en la Consola de
Administracin: cambio de contador de virus, fecha de la ltima actualizacin, anlisis, etc. Estos datos no guardan
relacin con los eventos y se envan incluso si ninguno de los eventos est almacenado en la base de datos.
Los equipos cliente comprueban peridicamente su configuracin con los parmetros especificados en el Servidor
de Administracin. Este proceso se llama sincronizacin y ocurre una vez cada 15 minutos de forma predeterminada.
Si se detectan discrepancias, el equipo cliente recibe las tareas y directivas reales del servidor e informa al servidor
sobre su estado.
Adems, los equipos cliente envan al Servidor de Administracin informacin sobre los dispositivos y los
programas instalados, los archivos ejecutables y las vulnerabilidades detectadas, los contenidos locales en
cuarentena y los de copia de seguridad del repositorio, as como las amenazas sin procesar.
S
l
El trfico de KSN es diferente, puesto que no utiliza el Agente de Red, a diferencia de todos los tipos de trfico
descritos. Las solicitudes de KSN se envan directamente desde Kaspersky Endpoint Security hasta el Servidor de
Administracin. El Agente de Red no se ve implicado y, por eso, las herramientas de control y supervisin del
trfico estndares disponibles en KSC no se aplican al trfico de KSN.
El servidor genera trfico al sondear la red durante las bsquedas del equipo y al analizar los equipos detectados por
el subsistema de NAC. El subsistema de NAC influye en la distribucin del trfico en la red. En concreto, aumenta
la carga en los equipos que actan como Enforcer: el trfico de los equipos cuyo acceso de red es limitado segn la
directiva de NAC se redirige a ellos.
S
l
pa
ra
us
in
t
er
no
La informacin que crea picos en la carga de red o aumenta la carga media es problemtica.
La carga mxima puede ser el resultado de ejecutar una tarea de actualizacin o de reparacin de vulnerabilidades, o
de una sincronizacin de insercin en masa despus de modificar tareas y directivas globales.
La carga normal o en segundo plano se compone de eventos, de solicitudes de KSN y de sincronizaciones
planificadas. Es tambin desigual, puesto que los eventos y las solicitudes de KSN son el resultado de la actividad
del equipo. Aumentan durante las horas laborales y disminuyen por la noche.
KASPERSKY LAB
Mtricas de trfico
er
no
Las sesiones de intercambio de datos nicas generan el siguiente trfico en el Servidor de Administracin, segn el
tipo de informacin:
13 MB
Instalacin del paquete

estndar KES 10 para
Windows
250 MB
Instalacin del paquete

estndar KES 10 para
Windows con bases de datos
Hasta
600 MB
Tamao medio de las

actualizaciones por hora
1 1 MB
Nota
in
t
Instalacin del Agente de

Red
Al
servidor
Vara segn el volumen de las bases de datos.
Del servidor
De 0 a 5 MB
us
Informacin
23 6 MB
pa
ra
Tamao total medio de las

actualizaciones por hora
diarias
Alrededor
de 140 MB
Evento nico
De 5 a
10 Kb
De 5 a
10 Kb
Depende del tipo de evento y del nmero de atributos de

evento.
Paquete de eventos de
deteccin de amenazas
De 25 a
35 Kb
De 20 a
30 Kb
5 eventos que registran la reaccin del sistema ante la

deteccin de un objeto peligroso.
Aplicacin de nueva tarea
10 Kb
De 10 a
15 Kb
Aplicacin de la nueva
directiva de KES
De 25 a
50 Kb
De 35 a
60 Kb
Depende del sistema operativo del cliente.
Cambio de un parmetro en
la directiva de KES
De 20 a
30 Kb
De 25 a
30 Kb
Depende del parmetro cambiado. El volumen de

informacin puede aumentar considerablemente cuando
se crean exclusiones, reglas del firewall, categoras de
aplicaciones, etc.
S
l
Tamao de la primera
actualizacin despus de la
instalacin
Puede cambiar con el tiempo.
S
l
pa
ra
us
in
t
er
no
10
KASPERSKY LAB
er
no
1.2 Supervisin de trfico
in
t
La Consola de Administracin dispone de herramientas de supervisin que permiten evaluar la carga de red.
Tambin estn disponibles en la pgina de estadsticas del nodo Informes y notificaciones. De forma predeterminada,
las estadsticas de red no se muestran, pero el administrador puede aadir con facilidad una nueva pgina de
estadsticas y rellenarla con grficos que muestren la velocidad de intercambio de datos y el nmero de conexiones
de cliente.
Estn disponibles los grficos siguientes:
Historial de trfico de red

Historial de la tasa de trfico de red
Historial de conexiones establecidas
Historial de frecuencia de conexiones
Historial de conexiones activas
Estadsticas de conexiones con los Agentes de Actualizacin
Estadsticas de conexiones con los Servidores esclavo
us
Cada grfico muestra los valores medios o los valores medios y mximos del ndice del ttulo para algunos
intervalos dentro del marco del perodo de informacin. El perodo de informacin est especificado en das en las
propiedades del grfico. El nmero de intervalos mostrados depende de la anchura visible del grfico. Cuando se
cambia el tamao de la ventana o la configuracin de la pgina de las estadsticas, el nmero de intervalos en el
grfico se ajusta en consecuencia.
pa
ra
1.3 Mtodos de la limitacin de trfico

Trfico general
Reglas de limitacin del trfico
Si la carga media de la red no es demasiado alta, pero hay perodos de carga mxima, puede equilibrar la carga
mediante la creacin de reglas de limitacin de trfico.
La regla especifica la velocidad mxima permitida para el intercambio de datos entre el cliente y el servidor. Si la
velocidad real excede la permitida, el servidor aumenta el intervalo entre los paquetes de red enviados, lo que hace
que la velocidad de intercambio de datos disminuya.
S
l
Las reglas de administracin de trfico estn especificadas en las propiedades del Servidor de Administracin, en la
seccin Trfico. Las propiedades de las reglas incluyen la subred, la hora a la que se debe utilizar la regla, el lmite
de velocidad para dicha hora y el lmite de velocidad para el resto del da.
El lmite de velocidad define la velocidad de intercambio de datos total para todos los equipos cliente dentro del
intervalo especificado, no la velocidad de intercambio de datos para cada cliente. La limitacin se aplica a todos los
tipos de trfico entre el Servidor de Administracin y los Agentes de Red en los equipos cliente. El trfico de KSN
no pertenece a esta categora y estas limitaciones no se le aplican. El trfico de KSN suele ser bastante menor que
otros tipos de trfico.
Los ajustes de la subred de la regla permiten configurar diferentes lmites para las distintas subredes, segn cmo
estn conectados al Servidor de Administracin y de qu equipo de red se utilice en ellas. Se pueden establecer
umbrales ms bajos para subredes remotas conectadas a la oficina central mediante un canal lento.
12
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
13
Programacin de la conexin cliente-servidor
er
no
La programacin de la conexin del Agente de Red es otra herramienta para administrar el intercambio de
informacin entre los clientes y el servidor. Es una parte de la directiva de Agente de Red y se aplica a los grupos
correspondientes en vez de a los intervalos de direccin IP.
La programacin se configura dentro de la directiva, en la seccin Red, Administrador de conexiones. Desde all,
se puede especificar la lista de intervalos que tienen permitido conectarse al servidor. Tambin se pueden especificar
los das de la semana para cada intervalo.
in
t
El objetivo principal de esta funcionalidad es evitar entrar en el modo mvil de forma no deseada. Imagine, por
ejemplo, una pequea oficina remota que se conecte a la red de la oficina central a travs de un mdem que funciona
mediante planificacin. En la configuracin predeterminada, si la conexin no se puede establecer, los equipos de la
oficina cambiarn al modo mvil de proteccin y actualizacin despus de tres intentos de conexin con el Servidor
de Administracin fallidos, aunque no se hayan desconectado de la red de la oficina. Para evitarlo, puede especificar
una planificacin de conexin a los Agentes de Red que coincida con la programacin del mdem.
Esta configuracin no es obligatoria de forma predeterminada. Para aplicarla, cierre el candado de la seccin
Administrador de conexiones.
us
Trfico de sincronizaciones
Existen sincronizaciones planificadas y no planificadas. El equipo cliente inicia las sincronizaciones planificadas. El
cliente comprueba que sus directivas y tareas locales se corresponden con la configuracin especificada en el
servidor y el servidor comprueba que la informacin del cliente disponible en la base de datos se corresponde con su
estado real. La sincronizacin afecta a la configuracin, las tareas, las directivas, las listas de programas
administrados, las listas de objetos en los repositorios, los estados de programa y los componentes.
pa
ra
La sincronizacin planificada la lleva a cabo cada cliente de forma independiente con un intervalo especificado en la
directiva del Agente de Red 1, 15 minutos de forma predeterminada. La primera sincronizacin ocurre cuando se
enciende el equipo. Puesto que lo ms probable es que los equipos nunca se enciendan todos a la vez, las
sincronizaciones ocurren de forma escalonada y no crean picos. Si la carga de red media es alta debido a las
sincronizaciones, puede aumentar el intervalo de sincronizaciones hasta 30-60 minutos o ms, segn el tamao de la
red y el resultado deseado. La regla general es que el intervalo de sincronizacin se debe aumentar en 15 minutos
por cada 5000 clientes. El intervalo de sincronizacin est especificado en la directiva del Agente de Red.
El Servidor de Administracin inicia las sincronizaciones no planificadas. Cuando el administrador modifica una
tarea o directiva y se guardan los cambios, el Servidor de Administracin enva el comando para iniciar la
sincronizacin a los puertos UDP de todos los equipos relacionados. En una red grande, esto puede dar lugar a una
carga considerable en el servidor. En estos casos, la lista de clientes que esperan la conexin al servidor puede ser de
varios millares de equipos.
Puede tomar las siguientes medidas para ayudar a equilibrar la carga mxima. En primer lugar, se pueden eliminar
las directivas y tareas del grupo de Equipos administrados, ya que sus cambios afectan a todos los equipos
conectados al servidor. Si los cambios se realizan en las directivas y tareas de niveles inferiores, estas afectarn a
menos equipos y la carga mxima ser inferior.
S
l
En segundo lugar, puede desactivar el uso de puerto UDP de los clientes. En este caso, el cambio de una directiva no
dar lugar a una sincronizacin general, ya que el servidor no podr enviar este comando a los clientes. Las
directivas con cambios se distribuirn de forma gradual a los clientes durante las sincronizaciones planificadas. Esta
estrategia suaviza los picos, aunque impide al administrador conectarse de forma inmediata con los clientes en caso
de necesidad.
Los Agentes de Actualizacin y los servidores esclavo tambin disminuyen la carga en el servidor cuando se
distribuyen directivas y tareas con cambios.
Para ser ms precisos, el intervalo entre las sincronizaciones se lleva a cabo de forma aleatoria dentro de un intervalo del
100 % al 110 % del valor seleccionado.
15
S
l
pa
ra
us
in
t
er
no
16
KASPERSKY LAB
er
no
Informacin acerca del equipo
Las directivas tambin influyen en los datos de los equipos que se envan al Servidor de Administracin. Esta
configuracin se ubica de forma parcial en la directiva del Agente de Red y en la directiva de la herramienta de
proteccin, en concreto, en la directiva de Kaspersky Endpoint Security 10 para Windows. Si ambas directivas
entran en conflicto, prevalece la configuracin de la directiva de la herramienta de proteccin.
in
t
Trfico de eventos
Los eventos se envan al Servidor de Administracin inmediatamente despus que se registren en los equipos cliente.
Se envan todos los errores, casi todos los eventos y advertencias crticas y muchos mensajes de informacin de
forma predeterminada. Los eventos que no se envan de forma predeterminada no son realmente importantes.
Por el contrario, para otros eventos se puede desactivar el registro en el servidor. Por ejemplo: Las bases de datos
estn desactualizadas, La licencia casi ha caducado, Hay objetos sin procesar y otros que informan acerca del
estado de KES 10. Pueden resultar tiles en un registro local, pero, por lo que respecta al Servidor de
Administracin, esta informacin se representa como estados de los equipos y descripciones de estado en las
propiedades del equipo. Los eventos no se utilizan para definir el estado del equipo; por tanto, no hace falta
almacenar estos eventos en la base de datos.
us
Para desactivar la transferencia eventos, abra las propiedades y desactive el almacenamiento en la base de datos del
servidor y en el registro de eventos del servidor, as como todas las notificaciones.
Adems de eventos, los equipos cliente transfieren informacin sobre el estado de Kaspersky Endpoint Security al
servidor. Por ejemplo, la informacin de que las bases de datos estn obsoletas es informacin de estado y se
transfiere independientemente de la transferencia de un evento similar. Lo mismo ocurre con los otros estados, como
Demasiados virus detectados (no depende de la transferencia de eventos de deteccin), Se requiere reiniciar (no
depende de la transferencia del evento Es necesario reiniciar para completar la tarea), Licencia caducada, etc.
S
l
pa
ra
La transferencia de informacin sobre los estados tambin se puede desactivar. Para ello, desactive la condicin
correspondiente en las propiedades de grupo. De forma predeterminada, las condiciones de los estados se establecen
en las propiedades del nodo de Equipos administrados y todos los grupos las heredan; no obstante, la herencia se
puede desactivar. Al igual que otros eventos, la transferencia de informacin sobre el estado se puede especificar en
el nivel de grupo.
17
S
l
pa
ra
us
in
t
er
no
18
KASPERSKY LAB
er
no
Trfico de actualizaciones
La distribucin de actualizaciones crea picos altos en la carga de la red. Estos se pueden nivelar mediante la
limitacin de las reglas de trfico. Adems, puede activar el inicio aleatorio en la configuracin de la tarea de
actualizacin. De forma predeterminada, el intervalo de aleatorizacin depende del tamao de la red, especificado
por el administrador durante la instalacin del servidor. La aleatorizacin no se utiliza de forma predeterminada en
las redes de hasta 100 equipos; para redes de otros tamaos, se utiliza el modo Definir el retraso de inicio de las
tareas automticamente.
in
t
La aleatorizacin automtica es adecuada para la mayora de las organizaciones. Sin embargo, si la carga de la red
sigue siendo demasiado alta y provoca errores de conexin del servidor despus del inicio de una tarea de
actualizacin, el intervalo de aleatorizacin se puede establecer de forma manual en 30 o 60 minutos. Una
aleatorizacin mayor no tiene ningn sentido, puesto que es comparable a la frecuencia de las actualizaciones de
base de datos.
S
l
pa
ra
us
Otro mtodo para equilibrar la carga de red durante las actualizaciones consiste en crear fuentes de actualizaciones
intermedias: Agentes de Actualizacin o Servidores de Administracin esclavo.
19
S
l
pa
ra
us
in
t
er
no
20
KASPERSKY LAB
er
no
2.1 Agentes de Actualizacin
Finalidad
in
t
Captulo 2. Agentes de Actualizacin y puertas

de enlace de conexin
us
Los Agentes de Actualizacin distribuyen la informacin del Servidor de Administracin a los clientes. En vez de
descargar las actualizaciones desde el Servidor de Administracin, los equipos cliente pueden descargarlas desde un
Agente de Actualizacin. Los Agentes de Actualizacin son especialmente tiles en los casos siguientes:
Una subred que se conecta al Servidor de Administracin a travs de un canal de comunicaciones lento. Si
las actualizaciones se reciben de forma habitual, todos los equipos descargan las actualizaciones a travs
del canal lento, lo que provoca que las descargas tarden mucho, que las actualizaciones lleguen tarde y que
se ralenticen otras aplicaciones de la red.
pa
ra
Si hay un Agente de Actualizacin asignado a la subred, este descarga los datos necesarios y los distribuye
a todos los equipos administrados a travs de canales locales.
Hay muchos equipos en la red y, cuando todos descargan actualizaciones del Servidor de Administracin,
la red se sobrecarga. Por tanto, algunos equipos no pueden recibir actualizaciones y otros tardan mucho
tiempo en recibirlas. Si el administrador opta por aleatorizar el tiempo de actualizacin, lo nico que
consigue es aumentar el retraso.
Si se asignan Agentes de Actualizacin en los grupos, solo los Agentes de Actualizacin, y no los equipos,
descargan las actualizaciones del Servidor de Administracin. Los dems equipos recibirn actualizaciones
de los Agentes de Actualizacin.
Los Agentes de Actualizacin pueden transferir casi todo lo que los Agentes de Red suelen recibir del servidor:
Actualizaciones para programas de Kaspersky Lab
Paquetes de instalacin
Actualizaciones de Windows y de programas de otros fabricantes
Directivas y tareas
S
l
Los Agentes de Actualizacin no afectan a la distribucin del trfico de KSN, ya que las solicitudes de KSN no se
envan a travs de los Agentes de Actualizacin, sino que se envan directamente de KES al servicio de servidor
proxy de KSN. Lo mismo sucede con los cdigos de activacin 2.0: los Agentes de Red no tienen nada que ver y,
por tanto, tampoco los Agentes de Actualizacin.
Funcionamiento
Los Agentes de Actualizacin aceptan conexiones de clientes en los mismos puertos que el Servidor de
Administracin: de forma predeterminada, puerto TCP 13000 para conexiones SSL y puerto TCP 14000 para no
SSL.
21
Actualizacin
us
in
t
er
no
Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin
pa
ra
Si se asigna un Agente de Actualizacin al grupo, la distribucin de actualizaciones funciona del siguiente modo:
Cuando las nuevas actualizaciones se descargan en el repositorio, el Servidor de Administracin intenta conectarse a
los Agentes de Actualizacin. Si la conexin no se puede establecer inmediatamente, el servidor espera a una
conexin planificada.
Despus de establecer la conexin con el Agente de Actualizacin, el servidor enva todos los archivos nuevos y con
cambios que se han descargado durante la ltima actualizacin. El Agente de Actualizacin guarda dichos archivos
en su repositorio y los proporciona, mediante solicitud, a los equipos cliente del grupo.
En cuanto las actualizaciones se transfieren al Agente de Actualizacin, el servidor enva el aviso Actualizaciones
descargadas en el repositorio a los equipos cliente. As pues, la programacin Cuando se descargan nuevas
actualizaciones en el repositorio no se activa justo despus de que las actualizaciones se descarguen en el Servidor
de Administracin, sino despus de que se transfieran a los Agentes de Actualizacin.
S
l
Cuando se inicia una tarea de actualizacin en un equipo cliente, este se pone en contacto con el Agente de
Actualizacin, que le proporciona los archivos necesarios igual que lo hara el Servidor de Administracin. Si los
archivos solicitados no se encuentran en el repositorio del Agente de Actualizacin, este los descarga
inmediatamente del servidor y los transfiere al cliente, al tiempo que los guarda en su repositorio. Esto puede ocurrir
si la ltima actualizacin de las bases de datos del equipo cliente fue anterior a la asignacin del Agente de
Actualizacin.
Los archivos de actualizacin se almacenan en el repositorio del Agente de Actualizacin mientras este siga
funcionando como tal. Si se elimina esta funcin, el repositorio se quita.
Si no se puede acceder al Agente de Actualizacin, los equipos cliente intentarn descargar las actualizaciones del
Servidor de Administracin de forma predeterminada para evitar que las bases de datos de todo el grupo estn
desactualizadas. Sin embargo, esto no es deseable en algunos casos. Por ejemplo, cuando disminuir la carga de los
canales de comunicacin tiene ms prioridad que recibir actualizaciones puntuales.
22
KASPERSKY LAB
er
no
El comportamiento de los equipos se puede modificar a travs de la directiva del Agente de Red. Para evitar que los
equipos intenten descargar las actualizaciones del servidor y hacer que esperen a que el Agente de Actualizacin
est disponible, seleccione la casilla de verificacin Descargar actualizaciones solo mediante Agentes de
actualizacin en la seccin Configuracin de la directiva del Agente de Red.
Instalacin remota y actualizaciones de Windows y de programas de otros

fabricantes
in
t
Los paquetes de instalacin (enviados por insercin mediante herramientas del Agente de Red), las actualizaciones
de Windows (si el Servidor de Administracin acta como servidor WSUS) y las actualizaciones de programas de
otros fabricantes (en forma de paquetes de instalacin) se distribuyen de forma similar.
Configuracin
En los equipos que tienen asignada dicha tarea, los Agentes de Red intentan descargar los datos necesarios desde el
Agente de Actualizacin. Si no se encuentra en el repositorio del Agente de Actualizacin, este lo descarga del
servidor y, a continuacin, lo proporciona al cliente. Tras un rato, el Agente de Actualizacin elimina los datos de su
repositorio.
us
Los Agentes de Actualizacin se asignan a un grupo. Hay una seccin en las propiedades de grupo desde donde el
administrador puede asignar la funcin de Agente de Actualizacin a uno o varios equipos. Dichos equipos se deben
seleccionar desde la base de datos del Servidor de Administracin. Como alternativa, puede aadir un Agente de
Actualizacin mediante direccin IP si no dispone de acceso directo al servidor (por ejemplo, si est situado en la
DMZ). Esto se explica ms adelante en este captulo.
pa
ra
Para que un equipo pueda actuar como Agente de Actualizacin debe tener instalado el Agente de Red y debe poder
conectarse al Servidor de Administracin. El equipo puede pertenecer a cualquier grupo, no necesariamente al grupo
para el que acte como Agente de Actualizacin.
Es evidente que los clientes del grupo deben poder acceder a los Agentes de Actualizacin. De forma
predeterminada, los Agentes de Actualizacin aceptan conexiones en los mismos puertos que el Servidor de
Administracin, es decir, 13000 para conexiones SSL y 14000 para no SSL. El puerto SSL se puede modificar en las
propiedades del Agente de Actualizacin. El puerto no SSL no se puede modificar, aunque no se utiliza de forma
predeterminada.
El servidor transfiere a todos los clientes del grupo la informacin sobre los Agentes de Actualizacin asignados y
sus puertos automticamente. Si el servidor se puede conectar a los clientes, transfiere dicha informacin justo
despus de que se hayan asignado los Agentes de Actualizacin. Si no puede, los clientes reciben esta informacin
durante la siguiente sincronizacin planificada con el servidor.
Multidifusin
Finalidad
S
l
Si los Agentes de Actualizacin se utilizan como se describe anteriormente, es posible disminuir el nmero de
conexiones al Servidor de Administracin. Los clientes del grupo recibirn actualizaciones y paquetes de instalacin
desde los Agentes de Actualizacin de sus grupos. Solo los Agentes de Actualizacin se pondrn en contacto con el
servidor. Esta estrategia equilibra la carga de red, pero no puede disminuir el volumen total de datos transferidos.
Cada equipo descarga a travs de la red las actualizaciones y los paquetes necesarios.
Los Agentes de Actualizacin disponen de la funcin de multidifusin para disminuir el volumen de datos
transferidos (o, por lo menos, del nmero de conexiones a los Agentes de Actualizacin). Esto permite al Agente de
Actualizacin distribuir las actualizaciones y los paquetes de instalacin a cada cliente del grupo en una sola sesin.
23
er
no
S
l
pa
ra
us
in
t
Desde el punto de vista de la carga de red, este mtodo de envo es similar a la difusin. El Agente de Actualizacin
enva la informacin una vez y todos los equipos la reciben de forma simultnea. A diferencia de la difusin, que
enva datos a todos los equipos que pertenecen al segmento de red correspondiente, la multidifusin solo enva datos
a los clientes del grupo.
24
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
25
er
no
Funcionamiento
Si se habilita la multidifusin, el intercambio de informacin se altera. Al igual que en el caso anterior, el Servidor
de Administracin transfiere los archivos nuevos y con cambios a los Agentes de Actualizacin despus de que las
actualizaciones se descarguen en el repositorio. Los Agentes de Actualizacin inician la multidifusin de estos
archivos de forma inmediata, sin esperar a recibir solicitudes de los clientes.
in
t
Los clientes del grupo quedan automticamente suscritos a todas las multidifusiones de los Agentes de
Actualizacin. Los archivos recibidos se guardan en una carpeta temporal hasta que se les invoca. Cuando se inicia
una tarea de actualizacin, el cliente comprueba en primer lugar la carpeta temporal, puesto que es probable que los
archivos de actualizacin necesarios ya se hayan recibido mediante multidifusin.
Si la carpeta temporal carece de los datos necesarios, el cliente intenta descargarlos desde el Agente de
Actualizacin tal como hace de forma habitual. De este modo, los clientes que no han recibido los datos de la
multidifusin no se ven afectados.
La instalacin remota y la instalacin de actualizaciones y parches funcionan de forma similar. El Servidor de

Administracin transfiere los archivos al Agente de Actualizacin, quien, a continuacin, realiza la multidifusin.
Los equipos cliente guardan los archivos recibidos en sus carpetas temporales. Ms adelante, los equipos que deben
realizar la instalacin comprueban si los archivos necesarios estn en sus carpetas temporales y, solo en caso de que
no estn, intentan descargarlos de los Agentes de Actualizacin.
us
El principio de operacin no vara, independientemente de si la tarea de instalacin est asignada a todos los equipos
del grupo o solo a uno de ellos. El paquete se enva mediante multidifusin a todos los equipos del grupo. Los datos
innecesarios se eliminan automticamente de las carpetas temporales de los clientes despus de cierto tiempo.
pa
ra
Las tareas y directivas tambin se envan mediante multidifusin si hay un Agente de Actualizacin en el grupo.
Cuando el administrador crea o modifica una directiva o una tarea del grupo, el Servidor de Administracin la
transfiere a los Agentes de Actualizacin, que llevan a cabo su multidifusin de forma inmediata. Los clientes
reciben la tarea o directiva y la aplican. Si algunos clientes no han recibido una tarea o directiva mediante
multidifusin, la descargan del servidor durante la siguiente sincronizacin planificada.
Hay un intervalo IP especial reservado para la multidifusin: 224.0.0.1239.255.255.255. Los Agentes de
Actualizacin envan la informacin a una direccin IP que pertenece a este intervalo, no a las direcciones IP de los
clientes del grupo.
De forma predeterminada, los Agentes de Actualizacin utilizan la direccin 225.6.7.8 y el puerto 15001 para la
multidifusin. Los equipos cliente reciben los datos de multidifusin en este puerto. Los clientes reciben
automticamente la direccin y el puerto de multidifusin del Servidor de Administracin, de forma similar a la
direccin y a los puertos del Agente de Actualizacin.
Configuracin
La multidifusin est habilitada de forma predeterminada. Si solo asigna un Agente de Actualizacin a un grupo,
este funcionar en modo multidifusin.
S
l
Los parmetros de multidifusin (direccin y puerto) se pueden desactivar o modificar en las propiedades del
Agente de Actualizacin. Se puede seleccionar cualquier puerto, pero la direccin de multidifusin debe pertenecer
al intervalo 224.0.0.1239.255.255.255. No cambie el puerto y la direccin de multidifusin a menos que sea
absolutamente necesario.
El administrador puede seleccionar qu datos distribuir a travs de los Agentes de Actualizacin y cules distribuir
directamente desde el servidor. Se encargan de ello las siguientes opciones:
Implementar actualizaciones
Implementar paquetes de instalacin
Ambas estn activadas de forma predeterminada. La distribucin de tareas y de directivas no se puede desactivar; de
todos modos, no afecta demasiado a la carga de red.
27
S
l
pa
ra
us
in
t
er
no
28
KASPERSKY LAB
er
no
Actualizacin de las fuentes para los Agentes de

Actualizacin
La situacin de actualizacin descrita da por hecho que los Agentes de Actualizacin reciben las actualizaciones del
Servidor de Administracin. Sin embargo, esta no es la nica capacidad. Si los Agentes de Actualizacin estn
situados en una oficina remota con acceso independiente a Internet, puede que descargar las actualizaciones
directamente desde los servidores de Kaspersky Lab sea una solucin ms eficiente.
in
t
Para configurarlo, en la seccin de Fuente de actualizaciones de las propiedades del Agente de Actualizacin,
seleccione el modo Utilizar la tarea de descarga de aplicaciones y cree esta tarea. La configuracin es similar a la
tarea que descarga actualizaciones en el repositorio del servidor. Permite seleccionar las actualizaciones que se
deben descargar, incluidas las actualizaciones del mdulo de Agente de Red. Adems, en sus propiedades se puede
especificar la carpeta donde se deben descargar las actualizaciones. De forma predeterminada,
es %ProgramData%\KasperskyLab\adminkit\1103\Updates.
S
l
pa
ra
us
Esta tarea se crea como tarea local del Agente de Actualizacin. Se puede eliminar en la seccin Tareas de las
propiedades del equipo. No se puede eliminar a travs de las propiedades del Agente de Actualizacin; desde all
solo se puede revertir al modo predeterminado, Recuperar del Servidor de Administracin.
29
S
l
pa
ra
us
in
t
er
no
30
KASPERSKY LAB
er
no
Anlisis de subred
Los Agentes de Actualizacin pueden llevar a cabo anlisis de subred. Por ejemplo, si algunos equipos estn
ubicados en una subred independiente que el Servidor de Administracin no puede alcanzar, el anlisis de red de
Microsoft no los descubre. Tambin es posible que el sondeo mediante otros mtodos falle en las oficinas remotas.
in
t
Si la subred remota tiene acceso al Servidor de Administracin, se puede instalar un Agente de Red en los equipos.
Se aadirn a la base de datos del servidor durante la primera conexin. Sin embargo, este enfoque presenta dos
problemas:
Es muy probable que los Agentes de Red se deban instalar de forma manual, es decir, se tarda ms tiempo y
es posible cometer un error u omitir un equipo.
Es posible que sean los empleados de la oficina remota, cuyas cualificaciones pueden ser insuficientes para
el mantenimiento del sistema antivirus, quienes tengan que instalar los Agentes de Red.
Un enfoque alternativo sera instalar un Agente de Red en un equipo de la oficina remota y hacer de dicho equipo un
Agente de Actualizacin. A continuacin, espere a que el Agente de Actualizacin analice la subred y descubra los
otros equipos. Ejecute la instalacin remota en estos equipos mediante el Agente de Actualizacin.
El anlisis de subred est desactivado de forma predeterminada en las propiedades del Agente de Actualizacin.
us
Instalacin mediante Agentes de Actualizacin

El uso de Agentes de Actualizacin para la instalacin es adecuado cuando los equipos de destino no pueden
acceder al Servidor de Administracin, pero hay un equipo administrado que puede acceder tanto a l como a los
equipos de destino.
pa
ra
Se puede convertir un equipo en Agente de Actualizacin y utilizarlo como intermediario para la instalacin remota
mediante las herramientas de Windows. El administrador crea una tarea de instalacin remota tpica (o utiliza el
asistente), como si el Servidor de Administracin estuviese instalado en el equipo asignado como Agente de
Actualizacin. En la pgina del asistente donde se especifica el mtodo de instalacin, el administrador debe
seleccionar la opcin Utilizando recursos de Microsoft Windows por medio de Agentes de actualizacin.
S
l
Al ejecutar esta tarea, el Servidor de Administracin transfiere los paquetes de instalacin a los Agentes de
Actualizacin y estos los cargan a los equipos de destino con las herramientas de Windows. Si el Servidor de
Administracin no tiene acceso al Agente de Actualizacin, se espera a una conexin planificada desde este equipo.
31
S
l
pa
ra
us
in
t
er
no
32
KASPERSKY LAB
er
no
Asignacin automtica de Agentes de Actualizacin
En Kaspersky Security Center, los Agentes de Actualizacin se pueden asignar automticamente. Esta funcin est
activada de forma predeterminada y est diseada para redes grandes donde hacen falta Agentes de Actualizacin
para disminuir el trfico (y no para mantener la conexin a los equipos en oficinas remotas).
in
t
Si se utiliza esta opcin, el Servidor de Administracin selecciona y asigna un Agente de Actualizacin por cada
100 equipos cliente. Cada grupo se tiene en cuenta de forma individual, sin subgrupos. Si un grupo contiene menos
de 100 equipos, no se asigna ningn Agente de Actualizacin. Si, por ejemplo, hay 500 equipos en un grupo, se
asignan 5 Agentes de Actualizacin.
Para seleccionar el equipo que se asignar automticamente como Agente de Actualizacin, se tienen en cuenta los
siguientes criterios:
El equipo debe pertenecer al grupo.
Debe tener por lo menos 1 GB de espacio en disco disponible.
No debe ser un equipo porttil (se comprueba por la disponibilidad del dispositivo Batera).
Debe ser el equipo con el procesador ms potente de su grupo.
Debe tener el mayor tiempo de visibilidad total desde el Servidor de Administracin (para descartar
equipos que a menudo estn apagados o inaccesibles).
us
El estado de los Agentes de Actualizacin asignados automticamente se revisa cada hora. La decisin de permitir
que un equipo siga siendo Agente de Actualizacin o de seleccionar otro equipo nuevo para esta funcin se basa en
otras condiciones. A un equipo se le quita el estado de Agente de Actualizacin si:
Se ha movido a otro grupo.
No se ha podido acceder a l durante ms de 24 horas en ejecucin.
Le quedan menos de 300 MB de espacio en disco disponible.
S
l
pa
ra
Si se desactiva la asignacin automtica, se elimina esta funcin de todos los Agentes de Actualizacin
seleccionados de forma automtica.
34
KASPERSKY LAB
pa
ra
us
in
t
er
no
S
l
Cuando se utiliza la asignacin automtica de Agentes de Actualizacin, el administrador no puede asignarlos de

forma manual. El botn Agregar de la seccin correspondiente en las propiedades de grupo aparece sombreado.
Para activarlo, desactive la opcin Asignar de forma automtica a los equipos el estado de Agente de
actualizaciones en la seccin Configuracin de las propiedades del Servidor de Administracin.
Si se haban asignado Agentes de Actualizacin de forma manual en la red antes de activar la asignacin automtica,
seguirn desempeando esta funcin al desactivar la asignacin automtica.
Los Agentes de Actualizacin asignados de forma automtica reciben al mismo tiempo la funcin de puerta de
enlace de conexin. Los otros parmetros se configuran de forma predeterminada.
35
er
no
2.2 Puertas de enlace de conexin

Finalidad
in
t
Los Agentes de Actualizacin funcionan como intermediarios unidireccionales, del servidor a los equipos cliente.
En la direccin contraria, la informacin se transfiere directamente. Los clientes se conectan al Servidor de
Administracin directamente para enviar eventos o para las sincronizaciones planificadas.
Puesto que estas conexiones tambin cargan el servidor, no siempre es recomendable permitir que los equipos de las
subredes accedan al Servidor de Administracin.
us
Funcionamiento
Para que un Agente de Actualizacin funcione como intermediario en ambas direcciones, debe funcionar tambin
como puerta de enlace de conexin. En ese caso, los equipos cliente transferirn sus eventos y su configuracin al
Agente de Actualizacin en vez de al Servidor de Administracin. A continuacin, el Agente de Actualizacin los
enviar al servidor de forma sncrona.
Si es necesario enviar un evento, informacin acerca del cambio de estado o una solicitud de sincronizacin, el
equipo cliente invoca a la puerta de enlace de conexin en vez de al Servidor de Administracin. La puerta de enlace
enva la solicitud al servidor de forma sncrona, recibe la respuesta y la transfiere al cliente de forma sncrona. Si se
produce un de intercambio de datos duradero, por ejemplo, una sincronizacin o actualizacin, los paquetes se
intercambian continuamente a travs de la puerta de enlace de conexin. La puerta de enlace nunca almacena ni
deposita en cach la informacin del cliente, sino que acta como un intermediario en tiempo real.
pa
ra
Si no se puede acceder a una puerta de enlace de conexin por cualquier motivo, los equipos cliente intentan
conectarse al Servidor de Administracin. Los problemas con la puerta de enlace de conexin no afectan a la
manejabilidad de los clientes.
Si una puerta de conexin no puede conectarse al Servidor de Administracin, sus equipos cliente recibirn el
veredicto Fallo al conectar con el servidor. El Agente de Red deposita en cach la informacin que el equipo
intentaba enviar. Se considera como no transferido. Por tanto, los eventos y otros datos no se pierden debido a
problemas de conexin.
Normalmente, las puertas de enlace de conexin mantienen la conexin con el Servidor de Administracin y
siempre pueden transferir datos del cliente.
Configuracin
S
l
La puerta de enlace de conexin se activa en las propiedades del Agente de Actualizacin. La informacin sobre
estos cambios se distribuye a los equipos cliente durante las sincronizaciones planificadas o forzadas.
36
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
37
er
no
Puerta de enlace de conexin en la DMZ
En algunas organizaciones, se instala un Servidor de Administracin adicional en la zona desmilitarizada (DMZ)

para administrar clientes mviles, clientes VPN u otros clientes fuera de la red principal. Este servidor es accesible
desde Internet y puede enviar actualizaciones, tareas y directivas a los clientes remotos.
in
t
Sin embargo, este enfoque presenta algunos problemas. En primer lugar, desde el punto de vista de la administracin
de la proteccin, resulta ms conveniente un solo Servidor de Administracin que varios. En segundo lugar, un
Servidor de Administracin accesible desde Internet pone en peligro la seguridad de la red. Si un delincuente logra
conectar con el Servidor de Administracin, recibe el control casi completo de los equipos administrados. Aunque el
nombre de usuario y la contrasea del administrador son necesarios para la conexin, es mucho ms seguro colocar
el Servidor de Administracin detrs del Firewall.
S
l
pa
ra
us
En vez de un Servidor de Administracin, puede ubicar un equipo que funcione como puerta de enlace de conexin
en la zona desmilitarizada, que ser accesible tanto para los equipos cliente fuera de la red como para el Servidor de
Administracin situado dentro de la red, lo que activa el intercambio de informacin. Los delincuentes pueden
conseguir acceso a la puerta de enlace de conexin, pero esto comporta un riesgo mnimo.
38
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
39
er
no
Procedimiento
Una zona desmilitarizada se suele organizar como sigue: los equipos de la DMZ son accesibles (en puertos
especificados) desde la red interna y desde Internet. Internet es accesible desde la DMZ, mientras que la red interna
no lo es. Por tanto, si un equipo de la DMZ se ve amenazado, los delincuentes no recibirn acceso a la red interna.
in
t
En la configuracin descrita, el Agente de Red de la DMZ no puede establecer una conexin con el Servidor de
Administracin. Adems, el Servidor de Administracin a menudo no puede detectar los equipos ubicados en la
DMZ. Parece casi seguro que el procedimiento normal de asignar un Agente de Actualizacin y una puerta de
enlace de conexin no dar buenos resultados.
En esta situacin, se puede emplear un procedimiento ms complejo:
Instale un Agente de Red en la futura puerta de enlace de conexin con la opcin Usar como puerta de
enlace de conexin activada. Esta opcin est disponible tanto en las propiedades del paquete de
instalacin del agente como en el asistente de instalacin.
2.
Asigne la funcin del Agente de Actualizacin a este equipo mediante la direccin IP. En este caso, los
parmetros Puerta de enlace de conexin e Inicializar la conexin de la puerta de enlace desde el
Servidor de Administracin estn activados automticamente. Pasados unos momentos, el Servidor de
Administracin establecer la conexin y el equipo aparecer en el nodo Equipos no asignados.
3.
A continuacin, se deben asignar a este equipo las funciones de Agente de Actualizacin y de puerta de
enlace de conexin de la forma habitual. Recuerde que la opcin Iniciar la conexin de la puerta de enlace
desde el Servidor de Administracin debe estar activada.
us
1.
pa
ra
A menudo, se utilizan direcciones diferentes al acceder a los equipos ubicados en la DMZ desde la red
interna y desde Internet. La direccin desde la que el Servidor de Administracin se pone en contacto con la
puerta de enlace de conexin puede ser inaccesible para los equipos que utilicen dicha puerta de enlace para
conectar con el servidor. Por este motivo, las puertas de enlace de conexin disponen del
parmetro Direccin de la puerta de enlace para hosts remotos.
Instale el Agente de Red en otros equipos de la DMZ y de fuera de la red que se deban poder conectar al
Servidor de Administracin a travs de la puerta de enlace de conexin. Durante la instalacin, especifique
que el Agente de Red debe conectarse al Servidor de Administracin a travs de la puerta de enlace de
conexin y escriba la direccin de la puerta de enlace de conexin. En caso contrario, los equipos intentan
conectarse al Servidor de Administracin directamente, se produce un error y no averiguan la ubicacin de
la puerta de enlace de conexin.
S
l
4.
40
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
41
er
no
S
l
pa
ra
us
in
t
Para instalar el Agente de Red de modo que se le asigne la funcin de puerta de enlace de conexin de forma
automtica, instlelo con el asistente mediante la ejecucin del archivo setup.exe de la carpeta del paquete de
instalacin o cree un paquete para el Agente de Red y active la opcin Usar como puerta de enlace de conexin en
sus propiedades. Ms adelante, puede convertirlo en un paquete independiente que se pueda utilizar para la
instalacin local o para la instalacin remota mediante las herramientas de Windows si las carpetas compartidas de
los equipos de la DMZ son accesibles desde la red interna.
42
KASPERSKY LAB
pa
ra
us
in
t
er
no
S
l
Aadir un Agente de Actualizacin mediante direccin IP es similar a seleccionar un equipo desde los grupos de
administracin. El botn Agregar que se encuentra en la lista de Agentes de Actualizacin de las propiedades de
grupo contiene dos opciones: Agregar equipo desde grupo y Agregar equipo por direccin. Seleccione por
direccin y escriba el nombre o la direccin de la puerta de enlace de conexin. En este caso, se crear un registro
temporal en la lista de Agentes de Actualizacin. El registro temporal se puede eliminar despus de que el servidor
detecte al equipo y de que el administrador lo haya asignado en varias ocasiones como puerta de enlace de conexin
mediante el mtodo habitual.
Para especificar una puerta de enlace de conexin para los otros equipos durante la instalacin del Agente de Red,
hay dos opciones similares: utilizar el asistente de instalacin o crear un paquete de instalacin individual,
seleccionar la opcin Conectar al Servidor de Administracin a travs de la puerta de enlace de conexin y
especificar la direccin de la puerta de enlace.
43
er
no
2.3 Supervisin de Agentes de Actualizacin

Estadsticas
in
t
La informacin acerca de un Agente de Actualizacin se puede encontrar en sus propiedades, en la

seccin Estadsticas. Las estadsticas estn tambin disponibles en las propiedades del equipo que funciona como
Agente de Actualizacin, en forma de seccin dentro de las estadsticas generales del Agente de Red.
En las estadsticas, puede averiguar cunta informacin ha distribuido el agente mediante multidifusin y cunta han
descargado los clientes durante sesiones individuales (los datos de actualizacin estn separados del resto de datos).
Tambin hay informacin sobre la ubicacin de la carpeta de servicio del Agente de Actualizacin y de su volumen.
Informes
La informacin sobre la actividad de la puerta de enlace de conexin no se muestra en las estadsticas.
us
La informacin global acerca de todos los Agentes de Actualizacin de la red se puede encontrar en el informe sobre
la actividad de los Agentes de Actualizacin. No se crea de forma predeterminada y tiene que crearse manualmente.
S
l
pa
ra
Este informe contiene informacin acerca del volumen total de datos que han transferido los Agentes de
Actualizacin y acerca de cada sesin de multidifusin.
44
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
Paneles de control
Los paneles de control o pginas de estadsticas estn disponibles en el nodo Informes y notificaciones. La
informacin acerca de los Agentes de Actualizacin no se representa de forma predeterminada, pero puede
seleccionar manualmente que se muestre el grfico de Estadsticas de conexiones con los Agentes de
Actualizacin. Muestra cunto tiempo hace que los Agentes de Actualizacin se conectaron con el servidor. Haga
clic en un estado de conexin para ver la lista de todos los Agentes de Actualizacin con dicho estado.
46
KASPERSKY LAB
er
no
Bsqueda
La Consola de Administracin no dispone de ningn nodo o seccin donde se enumeren todos los Agentes de
Actualizacin. Si necesita dicha lista, utilice la ventana Buscar o las selecciones del equipo. Para buscar Agentes de
Actualizacin, abra la seccin Actividad de red y seleccione S para la condicin Es un Agente de Actualizacin.
Esta capacidad es especialmente prctica si se utiliza la asignacin automtica de Agentes de Actualizacin.
in
t
klnagchk.exe
La informacin que muestra si un equipo acta como Agente de Actualizacin o como puerta de enlace de conexin
se puede encontrar en el informe de la utilidad klnagchk.exe, al final de la seccin Configuracin del Agente de
Red. Tambin estn especificados los nmeros de los puertos en los que el agente acepta conexiones.
S
l
pa
ra
us
Dentro de la misma informacin, se puede averiguar si el equipo utiliza una puerta de enlace de conexin para
conectarse con el servidor, pero no se puede determinar si utiliza un Agente de Actualizacin para recibir la
informacin del servidor.
47
S
l
pa
ra
us
in
t
er
no
48
KASPERSKY LAB
er
no
in
t
Captulo 3. Uso de varios Servidores de

Administracin
3.1 Consideraciones
Requisitos previos
us
Las pruebas de Lab muestran que un servidor puede admitir hasta 150 000 equipos, segn su rendimiento. En la
prctica, Kaspersky Security Center comparte el ancho de banda de la red con otras aplicaciones y servicios. Por
tanto, una estimacin realista basada en la experiencia de la implementacin es de unos 20 000 a 30 000 clientes por
Servidor de Administracin.
Las medidas mencionadas anteriormente para equilibrar las cargas medias y mximas solo ayudan hasta cierto punto.
En realidad, no se puede desactivar por completo la transferencia de informacin de los clientes al Servidor de
Administracin y seguir llamndolo un sistema de administracin de equipos. No importa cuntos Agentes de
Actualizacin y puertas de enlace de conexin se asignen a una red, los eventos importantes llegarn al servidor
tarde o temprano y requerirn recursos para procesarlos, tanto en el Servidor de Administracin como en la base de
datos del servidor.
pa
ra
Por eso, si una red est compuesta por varias decenas de equipos o por cientos de miles, un Servidor de
Administracin no es bastante. La nica forma de equilibrar la carga es instalar varios Servidores de Administracin
y distribuir los equipos cliente entre ellos.
Otro ejemplo en el que varios Servidores de Administracin resultan ms eficientes que uno solo es una
organizacin con varias oficinas. Si hay administradores en cada oficina, es lgico instalar un Servidor de
Administracin en cada oficina.
S
l
Incluso en organizaciones centralizadas, la decisin entre la asignacin de un Agente de Actualizacin en una red
remota y la instalacin de un Servidor de Administracin es una eleccin entre dos riesgos. Ambas opciones tienen
ventajas e inconvenientes.
49
S
l
pa
ra
us
in
t
er
no
Captulo 3. Uso de varios Servidores de Administracin
50
KASPERSKY LAB
er
no
Alternativas
El uso de varios Servidores de Administracin es una solucin que tiene sus desventajas. Por eso, es preferible
utilizar alternativas en algunas circunstancias.
Hardware adecuado
in
t
Puede aumentar el nmero de equipos administrados hasta cierto punto al mover el Servidor de Administracin y el
servidor de bases de datos a un hardware mejor. Esta solucin es casi siempre ms cara que utilizar varios equipos
de servidor estndar y casi siempre requiere software y hardware no estndar; como consecuencia, el mantenimiento
resulta ms complicado.
Pero, al mismo tiempo, dicho enfoque permite mantener una sola base de datos de eventos, mientras que en varios
servidores la base de datos de eventos se divide de forma inevitable. Si se utilizan varios servidores, se pueden
generar informes globales, pero, por ejemplo, no se pueden crear selecciones de evento globales.
Otro factor importante es que la estructura de administracin resulta ms complicada si se utilizan varios servidores.
Un solo servidor de alto rendimiento permite conservar una estructura relativamente simple.
us
Agentes de Actualizacin/puertas de enlace de conexin

En vez de implementar Servidores de Administracin adicionales, puede introducir Agentes de Actualizacin
adicionales, que tambin aligeran algo de carga del Servidor de Administracin. Sin embargo, esto no soluciona el
problema de ampliacin del servidor de bases de datos. Contar con muchos equipos implica la necesidad de
almacenar y procesar muchos eventos, descripciones, atributos, etc. Al final, se deber abordar la cuestin de si
dividir la base de datos o si trasladarla a un hardware mejor.
pa
ra
Mientras que los Agentes de Actualizacin ayudan a disminuir la carga del hardware, no disminuyen la carga en los
administradores. Si se debe delegar los deberes de administracin del sistema a varios administradores, la mejor
solucin es introducir Servidores de Administracin adicionales.
Otra funcin distintiva de los Agentes de Actualizacin es su transparencia. Fueron desarrollados de modo que los
mecanismos de administracin pudieran actuar independientemente de la disponibilidad del Agente de
Actualizacin. Esto es especialmente cmodo para administradores inexpertos, puesto que no hace falta volver a
configurar nada despus de asignar los Agentes de Actualizacin. Por otra parte, este enfoque limita la
manejabilidad de los Agentes de Actualizacin. El administrador no puede utilizar la multidifusin bajo demanda y,
a veces, no puede obtener informacin completa y estructurada de las operaciones de los Agentes de Actualizacin.
Los Servidores de Administracin adicionales no presentan estos inconvenientes.
Separacin de privilegios y servidores virtuales
S
l
En caso de que sea ms necesario separar los privilegios de los administradores que disminuir la carga del hardware,
contemple la posibilidad de utilizar herramientas de control de acceso en vez de implementar Servidores de
Administracin adicionales o de crear servidores virtuales, que se administran de forma similar a los servidores
esclavo. Este enfoque es preferible para las redes centralizadas y compactas y para las redes donde los
administradores trabajan principalmente en la oficina central.
51
us
in
t
er
no
pa
ra
En las redes distribuidas geogrficamente donde los administradores trabajan en oficinas locales, son preferibles los
servidores adicionales. Ayudan a localizar el trfico de administracin entre los equipos cliente y el Servidor de
Administracin en vez de enviarlo a travs de la oficina central.
Los servidores adicionales disminuyen la carga del servidor maestro y son preferibles cuando no solo hace falta
separar los privilegios, sino tambin resolver el problema de exceso de carga en el servidor.
S
l
As pues, la solucin ptima depende del tipo de problema que se deba solucionar. Puede ser una de las alternativas
mencionadas arriba o la combinacin de varias. Por ejemplo, a la adicin de Servidores de Administracin
adicionales le puede acompaar la asignacin de Agentes de Actualizacin o la separacin del acceso de los
administradores. Como alternativa, la organizacin puede decidir comprar hardware nuevo para el servidor de bases
de datos y, al mismo tiempo, asignar Agentes de Actualizacin para disminuir la carga de la red.
52
KASPERSKY LAB
er
no
Arquitecturas posibles
En una organizacin con oficinas independientes, se pueden utilizar Servidores de Administracin independientes
sin organizarlos en una estructura. En este caso, la capacidad del perfil de conexin resulta muy til. Permiten que
los equipos mviles (porttiles) se conecten al servidor que administra la red en la que se encuentran. Esto se explica
detalladamente ms adelante en este captulo.
in
t
Cuando es necesario recibir informacin global sobre la proteccin de la red, los servidores deben unirse en una
jerarqua. Para ello, se selecciona uno de los servidores como maestro y los otros se conectan como esclavos. El
servidor maestro puede influir en los esclavos, pero no al contrario. Un servidor maestro puede tener muchos
servidores esclavo.
Para recopilar los datos de los informes, la mejor solucin es instalar un Servidor de Administracin adicional y
conectar a todos los dems con l. Este Servidor de Administracin no tendr ningn equipo cliente, ni directivas o
tareas, y no requerir muchos recursos. Su nica funcin es recopilar informacin de los servidores esclavo y crear
informes globales. Los Servidores de Administracin esclavo de dicha estructura disponen de parmetros
completamente independientes.
us
Si se aaden Servidores de Administracin adicionales con el fin de equilibrar la carga y la proteccin se gestiona de
forma centralizada, el servidor maestro se puede utilizar para administrar las tareas y directivas de los servidores
esclavo. Los servidores esclavo heredan las tareas y directivas del Servidor de Administracin maestro y las aplican
a sus equipos cliente. Adems, el servidor maestro puede convertirse en el punto de descarga y distribucin de
actualizaciones.
S
l
pa
ra
Puede crear jerarquas ms complejas. Algunos de los servidores esclavo pueden ser maestros para otros servidores
esclavo. De este modo, puede haber muchos niveles de servidores esclavo en la jerarqua. Normalmente, las
jerarquas con varios niveles de Servidores de Administracin reflejan la estructura de la oficina, con los varios
niveles de la empresa. En la prctica, pocas veces hay ms de dos niveles de servidores esclavo, puesto que una
jerarqua ms profunda es ms difcil de administrar.
53
S
l
pa
ra
us
in
t
er
no
54
KASPERSKY LAB
3.2 Servidores independientes
er
no
in
t
Si la planificacin inicial incluye una estructura con varios servidores y se sabe de antemano qu segmentos de red
se deben conectar con cada servidor, este esquema puede ser fcil de implementar. Normalmente, la instalacin
dentro de cada segmento la lleva a cabo el servidor al que se conectarn los equipos de dicho segmento. Tambin
hay otro enfoque posible: implemente el sistema de proteccin desde un servidor, pero cree varios paquetes de
instalacin para que el Agente de Red se instale en distintos segmentos de la red y especifique en cada uno de ellos
los parmetros de conexin del servidor correspondiente.
Movimiento de equipos
A veces hace falta aadir un servidor adicional debido al crecimiento de la red y a que los Servidores de
Administracin existentes estn sobrecargados. La instalacin del software del Servidor de Administracin tarda
unos minutos. La parte ms difcil consiste en desconectar los equipos de los Servidores de Administracin antiguos
y conectarlos al nuevo para distribuir la carga.
us
Adems, los equipos se pueden reubicar de un departamento a otro o incluso de una oficina a otra si un empleado
cambia de ubicacin. Si la nueva oficina tiene un Servidor de Administracin propio, el equipo se debe transferir a
l.
El reemplazo del Servidor de Administracin es otro ejemplo de una situacin que pueda requerir el movimiento de
equipos. Este procedimiento se puede realizar de distintas formas. A veces, los servidores antiguos y los nuevos
funcionan en paralelo durante un perodo de tiempo hasta que el administrador cambie las tareas y los equipos, y
optimice la estructura de administracin 2.
S
l
pa
ra
Para conectar un equipo no conectado, implemente en l el Agente de Red. Este mtodo tambin funciona para
volver a conectar un equipo. Sin embargo, se creara mucho trfico innecesario al enviar el paquete de instalacin de
Agente de Red a todos los equipos que se deban conectar con el nuevo servidor. Para evitarlo, puede modificar la
configuracin de la conexin mediante una tarea especial.
Si la tarea solo consiste en sustituir el hardware y conservar la configuracin, basta con dar la misma direccin al nuevo servidor y
recuperar los datos de la copia de seguridad.
55
S
l
pa
ra
us
in
t
er
no
56
KASPERSKY LAB
er
no
Tarea de reubicacin
El tipo de tarea es Cambiar Servidor de Administracin. Puede encontrarla en el asistente para la creacin de
tareas, en la carpeta Avanzado de la aplicacin Servidor de Administracin de Kaspersky Security Center. Para
mover los equipos de un servidor antiguo a uno nuevo, se crea esta tarea en el servidor antiguo y se especifican los
parmetros de conexin en las propiedades de tarea del nuevo servidor. Estos parmetros incluyen la direccin, el
puerto, la configuracin del servidor proxy, etc.
in
t
Al ejecutar la tarea, el Agente de Red tarda varios minutos en desconectarse realmente de un servidor y conectarse al
otro. Durante este tiempo, no se podr sincronizar con los equipos de ningn servidor. A continuacin, los equipos
aparecern en el nuevo servidor con el estado Visible.
S
l
pa
ra
us
Despus de mover un equipo a otro servidor, se debe eliminar del antiguo. Esto no se realiza de forma automtica.
El equipo reubicado permanece en el mismo grupo del servidor antiguo, pero cambia a no administrado, es decir, el
servidor muestra que el Agente de Red no est instalado.
57
S
l
pa
ra
us
in
t
er
no
58
KASPERSKY LAB
er
no
Para que los equipos movidos no afecten a las estadsticas del servidor antiguo, el administrador puede organizar el
proceso de la siguiente forma. En el servidor antiguo, cree un grupo nombrado Reubicacin del equipo y, despus,
cree una tarea de grupo para cambiar el Servidor de Administracin. A continuacin, debe mover a este grupo los
equipos que vaya a reubicar de modo que, una vez dejen de administrarse, los pueda eliminar de dicho grupo. De
este modo, si el informe muestra un equipo sin administrar en el grupo Reubicacin del equipo, el administrador
identificar que no es un problema, sino el resultado de un cambio de servidor.
En el nuevo servidor, los equipos movidos se colocan en la categora de no asignados y permanecen all. Tambin se
muestran en la seleccin Equipos no asignados al Agente de Red, desde la que el administrador los puede mover a
los grupos apropiados.
in
t
De forma alternativa, el administrador puede crear reglas de reubicacin para los equipos no asignados al Agente de
Red.
Perfiles de conexin
Finalidad
us
Segn las circunstancias, los equipos cliente se pueden conectar a distintos Servidores de Administracin. Por
ejemplo, un equipo mvil conectado a la red de otra oficina se puede conectar con el servidor local de forma
automtica en vez de cambiar al modo mvil.
Esta funcin est diseada para equipos verdaderamente mviles. Un equipo mvil se puede conectar a diferentes
segmentos de la red y utilizar los distintos Servidores de Administracin en momentos diferentes. Conectarse al
Servidor de Administracin ms cercano para recibir actualizaciones puede reducir el trfico total.
S
l
pa
ra
Cuando un equipo mvil est en una oficina remota es lgico que informe de su estado al Servidor de
Administracin de dicha oficina, de modo que el administrador local sea consciente de cualquier problema y pueda
resolverlo. Tambin es lgico que este equipo utilice las tareas y directivas del Servidor de Administracin local.
59
S
l
pa
ra
us
in
t
er
no
60
KASPERSKY LAB
er
no
Principio de operacin
Cundo y a qu Servidor de Administracin se debe conectar un equipo mvil depende de la configuracin que haya
definido el administrador. Esta configuracin se llama perfiles de conexin. En un perfil de conexin, el
administrador especifica los parmetros de conexin y el modo de conexin a un Servidor de Administracin
alternativo. No hay necesidad de crear un perfil para el Servidor de Administracin original. Los equipos conservan
la configuracin de la conexin y se conectan a l cuando no se especifica ningn perfil de conexin.
in
t
El modo de conexin define cunta informacin intercambia un equipo con el Servidor de Administracin. Hay tres
modos de conexin:
Reconexin completa: El equipo informa de sus eventos al Servidor de Administracin especificado en el
perfil y descarga sus actualizaciones, tareas y directivas. Este modo es til si la organizacin consta de
oficinas independientes, cada una con su propio Servidor de Administracin y administrador local.
Solo actualizaciones: El servidor original es el que administra el equipo, aunque este descarga las
actualizaciones desde el servidor especificado en el perfil. Este modo es til cuando todos los servidores
comparten un espacio de direccin comn y el administrador aspira a optimizar el trfico de actualizacin.
us
Modo mvil: El equipo se inicia con la directiva de itinerancia y la configuracin mvil de la tarea de
actualizacin. La situacin en la que se activa el modo mvil (despus de 3 intentos de sincronizacin con
el Servidor de Administracin fallidos) se describe en la unidad IV del curso KL 002.10. El administrador
puede utilizar perfiles de conexin para modificar las condiciones en las que se debe activar el modo mvil,
es decir, agregar nuevas condiciones o desactivar las que estn especificadas de forma predeterminada.
Se debe tener en cuenta que un equipo que trabaje en modo mvil puede permanecer conectado al servidor
o desconectado de este. En el caso del modo con conexin, la direccin del Servidor de Administracin est
especificada en el perfil y el equipo sigue enviando eventos y recibiendo la configuracin desde este
servidor, aunque se haya activado el modo mvil. En el caso del modo sin conexin, el equipo no intenta
conectarse al Servidor de Administracin. En este caso, se utiliza el perfil estndar <No conectado>.
pa
ra
El administrador puede crear varios perfiles para el mismo servidor con diferentes modos de conexin.
El administrador especifica cundo y qu perfil debe utilizarse en las condiciones de cambio estipuladas dentro de
las reglas de cambio. Puede haber varias condiciones; la regla se aplica solo si se cumplen todas. Las condiciones
contienen parmetros de red, como mscara y direccin de subred, direccin puerta de enlace de conexin o de
servidor DNS, disponibilidad de dominio de Windows y resolucin del nombre DNS especificado.
S
l
El Agente de Red lleva un seguimiento de los atributos de red y, si cumplen las condiciones de una regla, el agente
se inicia con el perfil de conexin correspondiente. Tan pronto como las condiciones de cambio dejen de coincidir,
el agente vuelve al Servidor de Administracin original.
61
S
l
pa
ra
us
in
t
er
no
62
KASPERSKY LAB
er
no
Configuracin de parmetros de conexin
Los perfiles de conexin y las reglas se configuran en las propiedades de la directiva del Agente de Red, en la
seccin Red, Conexin. Los perfiles y las reglas se configuran de forma independiente: los perfiles, en la parte
superior de la ventana y las reglas, en la inferior. As pues, se pueden crear varias reglas para un perfil.
Direccin
Puertos
Uso de SSL
Parmetros del servidor proxy (en caso necesario)
in
t
El administrador especifica los parmetros de la conexin del servidor en la configuracin del perfil:
Tambin los especifica en el modo de conexin. El modo se configura mediante dos parmetros:
Habilitar directivas mviles
Usar solo para recibir actualizaciones
De forma predeterminada, la primera opcin est desactivada y la ltima, activada. En este caso, ser el Servidor de
Administracin habitual el que administre el equipo, pero descargar las actualizaciones desde el servidor
especificado en el perfil 3.
us
Para hacer que otro servidor pueda administrar el equipo completamente de forma temporal, desactive la opcin
Usar solo para recibir actualizaciones. La otra opcin carece de importancia en este caso, ya que el equipo
utilizar la directiva activa del servidor temporal. Si la casilla de verificacin Usar solo para recibir
actualizaciones est seleccionada, el servidor temporal se utiliza solo como fuente de actualizaciones; el Agente
sigue conectado con el servidor original, al que enva todos los eventos y cambios de estado. La directiva que utiliza
el equipo depende del parmetro Habilitar directivas mviles.
pa
ra
Cada perfil de conexin tiene un nombre. Cuando seleccione qu perfil de conexin se debe utilizar en una regla o,
simplemente, quiera modificar la configuracin de la conexin, tiene que elegir los perfiles por su nombre. Es
mucho ms fcil encontrar el perfil que desea si el nombre refleja la direccin del servidor y el modo de conexin.
Si el equipo debe utilizar la directiva mvil bajo las condiciones especificadas en vez de intentar conectarse al
Servidor de Administracin, utilice el perfil estndar <No conectado>. Los eventos permanecern en la cach local
del Agente de Red hasta que se active un perfil que permita la conexin con un Servidor de Administracin. El
perfil <No conectado> no se puede borrar ni modificar.
De forma predeterminada, el modo mvil no solo se activa cuando se utiliza un perfil con la opcin Habilitar
directivas mviles, sino tambin cuando no se puede acceder al Servidor de Administracin. Se considera que el
servidor no est accesible si no hay conexiones de red activadas en el equipo cliente o si fallan tres intentos
consecutivos de sincronizacin planificada.
S
l
No siempre es deseable, ya que la inaccesibilidad temporal del Servidor de Administracin puede provocar que el
modo mvil se active en los equipos de la red. Para cambiar este comportamiento, borre la casilla de
verificacin Cambiar a directivas para usuarios mviles cuando el Servidor de Administracin no est
disponible. Este parmetro tiene su propio candado; asegrese de que est cerrado.
Para ser ms exactos, la direccin del servidor especificada en el perfil se utiliza para recibir actualizaciones de la fuente del Servidor de
Administracin. El perfil activo no afecta al resto de fuentes de actualizaciones.
63
S
l
pa
ra
us
in
t
er
no
64
KASPERSKY LAB
er
no
Subred
Dominio DNS
Direccin predeterminada de la puerta de enlace
Direccin del servidor DHCP
Direccin del servidor DNS
Direccin del servidor WINS
Accesibilidad del dominio de Windows
Nombre resoluble DNS
in
t
Las reglas se configuran de forma independiente desde los perfiles de conexin. La configuracin de la regla est
formada por condiciones y el perfil de conexin se debe utilizar cuando se cumplan dichas condiciones. Estn
disponibles los tipos de condiciones siguientes:
En una regla se pueden especificar varias condiciones. Por ejemplo, para la condicin Direccin de la puerta de
enlace de conexin principal, puede especificar varias direcciones IP de puerta de enlace de conexin y, a
continuacin, seleccionar una de las dos opciones:
La condicin es verdadera si el parmetro [direccin de puerta de enlace de conexin principal]

corresponde, al menos, con un valor de la lista.
La condicin se cumple si la [direccin de puerta de enlace de conexin principal] no corresponde con
ningn valor de la lista.
us
Por ejemplo, si en la empresa hay dos Servidores de Administracin instalados (uno dentro de la red y el otro en la
DMZ para conexiones externas), puede especificar un perfil de conexin para el servidor DMZ y una regla para
dicho perfil que cambie el equipo a l cuando los atributos de la red difieran de los que se utilizan en la red interna.
Las otras condiciones se configuran de forma similar, a excepcin de Accesibilidad del dominio de Windows, que
solo tiene una opcin que se puede activar o desactivar, El dominio de Windows est disponible. Esta condicin
comprueba si el dominio al que el equipo pertenece est disponible.
pa
ra
Una regla solo puede tener una condicin de cada tipo. Si hay varias condiciones especificadas dentro de una regla,
se deben cumplir todas para que la regla se aplique.
Las condiciones que contienen la direccin de una subred, de una puerta de enlace o de un servidor de servicio son
simples, pero no identifican la red de forma inequvoca. Los intervalos tpicos de las redes internas tambin se
utilizan en las redes pblicas (hoteles, bares, aeropuertos, etc.). Al mismo tiempo, es muy probable que el nombre
DNS de un equipo que pertenece a la red interna sea nico. Debe ser un nombre que pertenezca al dominio DNS
interno y que sea irresoluble fuera de la red.
S
l
Si se pueden aplicar varias reglas al mismo equipo (por ejemplo, una de las reglas comprueba la disponibilidad del
dominio de Windows y la otra, la direccin de subred), se aplica la regla superior. Las reglas pueden desplazarse
hacia arriba y hacia abajo en la lista y desactivarse temporalmente.
65
S
l
pa
ra
us
in
t
er
no
66
KASPERSKY LAB
er
no
Administracin de equipos invitados
Cuando un Agente de Red utiliza un perfil de conexin con la casilla de verificacin Usar solo para recibir
actualizaciones desactivada, se supone que descarga las tareas y directivas del servidor temporal, al que tambin le
enva los eventos. Sin embargo, para que esto sea posible, se debe aadir el equipo al grupo Equipos administrados
del servidor temporal.
in
t
Vamos a invocar los equipos conectados al Servidor de Administracin temporal guest computers. De forma
predeterminada, un Servidor de Administracin temporal no realiza ninguna accin cuando un equipo invitado se
conecta a l. Si dicho equipo no est asignado, no se aplicarn las tareas y las directivas y no informar al Servidor
de Administracin de sus eventos.
Los equipos invitados no asignados estn incluidos en la seleccin Equipos no asignados al Agente de Red y
afectan al estado del rea Administracin de equipos de la pgina Primeros pasos.
S
l
pa
ra
us
Para encontrar los equipos administrados entre el resto, puede crear una seleccin o, simplemente, hacer una
bsqueda. En la ficha Actividad de red de la ventana de bsqueda, seleccione S para la condicin Perfil de
conexin cambiado.
67
S
l
pa
ra
us
in
t
er
no
68
KASPERSKY LAB
er
no
Debido a que no se pueden aplicar tareas y directivas a una seleccin, mueva los equipos invitados a un grupo para
poder administrarlos completamente. Puede hacerlo de forma manual, observando peridicamente la seleccin y
moviendo los equipos al grupo pertinente. De forma alternativa, puede crear una regla para mover estos equipos y
seleccionar S en la lista desplegable Perfil de conexin cambiado, en la seccin de la regla Red.
Cuando los equipos invitados se aaden a un grupo, se les aplican las directivas activas de dicho grupo, incluida la
directiva para Agentes de Red. Sin embargo, un equipo invitado siempre mantiene los perfiles y las reglas de
conexin de su servidor original. Solo omite estos parmetros en la directiva del Agente de Red, que recibe del
servidor temporal. S se aplican otros parmetros de la directiva del agente, como el intervalo de sincronizacin o el
nmero de puerto UDP.
in
t
Desde el equipo cliente, el administrador puede ver qu perfil de actualizacin se utiliza en el informe de
utilidad klnagchk.exe. El informe contiene la lista de perfiles y reglas de la conexin configuradas para el equipo,
as como la informacin sobre la configuracin de actualizacin y el perfil activo.
S
l
pa
ra
us
Las reglas y los perfiles se muestran incluso cuando estos parmetros no son obligatorios en la directiva. Esto puede
llevar a confusin al administrador, puesto que los parmetros opcionales no se aplican y el agente no los utiliza
para cambiar entre los servidores.
69
S
l
pa
ra
us
in
t
er
no
70
KASPERSKY LAB
er
no
3.3 Jerarqua de servidores

Conexin a una jerarqua
in
t
Si hay varios Servidores de Administracin en la red, el hecho de introducirlos en una jerarqua ofrece ms ventajas
que riesgos. Conectar el Servidor de Administracin a una jerarqua no disminuir los derechos de su administrador.
Es posible utilizar la jerarqua para crear solo informes de resumen. Sin embargo, si es necesario, puede administrar
la proteccin de todos los equipos de la jerarqua desde el Servidor de Administracin maestro.
La jerarqua se crea al seleccionar el servidor maestro y conectar los otros servidores a l como esclavos. Un
Servidor de Administracin esclavo puede tener sus propios Servidores de Administracin esclavo, lo que se conoce
como una jerarqua de mltiples niveles.
Conexin mediante asistente
us
Existe un asistente especial en la Consola de Administracin del Servidor de Administracin maestro para conectar
un Servidor de Administracin a una jerarqua. Se ubica en la carpeta especial Servidores de Administracin,
disponible en todos los grupos de equipos administrados. Si durante la instalacin del Servidor de Administracin ha
especificado un tamao de red pequeo o mediano, la Consola de Administracin no mostrar las
carpetas Servidores de Administracin ni otros parmetros relacionados con la jerarqua del servidor.
Para mostrar dicha configuracin, haga clic en el enlace Configurar la funcionalidad mostrada en la interfaz del
usuario en el rea del Servidor de Administracin de la pgina Primeros pasos y, en la ventana Configurar la
interfaz, seleccione la casilla de verificacin Mostrar Servidores de Administracin esclavo.
S
l
pa
ra
A continuacin, el nodo Servidores de Administracin se mostrar en todos los grupos de equipos administrados.
Si desea aadir un Servidor de Administracin esclavo, inicie el asistente desde el men contextual de dicho nodo o
haga clic en el enlace de tarea correspondiente del panel apropiado.
71
S
l
pa
ra
us
in
t
er
no
72
KASPERSKY LAB
er
no
El asistente solicita al administrador el nombre o la direccin del Servidor de Administracin esclavo y tambin los
del Servidor de Administracin maestro. A continuacin, el asistente crea un nuevo objeto de Servidor de
Administracin esclavo en la Consola de Administracin del Servidor de Administracin maestro y cambia la
configuracin del Servidor de Administracin esclavo para que comience a funcionar como tal.
El primer paso, que es opcional, consiste en especificar la direccin de conexin del servidor esclavo. Si se omite, el
asistente no podr establecer la conexin y usted deber cambiar la configuracin de la jerarqua desde el servidor
esclavo. Si ambos servidores pueden conectar el uno con el otro a travs de la red, resulta mucho ms fcil
especificar la direccin y terminar el procedimiento en la consola del servidor maestro.
in
t
La conexin bidireccional entre los servidores no est siempre disponible. Por ejemplo, si un servidor esclavo est
ubicado en la DMZ y el servidor maestro est en la red interna, solo el servidor maestro puede iniciar la conexin.
El acceso a la red interna desde la DMZ suele estar prohibido. Si se utiliza dicha arquitectura, no olvide activar la
opcin El Servidor de Administracin maestro se conectar al Servidor esclavo al especificar la direccin del
servidor esclavo.
S
l
pa
ra
us
El segundo paso consiste en especificar el nombre del servidor esclavo para que aparezca en la consola del servidor
maestro. Se puede utilizar cualquier nombre; de forma predeterminada, el asistente sugiere Servidor de
Administracin <direccin especificada en el paso anterior>.
73
S
l
pa
ra
us
in
t
er
no
74
KASPERSKY LAB
er
no
Durante el tercer paso, el administrador especifica qu direccin utilizar el servidor esclavo para conectarse con el
maestro. Estos mismos principios se aplican tambin al seleccionar la direccin de conexin de los Agentes. Si el
administrador activa la opcin El Servidor de Administracin maestro se conectar al Servidor esclavo en el
primer paso, el asistente omitir este paso.
Finalmente, el asistente intenta conectarse con el servidor esclavo, a continuacin, le pasa el certificado y la
direccin de conexin del servidor maestro, y recibe el certificado del servidor esclavo para futuras autenticaciones.
Si no encuentra ningn obstculo, el asistente establece la conexin de forma correcta y el objeto de servidor
esclavo pasa a estar disponible en la consola del servidor maestro.
in
t
Puede averiguar si un Servidor de Administracin dado es esclavo en su ventana de propiedades, en la

seccin Avanzado, Jerarqua de los Servidores de Administracin 4. Si el servidor es esclavo, la opcin Este
Servidor de Administracin es un servidor esclavo en la jerarqua del servidor est activada y la direccin del
Servidor de Administracin maestro aparece a continuacin.
El Servidor de Administracin esclavo aadido se muestra en la carpeta Servidores de Administracin del grupo.
Se trata de un contenedor anlogo al Servidor de Administracin en la raz del rbol de la consola. Abra el nodo del
Servidor de Administracin esclavo para ver los objetos: Equipos administrados, Informes y notificaciones,
Repositorios, etc.
S
l
pa
ra
us
Los servidores esclavo se pueden mover de un grupo a otro tan fcilmente como los equipos cliente: se arrastran con
el ratn o se cortan y pegan.
Si el rea no est visible, la opcin Mostrar Servidores de Administracin esclavo est desactivada en la configuracin de
la interfaz.
75
S
l
pa
ra
us
in
t
er
no
76
KASPERSKY LAB
er
no
Conexin a travs de Firewall
Es posible que un Servidor de Administracin esclavo est ubicado en una subred que disponga de acceso
unidireccional al Servidor de Administracin maestro, por ejemplo, la red de una oficina regional puede acceder a la
red de la oficina central mediante conexin VPN, pero no es posible realizar la conexin a la inversa. En este caso,
el asistente iniciado en el Servidor de Administracin maestro no puede completar la conexin.
in
t
Despus de intentar conectarse al Servidor de Administracin esclavo, el asistente devolver un error de acceso. A
continuacin, solicitar el certificado del Servidor de Administracin esclavo. Este certificado se utiliza para
autenticar el Servidor de Administracin esclavo en las conexiones ascendentes. Una vez que el asistente haya
terminado, aparecer un nodo para el Servidor de Administracin esclavo en el Servidor de Administracin maestro,
pero el Servidor de Administracin esclavo seguir siendo inaccesible.
Para finalizar la conexin, abra los parmetros de la jerarqua en la consola del Servidor de Administracin esclavo,
active la opcin Este Servidor de Administracin es un servidor esclavo en la jerarqua del servidor,
especifique la direccin del Servidor de Administracin maestro y haga clic en el botn Seleccionar para especificar
el certificado del Servidor de Administracin maestro.
A continuacin, el Servidor de Administracin esclavo intentar conectarse al maestro. El Servidor de

Administracin maestro autentica al servidor esclavo mediante el certificado. Si resulta correcto, el Servidor de
Administracin esclavo pasar a ser accesible desde la consola del Servidor de Administracin maestro.
S
l
pa
ra
us
En este caso, no hay necesidad de especificar la direccin del servidor esclavo en el asistente. El servidor esclavo se
autentica mediante su certificado.
77
S
l
pa
ra
us
in
t
er
no
78
KASPERSKY LAB
er
no
Proteccin de la conexin
S
l
pa
ra
us
in
t
El administrador del Servidor de Administracin esclavo puede tanto activar la opcin Este Servidor de
Administracin es un servidor esclavo en la jerarqua del servidor como desactivarla, lo que quita al servidor de
la jerarqua. Con el fin de evitarlo, el administrador del Servidor de Administracin maestro puede crear una
directiva para los servidores esclavos.
79
S
l
pa
ra
us
in
t
er
no
80
KASPERSKY LAB
er
no
La directiva se crea en el Servidor de Administracin maestro, en el grupo que contiene al Servidor de

Administracin esclavo. En el asistente de creacin de directivas, seleccione como aplicacin Servidor de
Administracin de Kaspersky Security Center.
Adems de evitar la desconexin de la jerarqua, la directiva para los Servidores de Administracin contiene muchos
otros parmetros. Algunos de ellos se pueden configurar en el asistente de creacin de directivas. Todos los
parmetros se describen ms adelante en este captulo. Para proteger la conexin entre los servidores, finalice el
asistente y abra las propiedades de la directiva.
in
t
En las propiedades de la directiva, desactive la casilla de verificacin Permitir la modificacin de la

configuracin de la estructura jerrquica en los Servidores de Administracin esclavos, situada en la
pestaa Jerarqua de los Servidores de Administracin. Despus de aplicar la directiva, la casilla de
verificacin Este Servidor de Administracin es un servidor esclavo en la jerarqua del servidor aparece
sombreada en el servidor esclavo y no se puede desactivar.
S
l
pa
ra
us
Adems, tambin es lgico forzar la herencia de directivas en la seccin General. De lo contrario, el administrador
del servidor esclavo puede crear su propia directiva para los Servidores de Administracin, desactivar la herencia de
parmetros de la directiva principal, permitir la modificacin de la configuracin de la jerarqua y, por ltimo,
desconectar el servidor esclavo de la jerarqua.
81
S
l
pa
ra
us
in
t
er
no
82
KASPERSKY LAB
er
no
Informes globales
Normalmente, los servidores se conectan en una jerarqua para poder recibir informacin resumida de todos los
Servidores de Administracin. Se pueden utilizar informes y selecciones de equipos para recopilar informacin
global.
in
t
Otras herramientas de informacin, como las selecciones de eventos, las estadsticas, los repositorios de licencias y
los objetos peligrosos, no tienen ninguna propiedad de jerarqua. Solo muestran la informacin de los equipos
conectados al Servidor de Administracin maestro. Incluso si se elige como fuente de informacin una seleccin que
contenga equipos conectados con servidores esclavo en las propiedades del panel de estadsticas, solo se mostrarn
los datos de los equipos conectados con el servidor maestro.
Si el nico objetivo de crear una jerarqua son los informes globales, es posible que valga la pena eliminar las
directivas de proteccin del servidor maestro (o no crearlas) con el fin de que los equipos cliente no se conecten a l
y utilizarlo solo para crear informes y selecciones.
Configuracin del intercambio de informes de datos
us
Los informes jerrquicos se crean en el Servidor de Administracin maestro. De forma predeterminada, todas las
plantillas de informe estn configuradas para recopilar datos del primer nivel de los servidores esclavo. Si no hay
servidores esclavo, solo se crea el informe del Servidor de Administracin maestro.
Para modificar la configuracin que regula la recopilacin de datos para un informe, abra la seccin Jerarqua de
los Servidores de Administracin en sus propiedades.
Si desea aadir las tablas Detalles de los Servidores de Administracin esclavo en un informe jerrquico, active la
opcin Transferir informacin detallada desde los Servidores de Administracin esclavo en la plantilla de
informe. Tenga en cuenta que, con esta opcin seleccionada, aumentar el trfico entre los servidores.
pa
ra
Para recopilar la informacin del segundo nivel de los servidores esclavo o de otros niveles inferiores, especifique el
nmero de niveles en el parmetro Subir hasta el nivel de anidamiento. Uno (1) significa que solo se recopilarn
los datos de los servidores esclavo conectados directamente con el servidor maestro. Dos (2) significa que se incluir
la informacin del siguiente nivel de la jerarqua, etc. Cuantos ms niveles de informacin se recopilen, ms tiempo
se tardar en generar el informe.
No hay ninguna garanta de que todos los Servidores de Administracin esclavo estn accesibles cuando el servidor
maestro comience a recopilar datos para un informe. Es posible que algunos de ellos estn apagados temporalmente
o puede que algunos estn inaccesibles debido a la interrupcin de la comunicacin entre las oficinas. No es lgico
que el servidor maestro espere indefinidamente para obtener los datos. Por tanto, este espera un tiempo y despus
genera en informe con los datos de los que dispone. El tiempo de espera exacto se define mediante el
parmetro Tiempo de espera de datos mximo en la plantilla de informe. El valor predeterminado es de 5 minutos.
Si un Servidor de Administracin esclavo est conectado mediante un canal lento o se recopila informacin de
varios niveles de anidamiento, puede que valga la pena aumentar el tiempo de espera.
S
l
Si un servidor esclavo no est disponible, en sus tablas de resumen y detalles aparece N/D para los datos que faltan.
En lugar de eso, puede hacer que el informe muestre los valores depositados en cach del ltimo de intercambio de
datos con el servidor esclavo: active la opcin Cach de los datos del Servidor de Administracin esclavo en la
plantilla de informe. Cuando un informe muestra los datos depositados en cach en lugar de los datos actuales,
tambin muestra la fecha y hora del almacenamiento de dichos datos junto al nombre del Servidor de
Administracin esclavo.
83
S
l
pa
ra
us
in
t
er
no
84
KASPERSKY LAB
er
no
Creacin de un informe de jerarqua
Al crear un informe, el servidor maestro enva una solicitud a los servidores esclavo, espera la respuesta durante el
tiempo especificado y, a continuacin, publica el informe con los datos recopilados. Para ahorrar trfico de red, los
servidores esclavo transfieren la informacin compilada para el informe en lugar de los datos de origen (eventos).
in
t
Un informe jerrquico es un informe que representa ms datos. El grfico muestra datos globales de los Servidores
de Administracin maestro y esclavo. La tabla Resumen tambin muestra los datos globales. Sin embargo, no existe
una tabla Detalles global de forma predeterminada. En su lugar, a continuacin de la seccin de Resumen global, se
encuentran las tablas de resumen de todos los servidores cuyos datos se han incluido en el informe, los servidores
maestros y todos los esclavos. La ltima seccin es la tabla Detalles del servidor maestro.
Bsqueda de equipos en la jerarqua
Los resultados de la bsqueda de equipos tambin incluyen informacin global de todos los servidores de la
jerarqua. Para realizar una bsqueda entre todos los equipos de la jerarqua, en la pestaa Jerarqua de los
Servidores de Administracin de la ventana de la bsqueda, seleccione la casilla de verificacin Incluir datos de
Servidores esclavo (hasta el nivel) y especifique la profundidad de la bsqueda. Esta opcin tambin est
disponible en las propiedades de la seleccin de equipos. Se ubica en la seccin General.
us
Si la bsqueda incluye datos de los Servidores de Administracin esclavos, es posible encontrar el mismo equipo
varias veces. Por ejemplo, en caso de que varios Servidores de Administracin analicen la misma subred. Si busca
entre los equipos administrados, en vez de en todos los equipos, habr menos duplicados, puesto que dos servidores
no pueden administrar un equipo a la vez, aunque puede que est listado en el grupo de equipos administrados de
varios Servidores de Administracin por error.
S
l
pa
ra
Puede distinguir qu equipos estn conectados a cada servidor por la columna Servidor en los resultados de
bsqueda. Los equipos conectados al Servidor de Administracin maestro se pueden administrar completamente
desde la ventana de resultados de bsqueda o desde una seleccin. Los equipos conectados con los servidores
esclavo se pueden administrar en menor medida. Aparece el estado de proteccin, lo que permite encontrar todos los
equipos con problemas desde el Servidor de Administracin maestro. Sin embargo, no puede llevar a cabo ninguna
accin en ellos desde los resultados de bsqueda del Servidor de Administracin maestro.
85
S
l
pa
ra
us
in
t
er
no
86
KASPERSKY LAB
er
no
Herencia de directivas y tareas
El Servidor de Administracin esclavo hereda las directivas y tareas del Servidor de Administracin maestro de
forma similar a la herencia de tareas y directivas entre los grupos de equipos administrados. Sin embargo, hay
algunas diferencias leves. Las tareas de actualizacin e instalacin remota, por ejemplo, se deben ajustar para
asegurar su correcto uso dentro de la jerarqua.
in
t
Herencia de directivas
Las directivas se heredan de forma predeterminada en una jerarqua. Si el servidor maestro dispone de directivas
activas en un grupo con un servidor esclavo conectado, el servidor esclavo las hereda directamente. Tanto si estas
directivas pertenecen al grupo que contiene el Servidor de Administracin esclavo como si son heredadas de un
grupo ms alto del Servidor de Administracin maestro, no se puede desactivar la herencia de directivas en el
Servidor de Administracin maestro.
Una aplicacin solo puede tener una directiva activa. Por este motivo, las directivas heredadas cambian la
configuracin de las directivas creadas en el servidor esclavo. Las directivas heredadas hacen cumplir solo los
parmetros requeridos (bloqueados).
us
Las directivas inactivas no se heredan. Las directivas mviles se heredan, pero no se aplican. Si un Servidor de
Administracin esclavo no dispone de una directiva mvil, utiliza la directiva mvil heredada del Servidor de
Administracin maestro. Si el Servidor de Administracin esclavo dispone de una directiva mvil propia, la
directiva mvil heredada no redefinir su configuracin y se omitir esencialmente.
Las directivas heredadas aparecen en el contenedor Equipos administrados del Servidor de Administracin esclavo
y se aplican a todos los equipos del servidor esclavo, a menos que la herencia est desactivada. Las directivas
heredadas no se pueden modificar en el Servidor de Administracin esclavo.
S
l
pa
ra
Las directivas heredadas tienen un icono diferente: debajo de ellas aparece una flecha verde.
87
S
l
pa
ra
us
in
t
er
no
88
KASPERSKY LAB
er
no
En general, la herencia de directivas entre Servidores de Administracin funciona del mismo modo que entre los
grupos. Para desactivar herencia, abra las propiedades de la directiva del servidor esclavo y desactive la casilla de
verificacin Heredar configuracin de la directiva primaria. La herencia de directivas est desactivada en el
Servidor de Administracin esclavo, no en el principal.
S
l
pa
ra
us
in
t
Si el servidor esclavo no necesita utilizar para nada las directivas configuradas en el servidor maestro, lo ms fcil es
mover el servidor esclavo a un grupo donde no se hayan aplicado directivas.
89
S
l
pa
ra
us
in
t
er
no
90
KASPERSKY LAB
er
no
Directiva para los Servidores de Administracin de Kaspersky Security

Center
Como ya se ha mencionado anteriormente, dentro de una jerarqua se puede utilizar una directiva para administrar la
configuracin de los Servidores de Administracin esclavo. All se pueden especificar casi todas las propiedades del
Servidor de Administracin, as como otros ajustes globales:
Procesamiento de parmetros para los eventos del Servidor de Administracin
Puertos de comunicacin del servidor
Intervalos de anlisis de red
Condiciones del estado del equipo
Permiso para desconectar los servidores esclavo de la jerarqua
Condiciones del foco de virus
Configuracin de la interaccin de Cisco NAC
Parmetros del proxy de KSN
in
t
Parmetros globales que no estn regulados por una directiva para servidores:
Asignacin automtica de Agentes de Actualizacin

Configuracin de la limitacin de trfico
Configuracin del servidor proxy
Parmetros de notificacin
Configuracin de cabeceras de informe
us
Si desea crear una directiva para servidores, seleccione la aplicacin Servidor de Administracin de Kaspersky
Security Center durante el asistente de creacin de directivas. Esta directiva se aplica en los servidores esclavos del
mismo modo que la Directiva de proteccin se aplica en los equipos administrados. Los parmetros obligatorios
(bloqueados) se aplican y no se pueden modificar en las propiedades del Servidor de Administracin. Los
parmetros con un candado abierto no se aplican y se pueden modificar en las propiedades de cada Servidor de
Administracin.
pa
ra
Las directivas para los Servidores de Administracin pueden afectar a la propia configuracin del Servidor de
Administracin maestro. Esto sucede si el equipo donde est instalado el Servidor de Administracin est incluido
en el grupo al que se aplica la directiva para servidores. En teora, la directiva para Servidores de Administracin se
aplica a todos los equipos cliente que tengan instalado el programa Servidor de Administracin de Kaspersky
Security Center.
S
l
Si se quiere evitar que la directiva para los Servidores de Administracin se aplique al Servidor de Administracin
maestro, la directiva y el equipo con el Servidor de Administracin deben pertenecer a grupos distintos. Esto solo es
posible si la poltica para Servidores de Administracin se crea dentro de un subgrupo en lugar de en el grupo raz
Equipos administrados.
91
S
l
pa
ra
us
in
t
er
no
92
KASPERSKY LAB
er
no
Herencia de tareas
Las tareas no se heredan de forma predeterminada. Si dos servidores instalados recientemente se conectan a una
jerarqua, el servidor esclavo no hereda las tareas del servidor maestro. Para hacer que una tarea se herede,
seleccione la casilla de verificacin Enviar a Servidores de Administracin esclavo y virtual dentro de sus
propiedades. Se pueden heredar tareas de grupo de cualquier tipo y para cualquier producto.
in
t
De forma similar a la herencia dentro de grupos, las tareas del servidor maestro no reemplazan a las tareas
disponibles en el servidor esclavo, puesto que son acumulativas. Si el servidor esclavo cuenta con una tarea de
anlisis antivirus y hereda otra del servidor maestro, ambas se ejecutarn segn su programacin respectiva.
Solo se heredan las tareas de grupo, y solo dentro de los grupos con Servidores de Administracin esclavo. Activar
la herencia en las tareas de los grupos donde no haya servidores esclavo no tiene ningn efecto. Las tareas del
Servidor de Administracin y las Tareas para equipos especficos no se pueden heredar.
Las tareas heredadas en un servidor esclavo son tareas de grupo en el grupo Equipos administrados. A diferencia
de las tareas residentes, las tareas heredadas no permiten excluir subgrupos de su alcance. Por tanto, una tarea
heredada siempre se aplica a todos los equipos cliente del Servidor de Administracin esclavo.
us
Las tareas heredadas estn visibles en la pestaa Tareas del contenedor Equipos administrados. Sus iconos son
diferentes de los iconos de tarea habituales. No se puede cambiar la configuracin de una tarea heredada en el
servidor esclavo, aunque s se pueden ver las propiedades de la tarea. Solo puede cambiar la configuracin de la
tarea original en el servidor maestro.
Puede ejecutar una tarea heredada tanto desde el Servidor de Administracin maestro como del esclavo. Cuando se
inicia desde el Servidor de Administracin esclavo, solo se ejecuta en los equipos que pertenecen al servidor esclavo.
Cuando se inicia desde el Servidor de Administracin maestro, se ejecuta en todos los equipos del grupo, incluidos
los que pertenecen a los servidores esclavo.
S
l
pa
ra
Si abre en el Servidor de Administracin maestro la ventana de resultados de una tarea que han heredado los
Servidores de Administracin esclavo, no ver los resultados individuales de los equipos de dichos servidores
esclavo. La ventana de resultados solo mostrar los equipos del servidor maestro. Para averiguar cmo ha terminado
una tarea en los equipos de un servidor esclavo, abra la ventana de resultados de ese Servidor de Administracin en
concreto.
93
S
l
pa
ra
us
in
t
er
no
94
KASPERSKY LAB
er
no
Actualizaciones en la jerarqua
El flujo natural de actualizaciones en la jerarqua va del servidor maestro al servidor esclavo y de este ltimo a los
equipos cliente. El hecho de que los servidores estn unidos en una jerarqua no cambia la configuracin de
actualizacin predeterminada: cada Servidor de Administracin sigue descargado las actualizaciones de Internet y
transfirindolas a los equipos cliente. Esto se puede modificar al cambiar la configuracin de las tareas.
in
t
Para hacer que un Servidor de Administracin esclavo reciba las actualizaciones del maestro, modifique la
configuracin de la tarea Descargar actualizaciones en el repositorio del Servidor de Administracin esclavo. Haga
que el Servidor de Administracin maestro sea la primera o la nica fuente. De forma predeterminada, la lista de
fuentes solo incluye Servidores de actualizacin de Kaspersky Lab.
Las actualizaciones se descargan mediante el protocolo de administracin de Kaspersky Security Center, desde el
puerto 13000 del Servidor de Administracin maestro. No se moleste en dar acceso a la carpeta compartida del
servidor o en publicar los archivos de actualizacin en servidores HTTP o FTP.
S
l
pa
ra
us
Sin embargo, si no se cambia nada ms, el Servidor de Administracin esclavo comprobar si hay actualizaciones
segn su programacin. La diferencia en la programacin de los servidores maestro y esclavo puede retrasar las
actualizaciones.
95
S
l
pa
ra
us
in
t
er
no
96
KASPERSKY LAB
er
no
Para hacer que el servidor maestro informe al servidor esclavo sobre las actualizaciones descargadas, active la
opcin Forzar actualizacin en los Servidores esclavo en los parmetros de la tarea que descarga las
actualizaciones en el Servidor de Administracin maestro. Una vez que las actualizaciones se hayan descargado en
el repositorio del servidor maestro, se informar de ello al Servidor de Administracin esclavo, que iniciar su tarea
de descarga de actualizaciones. 5
in
t
La herencia de tareas de actualizacin de grupo no suele ser deseable. El Asistente de inicio rpido crea tareas de
actualizacin de clientes programadas para ejecutarse Cuando se descargan nuevas actualizaciones en el
repositorio en todos los servidores. Los clientes no necesitan ninguna otra tarea para llevar a cabo las
actualizaciones regulares. Para poder iniciar las actualizaciones en todos los equipos de forma urgente, cree una
tarea adicional programada para ejecutarse Manualmente en el Servidor de Administracin maestro y active la
herencia en su configuracin.
Distribucin de los programas en la jerarqua
Las tareas de instalacin de grupo tambin se pueden heredar. El administrador puede crear una tarea de instalacin
en el Servidor de Administracin maestro y ejecutarla en todos los equipos de la red. Este enfoque es el que mejor
responde al propsito de actualizar un programa, implementar una reparacin esencial en todos los equipos o
ejecutar una utilidad que elimine las secuelas de una infeccin en cualquier situacin donde se deba iniciar una tarea
de instalacin en los equipos administrados. La implementacin inicial en equipos no asignados funciona mejor sin
tareas de instalacin heredadas.
us
Activar herencia no es suficiente para la realizacin correcta de una tarea de instalacin en esos equipos de los
servidores esclavo. Los equipos administrados siempre descargan los paquetes de instalacin desde su Servidor de
Administracin, mientras que el paquete de instalacin especificado en una tarea de instalacin heredada solo est
disponible en el servidor maestro de forma predeterminada. Por tanto, la tarea devuelve un error en los servidores
esclavo: Este paquete de instalacin no se encuentra en el Servidor de Administracin esclavo. Utilice la tarea
Distribuir paquete de instalacin y vuelva a intentarlo.
S
l
pa
ra
El procedimiento correcto para ejecutar una instalacin en todos los equipos de una jerarqua es el siguiente. Prepare
el paquete de instalacin y distribyalo a los servidores esclavo mediante una tarea especial. A continuacin, active
la herencia en la tarea de instalacin del paquete e incielo.
Es posible forzar las actualizaciones en los servidores esclavo sin cambiar la fuente. En este caso, estos descargarn las
actualizaciones por orden del servidor maestro, aunque de Internet, no del servidor maestro.
97
S
l
pa
ra
us
in
t
er
no
98
KASPERSKY LAB
er
no
El uso de la herencia en tareas de instalacin supone copiar los paquetes de instalacin del servidor maestro al
esclavo. Con este fin, se utiliza una tarea Distribuir paquete de instalacin especial, que se puede encontrar en la
carpeta Servidor de Administracin de Kaspersky Security Center | Avanzado en el asistente de creacin de
tareas.
Especifique qu paquetes de instalacin se han de copiar en la configuracin de la tarea. La tarea se puede crear para
un grupo o para equipos especficos. En el primer caso, copiar el paquete a todos los Servidores de Administracin
esclavo del grupo; en el segundo, a los servidores seleccionados. La tarea Distribuir paquete de instalacin, al igual
que una tarea de instalacin, cuenta con una limitacin de descargas simultneas, cinco de forma predeterminada.
S
l
pa
ra
us
in
t
Despus de que se copie el paquete necesario, inicie la tarea de instalacin de jerarqua. Si es una actualizacin del
Agente de Red 6 o de productos de proteccin, se debera completar correctamente en todos los equipos
administrados.
Cuando se copia el paquete de Agente de Red, la direccin del Servidor de Administracin que aparece en las propiedades del
paquete se sustituye automticamente por la direccin del servidor esclavo.
99
S
l
pa
ra
us
in
t
er
no
100
KASPERSKY LAB
er
no
Instalacin en Servidores de Administracin esclavo
Las actualizaciones del software del Servidor de Administracin se suelen realizar en el modo interactivo. Sin
embargo, es posible hacerlo de forma remota mediante la ejecucin de una tarea en Kaspersky Security Center. Esta
capacidad resulta til cuando los Servidores de Administracin esclavo estn situados en oficinas lejanas donde no
hay administradores, los programas se administran en remoto desde la oficina central y que un empleado se desplace
hasta all solo para actualizar un Servidor de Administracin es caro y poco razonable.
in
t
El administrador debe crear un paquete de instalacin para el Servidor de Administracin y, a continuacin,

instalarlo en los servidores esclavo mediante una tarea especial o crear un paquete de instalacin independiente que
incluso un empleado inexperto pueda instalar.
S
l
pa
ra
us
El paquete de instalacin del Servidor de Administracin de Kaspersky Security Center no est incluido en la
distribucin de Kaspersky Security Center. Se debe crear con el Asistente de nuevo paquete a partir de los archivos
de instalacin del Servidor de Administracin. En primer lugar, seleccione crear un paquete para un programa de
Kaspersky Lab.
101
S
l
pa
ra
us
in
t
er
no
102
KASPERSKY LAB
er
no
Cuando se le solicite el archivo de la aplicacin, especifique el archivo sc10.kud de la distribucin del servidor
descomprimida. Suele estar en la carpeta C:\ksc 10.0\en\Server. El nmero de versin y el idioma de localizacin
varan.
En las propiedades del paquete de instalacin del Servidor de Administracin, puede especificar los siguientes
parmetros de instalacin:
Servidor SQL: Puede seleccionar instalar una nueva instancia o utilizar una instancia local existente; (no se
puede seleccionar un SQL o MySQL Server remoto).
in
t
Puertos de conexin: Solo los puertos utilizados para las conexiones de consola y Agente de Red; 13000 y
14000, de forma predeterminada.
El nombre de la carpeta compartida: De forma predeterminada, KLSHARE.
Ruta de instalacin: De forma predeterminada, %ProgramFiles%\Kaspersky Lab\Kaspersky Security

Center\.
Parmetros de la actualizacin: Si crear o no una copia de seguridad.
S
l
pa
ra
us
Licencia: Resulta necesaria para activar la funcionalidad de Administracin de sistemas y la de

Administracin de dispositivos mviles, o se crean ms de 10 Servidores de Administracin virtuales.
103
S
l
pa
ra
us
in
t
er
no
104
KASPERSKY LAB
er
no
Si el paquete est destinado a una actualizacin, solo los parmetros de copia de seguridad son importantes, los
dems parmetros se heredarn de la versin anterior.
En cambio, si el paquete est destinado a una implementacin inicial llevada a cabo desde un paquete de instalacin
independiente, son importantes todos los parmetros a excepcin de los de copia de seguridad.
S
l
pa
ra
us
in
t
La tarea Instalar aplicacin en Servidores de Administracin esclavos en remoto ayuda a actualizar el Servidor
de Administracin de forma remota. Seleccione el paquete de instalacin del Servidor de Administracin de
Kaspersky Security Center y los servidores de destino en los parmetros. Esta tarea se puede crear para un grupo o
para equipos especficos, es decir, para los Servidores de Administracin seleccionados.
105
S
l
pa
ra
us
in
t
er
no
106
KASPERSKY LAB
er
no
El nico parmetro especial de esta tarea es No instalar la aplicacin si ya se encuentra instalada. El resto de
parmetros son estndar.
Para instalar un paquete en un Servidor de Administracin esclavo, primero copie el paquete creado por una tarea de
distribucin de paquetes de instalacin. Las tareas de instalacin para Servidores de Administracin esclavo dan por
supuesto que el paquete de instalacin se encuentra en el repositorio del servidor esclavo.
S
l
pa
ra
us
in
t
El paquete de instalacin del Servidor de Administracin se puede utilizar tambin para tareas de instalacin remota
habituales, pero solo para la instalacin inicial del Servidor de Administracin con herramientas de Windows. Las
actualizaciones se deben realizar con la tarea Instalar aplicacin en Servidores de Administracin esclavos en
remoto.
107
S
l
pa
ra
us
in
t
er
no
108
KASPERSKY LAB
er
no
Captulo 4. Gestin de administradores
in
t
4.1 Control de acceso

Situaciones principales
La necesidad de separar el acceso al Servidor de Administracin se presenta cuando hay varios empleados para los
que se deben configurar distintos privilegios de acceso.
us
Por ejemplo, es posible que una organizacin tenga varios sitios con sus respectivos equipos de administradores. El
administrador de un sitio solo necesita acceso al sistema de administracin de la proteccin del equipo de su sitio.
Asimismo, una organizacin puede contar con administradores del servidor y personal de soporte tcnico. Los
administradores del servidor son responsables del estado de la infraestructura y de la seguridad de la red en general,
mientras que el soporte tcnico soluciona problemas con los equipos cliente. Los empleados del soporte tcnico
necesitan acceso limitado a la Consola de Administracin, de modo que puedan comprobar el estado de los equipos,
ver su historial de eventos y la configuracin de la proteccin, etc., as como iniciar tareas, pero sin la capacidad de
modificar ningn parmetro. Los administradores del servidor, en cambio, necesitan acceso completo.
pa
ra
A veces, los responsables de la empresa necesitan acceder a los informes de la consola. Normalmente, es suficiente
un acceso limitado sin capacidad para iniciar tareas.
Los privilegios de acceso se pueden separar mediante diversos mtodos. Por ejemplo, se pueden crear documentos
que describan las responsabilidades de varios empleados y obligarlos a actuar dentro del marco de dichas
limitaciones. Sin embargo, las medidas tcnicas restringen las actividades de los empleados de forma mucho ms
eficiente. En primer lugar, ayudan a disminuir el coste de mantenimiento, puesto que no hay necesidad de gastar
recursos en la reparacin del dao causado por acciones, accidentales o deliberadas, de los usuarios que emplean
mal sus privilegios. En segundo lugar, la eficiencia de trabajo de los empleados aumenta, puesto que se pueden
concentrar ms en hacer su trabajo en vez de preocuparse por no hacer cambios indeseados en el sistema, ya que es
el sistema de control de acceso quien se ocupa de ello.
S
l
Al mismo tiempo, es posible que muchas organizaciones no necesiten privilegios de acceso de Kaspersky Security
Center separados. Por ejemplo, organizaciones en las que hay un administrador dedicado para Kaspersky Security
Center o un pequeo equipo de administradores con una gran variedad de responsabilidades, entre las que se incluye
la administracin de Kaspersky Security Center.
109
S
l
pa
ra
us
in
t
er
no
110
KASPERSKY LAB
er
no
Descripcin del sistema de control de acceso
El sistema de control de acceso de Kaspersky Security Center se implementa de forma similar a la separacin del
acceso a archivos, carpetas y otros objetos del sistema operativo de Windows.
Las funciones principales de un sistema de control de acceso son la autenticacin, la autorizacin y la auditora.
in
t
La autenticacin es el proceso de comparar a un usuario con un identificador del sistema. Durante la autenticacin,
el usuario confirma el derecho de utilizar el identificador seleccionado, por ejemplo, al introducir la contrasea.
La autorizacin consiste en permitir o denegar una operacin segn la configuracin especificada.
La auditora implica el registro de los intentos y los resultados de la ejecucin de operaciones para analizarlas con
mayor detalle.
Autenticacin
Dos tipos de identificadores: En Kaspersky Security Center se pueden utilizar cuentas de Windows y cuentas del
Servidor de Administracin interno.
us
Si el usuario inicia sesin en el sistema en nombre de un usuario de Windows, introduce el nombre de usuario y la
contrasea y, a continuacin, Kaspersky Security Center utiliza la funcionalidad del sistema operativo para verificar
la contrasea.
Si el administrador inicia sesin en el sistema en nombre de un usuario interno del Servidor de Administracin,
introduce el nombre de usuario y la contrasea, y el Servidor de Administracin verifica la contrasea por s mismo.
Autorizacin
pa
ra
La identificacin de Windows se suele utilizar por comodidad. Los usuarios internos del Servidor de Administracin
son necesarios para casos especiales en los que personas que no disponen de una cuenta en la red de la organizacin
necesitan el acceso al servidor. Por ejemplo, es posible que un proveedor de servicios que administre Kaspersky
Security Center tenga que dar acceso a los informes a los empleados del cliente mediante una interfaz web especial.
Kaspersky Security Center utiliza listas de control de acceso con el fin de decidir si un usuario tiene permiso para
realizar cierta accin. Son similares a las listas de control de acceso de las propiedades de las carpetas y de los
archivos de Windows.
Las listas de control de acceso se crean para los objetos de acceso. En ellas hay una lista de identificadores de
usuario, con permisos de objeto especificados para cada uno de ellos.
Cuando se intenta ejecutar una operacin, el sistema comprueba si hay una lista de control de acceso disponible para
el objeto. Si no, se utiliza la lista de objetos principales. A continuacin, el sistema comprueba si el identificador del
usuario est incluido en la lista de control de acceso. Si no lo est, se deniega la operacin. Si lo est, el sistema
consulta la lista de permisos especificados para este identificador y devuelve el veredicto.
S
l
Una lista de control de acceso puede incluir ambos identificadores de usuario, as como identificadores de grupos de
Windows. No hay grupos de usuarios internos en el sistema.
111
us
in
t
er
no
pa
ra
Es posible que la lista contenga varios registros aplicables a un usuario. Por ejemplo, puede haber permisos
especificados para la cuenta en s y para uno o varios grupos a los que pertenezca. En este caso, Kaspersky Security
Center se comporta como el sistema operativo Windows, es decir, otorga preferencia a la configuracin que deniega
el acceso.
En la lista de permisos especificados para una cuenta, una operacin puede estar permitida, denegada o sin estado.
Para que la operacin se permita realmente, debe estar permitida de forma explcita. Si hay varios registros
aplicables al usuario y los derechos configurados para ellos difieren, el sistema acta como sigue:
Si la operacin se niega explcitamente para al menos uno de los registros, el veredicto final ser Denegado.
Si la operacin no se permite explcitamente para al menos uno de los registros, el veredicto final ser
Denegado.
Si la operacin se permite explcitamente para al menos uno de los registros y no se deniega explcitamente
en los otros, el veredicto final ser Permitido.
Los permisos para los archivos y carpetas en los sistemas operativos Windows se calculan del mismo modo.
En Kaspersky Security Center, las listas de control de acceso solo se pueden configurar para los objetos siguientes:
Servidor de Administracin
Grupo de administracin
Tarea del Servidor de Administracin
Tarea para equipos especficos
Plantillas de informe
Panel de estadsticas
Selecciones personalizadas
S
l
Los permisos especificados para un grupo se aplican a todos sus contenidos (tareas, directivas y equipos cliente,
incluidos todos los atributos de los equipos), propiedades, eventos, objetos almacenados en los repositorios,
112
KASPERSKY LAB
er
no
informacin sobre los dispositivos, programas y archivos ejecutables. Si el usuario no tiene permiso para ver los
contenidos del grupo, la informacin acerca de los equipos de dicho grupo se ocultar en todas las herramientas de
supervisin: informes, estadsticas, selecciones y repositorios.
Configuracin de parmetros de control de acceso
in
t
Para modificar los parmetros de control de acceso, utilice la seccin Seguridad en las propiedades de los objetos
de Kaspersky Security Center. Segn el tamao de red seleccionado durante la instalacin, esta seccin estar
visible u oculta de forma predeterminada. Se encuentra oculta para las redes pequeas o medianas.
Para mostrar los parmetros de seguridad, en la ventana Configurar la interfaz, active la opcin Mostrar secciones
de configuracin de seguridad. Esta ventana se puede abrir mediante el enlace Configurar la funcionalidad
mostrada en la interfaz del usuario en el rea del Servidor de Administracin de la pgina Primeros pasos. Para
aplicar los cambios, desconctese del servidor y, a continuacin, vuelva a conectarse.
Listas de control de acceso
Las listas de control de acceso estn ubicadas en las propiedades del objeto, en la seccin Seguridad. La lista puede
incluir usuarios internos de Kaspersky Security Center, usuarios de Windows y grupos de usuarios.
us
De forma predeterminada, la lista contiene los usuarios y grupos siguientes:

<nombre de dominio>\KLAdmins
<nombre de dominio>\KLOperators
<nombre del equipo>\KLAdmins
<nombre del equipo>\KLOperators
BUILTIN\Administrators
S
l
pa
ra
Los grupos KLAdmins y KLOperators se crean durante la instalacin del Servidor de Administracin. Estn
vacos de forma predeterminada. Si se utiliz una instalacin del Servidor de Administracin personalizada y se
gener automticamente la cuenta KL-AK-* para iniciar el servicio del servidor, esta cuenta est incluida en el
grupo KLAdmins.
113
S
l
pa
ra
us
in
t
er
no
114
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
Los miembros de los grupos KLAdmins y Administrators tienen plenos derechos en el servidor, mientras que los
derechos del grupo KLOperators estn restringidos. Los derechos del grupo KLAdmins estn cifrados de forma
rgida y no se pueden modificar. Los derechos del resto de usuarios y grupos se pueden cambiar. El administrador
puede incluir en la lista cualquier usuario y grupo, tanto de dominio como local.
Los usuarios que no estn incluidos en la lista de acceso del Servidor de Administracin de forma directa o indirecta
(como miembros de un grupo) no se pueden conectar al Servidor de Administracin.
115
er
no
Otros objetos del Servidor de Administracin disponen de listas de control de acceso similares. De forma
predeterminada, todos los objetos heredan la configuracin, es decir, utilizan los parmetros especificados para el
servidor. Para separar el acceso en el nivel de grupo, desactive la herencia.
Derechos de acceso
in
t
Los usuarios y los grupos que se encuentren en una lista de acceso pueden tener varios derechos, que van desde
derechos plenos hasta la simple capacidad de ver los informes. La lista de permisos individuales que se pueden
conceder o denegar a los usuarios de Kaspersky Security Center es la siguiente:
Leer: Es necesario para poder conectarse al Servidor de Administracin. Si el usuario no tiene el
derecho Leer, se denegar la conexin al servidor y se deber especificar otro nombre de usuario. Por lo
que respecta a otros objetos, el derecho Leer permite ver el objeto y su contenido en la Consola de
Administracin. Si a un usuario no se le concede el derecho Leer de un objeto, no lo ver en la consola.
Escribir: Permite la capacidad general de modificar la configuracin. En algunos casos, puede que est
restringido por otros derechos como Cambiar privilegios de acceso. Sin el permiso de escritura no se
pueden modificar los derechos de acceso al objeto y sin Cambiar privilegios de acceso, tampoco. Esta
capacidad solo se obtiene si ambos derechos se otorgan juntos. Es decir, el permiso Escribir es necesario
para cambiar la configuracin, aunque no siempre es suficiente.
us
Ejecutar: Permite iniciar una tarea de forma manual y crear paquetes de instalacin independientes.
Asimismo, hace falta para guardar archivos mediante la utilidad de diagnsticos remotos cuando se accede
a equipos con las herramientas de Kaspersky Security Center.
Cambiar privilegios de acceso: Permite cambiar los derechos de acceso del usuario.
Cambiar configuracin del registro de eventos: Es necesario para cambiar los parmetros de
almacenamiento de eventos y de resultados de tareas.
pa
ra
Cambiar configuracin de notificaciones: Es necesario para activar notificaciones sobre eventos y

resultados de tareas, as como para cambiar la configuracin de notificaciones.
Instalar aplicaciones Kaspersky Lab de forma remota: Es necesario para crear e iniciar tareas del
tipo Instalar aplicacin en remoto y Desinstalar aplicacin en remoto. Puesto que el asistente de
instalacin remota crea tareas de forma inevitable, tambin es necesario disponer del derecho de instalacin
en remoto para iniciar el asistente. Las aplicaciones de Kaspersky Lab son las que estn firmadas con el
certificado de Kaspersky Lab. La forma de creacin del paquete de instalacin del programa
(desde kud, .kpd o el archivo ejecutable del programa) no es relevante a este respecto.
Instalar aplicaciones de terceros de forma remota: Es necesario para crear e iniciar las tareas que
instalan programas de otros fabricantes. El paquete seleccionado en la tarea define el tipo de programa.
Editar la configuracin de jerarqua del Servidor de Administracin: Es necesario para aadir o quitar
servidores esclavo del servidor maestro. Esto no obstaculiza la desconexin de un servidor esclavo de la
jerarqua a travs de sus propiedades locales (para eso sirve la directiva para los Servidores de
Administracin).
S
l
Guardar los archivos desde equipos clientes en el espacio de trabajo del administrador: Permite las
acciones Guardar en disco en los repositorios Cuarentena, Copia de seguridad y Archivos no
procesados.
Crear tneles: Es necesario para utilizar el comando Conexin de tnel y tambin para utilizar
herramientas externas que creen tneles.
Conectar al Servidor de Administracin: Autoexplicativo.
Exportar llave: Permiso para exportar una llave (o cdigo) del repositorio a un archivo (o cdigo) que se
puede utilizar para la activacin local del programa de proteccin.
116
KASPERSKY LAB
er
no
S
l
pa
ra
us
in
t
La anterior es una breve descripcin de los permisos. Es posible que funcionen de forma distinta en los diversos
objetos de Kaspersky Security Center.
117
S
l
pa
ra
us
in
t
er
no
118
KASPERSKY LAB
er
no
Objetos de acceso
De forma predeterminada, los derechos especificados en las propiedades del Servidor de Administracin afectan a
todos los objetos del servidor, pero algunas funciones de acceso se pueden redefinir en los tipos de objeto siguientes:
Grupos de administracin
Tareas de Kaspersky Security Center
Tareas para equipos especficos
Plantillas de informes
Pginas de estadsticas
Selecciones de equipo y evento 7
in
t
Normalmente, la lista de acceso se obtiene de las propiedades del objeto principal (Servidor de Administracin o
grupo) y no puede modificarse. Para modificar los derechos de acceso a un objeto, abra sus propiedades, vaya a la
seccin Seguridad y borre la casilla de verificacin Heredar. Una vez desactivada la herencia, se copia la lista de
acceso del objeto principal, que pasa a ser editable.
us
Grupo de administracin
A veces, un privilegio no se puede aplicar a un objeto. Por ejemplo, el derecho de crear tneles est relacionado con
los equipos y no tiene sentido en el caso de las tareas o las plantillas de informes. A continuacin, se proporcionan
descripciones detalladas de los objetos.
Los derechos de acceso de grupo se deben modificar para la funcin del administrador responsable de una parte de
la red. Esta funcin requiere derechos de lectura y escritura.
pa
ra
Sin el derecho de lectura para un grupo, el administrador no lo ver en Consola de Administracin, y los equipos de
este grupo y su informacin tambin estarn ocultos. Las selecciones, los repositorios y los informes se mostrarn
como si los equipos de este grupo no existieran.
Sin el derecho de escritura para un grupo, el administrador no podr modificar las directivas y las tareas, agregar o
eliminar equipos, ni cambiar los parmetros en las propiedades de grupo.
Los dems derechos no son tan importantes. El derecho de instalacin remota es necesario para actualizar los
programas de Kaspersky Lab, as como para iniciar utilidades especiales o instalar reparaciones para programas de
otros fabricantes. Los derechos Crear tneles y Guardar los archivos desde equipos clientes en el espacio de
trabajo del administrador son necesarios para el diagnstico de problemas en los equipos.
Los derechos Cambiar configuracin de notificaciones, Cambiar configuracin del registro de eventos y, en
particular, Cambiar privilegios de acceso requieren especial atencin. Estos derechos permiten al administrador del
grupo ocultar eventos de grupo al administrador principal o incluso denegar el acceso al grupo a cualquier persona.
Tareas del Servidor de Administracin
S
l
Requieren derechos de lectura, escritura y ejecucin. Es posible que los administradores del grupo deban iniciar la
tarea Descargar actualizaciones en el repositorio de forma manual. Puede que tambin necesiten la tarea de entrega
de informes. Al mismo tiempo, la tarea de copia de respaldo se les puede ocultar y se puede denegar la modificacin
de la configuracin de actualizacin.
A excepcin de las selecciones con codificacin rgida estndar.
119
us
in
t
er
no
pa
ra
Tareas para equipos especficos
Requieren los mismos derechos de acceso que las tareas del Servidor de Administracin: Lectura, escritura y
ejecucin. Con estos derechos, puede crear tareas separadas para cada administrador, que sern inaccesibles o
incluso invisibles para el resto de administradores.
Selecciones, plantillas de informes y pginas de estadsticas

Solo se les pueden aplicar derechos de lectura y escritura. De este modo, los administradores pueden proteger sus
plantillas ante cambios accidentales u ocultarlas de los otros administradores. Los derechos se pueden configurar de
modo que cada administrador solo pueda ver sus propios informes y pginas de estadsticas.
S
l
Con las selecciones de eventos y equipos sucede casi lo mismo. Se les pueden aplicar permisos de lectura y escritura,
y en caso de que haya administradores de grupo con responsabilidades distintas, se pueden crear selecciones
personales para cada uno de ellos que sern invisibles para los dems. Las selecciones con codificacin rgida son
visibles para todos, puesto que no disponen de listas de acceso de control y utilizan la configuracin especificada
para el Servidor de Administracin.
120
KASPERSKY LAB
er
no
Creacin de usuarios internos del Servidor de

Administracin
in
t
La lista de usuarios internos est en las propiedades del Servidor de Administracin, en la seccin Usuarios
internos. Esta seccin aparece en la seccin Seguridad, que puede estar oculta segn el intervalo de nodo elegido
durante el asistente de instalacin inicial. Asimismo, los usuarios internos se muestran en la lista general de usuarios
en el nodo de nivel superior Cuentas de usuario. Los usuarios internos se pueden aadir a travs del nodo de
cuentas o a travs de las propiedades del servidor.
Los parmetros requeridos de un usuario interno son el nombre completo y la contrasea. De forma adicional, puede
especificar una descripcin, una direccin de correo electrnico y un nmero de telfono. Los usuarios internos
pueden desactivarse de forma temporal. No hay grupos para los usuarios internos.
Las cuentas de los usuarios internos se pueden crear, activar, desactivar o eliminar. Los permisos de acceso se
configuran en la seccin Seguridad de las propiedades del objeto, junto con los permisos de los usuarios de
Windows.
Al aadir un usuario a la lista de acceso, el botn Agregar se ampla en una lista desplegable con dos opciones:
S
l
pa
ra
us
Autenticacin de Microsoft Windows: Para aadir un usuario o grupo de Windows a la lista de acceso
Autenticacin de Kaspersky Security Center: Para aadir un usuario interno a la lista de acceso.
121
S
l
pa
ra
us
in
t
er
no
122
KASPERSKY LAB
er
no
4.2 Auditora
Finalidad
in
t
Los parmetros de acceso pueden ayudar al administrador principal a disminuir los casos de abuso, pero no pueden
evitarlos completamente. Incluso un administrador con permisos restringidos puede daar el sistema si debilita los
parmetros de proteccin o desactiva las actualizaciones. Estas acciones se pueden realizar de forma deliberada o
por error; adems, debemos tener en cuenta el hecho de que la contrasea de un administrador se pueda filtrar.
Adems del sistema del control de acceso, el administrador principal debe tener la capacidad de seguir las acciones
que realicen los otros administradores. Los eventos de auditora proporcionan esta funcionalidad. Registran las
conexiones con el servidor, los intentos de cambiar la configuracin y el inicio de tareas, y tambin los resultados de
dichos intentos.
Configuracin de parmetros de auditora
us
Los eventos de auditora se registran en el Servidor de Administracin. Para modificar su configuracin, abra la
seccin Eventos de las propiedades del Servidor de Administracin y, a continuacin, abra la
categora Informacin, que comprende los eventos de auditora.
Al igual que sucede con otros mensajes de informacin del servidor, los eventos de auditora se almacenan en la
base de datos durante 30 das de forma predeterminada.
pa
ra
Descripcin de eventos de auditora
Existen cuatro tipos de eventos de auditora. Realmente, cada uno de ellos representa una categora que registra
intentos de acceder a varios objetos con diversos resultados.
El evento Auditora: conexin al Servidor de Administracin registra los intentos de conexin con el servidor,
tanto correctos como fallidos. La descripcin del evento incluye el nombre de usuario. La desconexin del servidor
no se registra.
El evento Comprobar: Objeto modificado se registra cuando se aaden, cambian o eliminan tareas, directivas,
paquetes de instalacin, plantillas de informes, pginas de estadsticas o selecciones de eventos y equipos; cuando se
modifican los parmetros de acceso a dichos objetos; cuando se modifican los parmetros del Servidor de
Administracin; o cuando se procesan objetos en los repositorios.
La descripcin del evento incluye el nombre del objeto modificado y su ubicacin. Si es una tarea de grupo, el grupo
est especificado. Si un objeto se recupera desde un repositorio, se especifican los nombres del repositorio y del
equipo donde se encontr el objeto, pero no el nombre del objeto.
S
l
Las modificaciones de objetos correctas se registran siempre, mientras que algunos de los intentos denegados no lo
hacen. Por ejemplo, los intentos denegados de restaurar o eliminar un objeto del repositorio no se registran.
El evento Comprobar: Estado del objeto modificado se registra cuando un usuario intenta iniciar una tarea o crear
un informe. Se registran todos los intentos, tanto los permitidos como los denegados. Los intentos de crear paquetes
de instalacin independientes no se registran.
El evento Comprobar: Parmetros de grupo modificados se registra cuando se crean subgrupos, cuando los
equipos se mueven a un grupo o cuando se modifica la configuracin del grupo. Solo se registran las acciones
correctas.
124
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
125
er
no
Captulo 5. Funciones especiales
in
t
5.1 Prueba de actualizaciones

Motivos de las pruebas
Los programas pueden entrar en conflicto. Para evitar fallos, los administradores prueban los programas antes de
implementarlos. Los programas conflictivos se configuran para que funcionen con seguridad o se sustituyen por
programas anlogos. Cuando hay actualizaciones, se vuelven a realizar pruebas.
us
Los programas antivirus tambin deben probarse. A diferencia de la mayora de programas, el software antivirus se
actualiza a menudo, a veces cada hora. Aunque los cambios sean leves, es posible que den lugar a conflictos.
El fabricante tiene el deber de realizar pruebas. Esto puede reducir el riesgo de conflictos, pero no puede eliminarlos
completamente. Muchas empresas utilizan software especfico interno cuya compatibilidad no puede probar el
fabricante del antivirus.
S
l
pa
ra
Para minimizar el riesgo, es necesaria una prueba de actualizacin adicional en la red del cliente. Debido a que las
pruebas son un proceso laborioso, pocas empresas las llevan a cabo a menos que el fabricante desarrolle
herramientas especiales para ello. Kaspersky Security Center incorpora tales herramientas.
126
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
127
er
no
Funcionamiento de la prueba de actualizaciones

La prueba de actualizaciones funciona del siguiente modo.
El administrador selecciona varios equipos para las pruebas.
2.
El Servidor de Administracin descarga las actualizaciones en un repositorio temporal.
3.
Los equipos de prueba reciben actualizaciones del repositorio temporal.
4.
Los equipos de prueba pasan por acciones de verificacin automticas.
5.
El Servidor de Administracin comprueba si se han producido errores del antivirus o conflictos de

aplicaciones en los equipos de prueba durante la verificacin.
6.
Si no se han producido errores ni conflictos, las actualizaciones se mueven del repositorio temporal al
permanente y pasan a estar disponibles para los otros equipos de la red.
7.
Si los eventos contienen errores o conflictos, las actualizaciones no se mueven y la tarea de la actualizacin
da lugar a un error.
in
t
1.
us
El administrador selecciona las acciones de verificacin, que pueden incluir:

Reiniciar el equipo.
Ejecutar una tarea de anlisis antivirus.
Comprobar el estado de proteccin en tiempo real despus del reinicio.
Despus de que se completen todas las acciones de verificacin, la tarea de prueba de actualizaciones espera durante
5 minutos para obtener eventos de los equipos de prueba. El tiempo est establecido de forma predeterminada y no
se puede cambiar.
pa
ra
Cualquier Evento crtico o Error de funcionamiento indica un problema causado por las actualizaciones. En
particular, se tienen en cuenta los eventos siguientes: deteccin de un objeto malintencionado o sospechoso,
deteccin de un ataque a la red, bloqueo de dispositivo, error al actualizar, error al iniciar una tarea de anlisis
antivirus, licencia daada. Los eventos Advertencia no afectan a los resultados de la prueba.
Si la comprobacin del estado de proteccin en tiempo real est activada, el Servidor de Administracin verifica que
la proteccin en tiempo real est en ejecucin despus de la actualizacin y del reinicio. En caso contrario, la prueba
de actualizaciones devuelve un error. Observe que solo se considera que la proteccin en tiempo real se ha detenido
cuando se detienen todos los componentes. Si cualquiera de los componentes est en ejecucin, el estado general de
la proteccin en tiempo real es En ejecucin.
Los equipos de prueba mantienen todas las actualizaciones recibidas durante las actualizaciones de prueba,
independientemente de su resultado. El administrador puede crear una tarea de restauracin de la actualizacin para
ellos y utilizar la opcin de programacin Al completar otra tarea para que se inicie automticamente despus de
que la tarea de prueba de actualizaciones devuelva un error.
S
l
Configuracin de la prueba de actualizaciones

Para preparar la prueba de actualizaciones, primero cree un grupo independiente y mueva los equipos en los que se
probarn las actualizaciones. El grupo no debe contener ningn otro equipo.
A continuacin, active la prueba de actualizaciones en las propiedades de la tarea Descargar actualizaciones en el
repositorio. La prueba de actualizaciones es una configuracin global. Esto significa que no puede hacer que los
equipos de un grupo reciban las actualizaciones despus de la prueba y que los de otro grupo las reciban sin probar.
128
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
129
er
no
La prueba de actualizaciones se ejecuta como una tarea especial para el grupo creado. Despus de activar la prueba
de actualizaciones, seleccione o cree una tarea de prueba de actualizaciones. La nica forma de crearla es a travs de
las propiedades de la tarea Descargar actualizaciones en el repositorio. Si desactiva la prueba de actualizaciones
de forma temporal y despus la vuelve a activar, puede seleccionar la tarea creada anteriormente en vez de crear una
nueva.
S
l
pa
ra
us
in
t
El administrador especifica en el asistente de creacin de tareas dnde se ubican los equipos de prueba. A
continuacin, el asistente crea una tarea de prueba de actualizaciones de forma automtica para dicho grupo, as
como tareas y directivas auxiliares.
130
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
131
er
no
Despus de crear una tarea de verificacin de actualizaciones, el administrador puede modificar la configuracin. En
concreto, los parmetros de prueba.
Los parmetros configurables definen qu tareas de actualizacin y anlisis se deben utilizar para la prueba. De
forma predeterminada, se utilizan los que se han creado junto con la tarea de actualizacin. Sin embargo, el
administrador puede crear ms tareas de actualizacin y anlisis en dicho grupo y utilizarlas. En concreto, el
administrador puede aadir tareas para actualizar y analizar Kaspersky Endpoint Security 8 para Windows, KES 8
for Linux o Kaspersky Endpoint Security for Windows Servers Enterprise Edition. Por el contrario, el administrador
tambin puede desactivar todas las tareas de anlisis antivirus si los considera repetitivos.
in
t
El reinicio del equipo y la comprobacin del estado de proteccin en tiempo real tambin son parmetros
configurables. Al igual que el anlisis bajo demanda, estas acciones no son una parte fundamental de la prueba de
actualizaciones. Los parmetros de prueba se consideran correctos si hay, como mnimo, una tarea de actualizacin
seleccionada. El resto de las acciones de comprobacin se puede desactivar.
Para desactivar la prueba de actualizaciones, borre la casilla de verificacin correspondiente en las propiedades de la
tarea Descargar actualizaciones en el repositorio. Las tareas de verificacin se pueden eliminar si no son
necesarias. Las tareas y directivas auxiliares tambin se pueden eliminar.
Las tareas y las directivas siguientes se crean de forma automtica en el grupo seleccionado para la prueba de
actualizaciones:
us
Tarea de actualizacin de Kaspersky Endpoint Security 10 para Windows

Tarea de anlisis de Kaspersky Endpoint Security 10 para Windows
Comprobar directiva - Kaspersky Endpoint Security 10 para Windows
S
l
pa
ra
Por fuera, las tareas de actualizacin parecen tener una configuracin normal. La fuente de la actualizacin es el
Servidor de Administracin. La programacin es Manualmente. De hecho, es la tarea de prueba de
actualizaciones quien controla esta tarea, que se inicia de forma automtica cuando empieza la tarea de prueba y
toma las actualizaciones desde el repositorio temporal.
132
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
133
er
no
La tarea de anlisis antivirus est configurada para analizar reas crticas. Con esta configuracin, la tarea puede
detectar conflictos con los procesos del sistema, pero es posible que no detecte los conflictos con las aplicaciones
del usuario. Para probar aplicaciones del usuario, aada la carpeta Archivos de programa y sus subcarpetas a la
cobertura del anlisis. Recuerde que, en este caso, la prueba durar ms tiempo.
El nivel de seguridad es similar al nivel recomendado. La diferencia radica en que se analizan todos los archivos,
incluidos los antiguos y los que no tienen cambios, y en que no se utilizan las tecnologas iSwift y iChecker. Con
esta configuracin, tambin se detectan los conflictos con los programas antiguos, que pueden ser importantes.
in
t
A los objetos peligrosos detectados se les aplica la accin recomendada, que es, en la mayora de los
casos, Eliminar. Si resulta ser un falso positivo, los archivos se deben recuperar del repositorio. Para evitarlo, puede
seleccionar la accin Informar para esta tarea. Si los equipos de prueba estn aislados de forma fiable de fuentes de
infeccin y se utilizan solo para probar el software corporativo ante falsos positivos, el riesgo es mnimo.
Las directivas auxiliares no heredan los parmetros de las directivas de mayor nivel. Por tanto, la configuracin del
grupo de prueba est aislada de la configuracin de los otros grupos. Todos los parmetros estn configurados de
forma predeterminada, incluida la accin Antivirus de archivos: Se selecciona automticamente. De forma similar
a las tareas de anlisis antivirus, es posible que valga la pena seleccionar la accin Bloquear para evitar
consecuencias graves en caso de falsos positivos.
us
Actualizaciones correctas
Posibles resultados de la prueba de actualizaciones
Si las actualizaciones son correctas, no se encontrarn eventos crticos ni fallos operativos durante la prueba. La
tarea Descargar actualizaciones en el repositorio termina correctamente y las actualizaciones pasan a estar
disponibles para todos los equipos de la red.
pa
ra
No hace falta que el administrador tome medidas adicionales. La nica diferencia con el proceso de actualizacin
habitual es que la actualizacin se atrasa en la mayora de los equipos hasta que termine la prueba. Con la
configuracin predeterminada, las pruebas de actualizaciones suele tardar entre 15 y 20 minutos.
Actualizaciones incorrectas
Si las actualizaciones causan falsos positivos o hacen que KES 10 no funcione correctamente, se registrarn los
eventos o errores de deteccin de objetos peligrosos durante la prueba, el Servidor de Administracin informar de
un fallo de la tarea Descargar actualizaciones en el repositorio y los otros equipos no recibirn estas
actualizaciones.
El administrador debe informar a Kaspersky Lab sobre los falsos positivos. Para ello, se debe poner en contacto con
el responsable tcnico de cuenta (TAM), el portal de soporte tcnico o escribir a newvirus@kaspersky.com y
adjuntar los archivos detectados.
En breve se publicar una actualizacin corregida que no detecte falsos positivos. Hasta entonces, los equipos
administrados no recibirn actualizaciones del Servidor de Administracin.
S
l
El equipo de prueba est infectado

Si uno de los equipos est realmente infectado, esto tambin provocar el fallo de la tarea Descargar actualizaciones
en el repositorio y los equipos no recibirn actualizaciones.
134
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
Igual que en el caso Actualizaciones incorrectas, el administrador debe enviar una solicitud a Kaspersky Lab.
Como respuesta, se recibe un mensaje que avisa de que es un virus real. El administrador debe limpiar los equipos
de prueba y volver a iniciar la actualizacin. A continuacin, los otros equipos de la red recibirn las actualizaciones.
El proceso entero tarda algo ms de lo necesario.
Para evitarlo, seleccione equipos de prueba con menos posibilidades de infeccin. Lo ideal sera utilizar equipos
dedicados para ello y que no estn expuestos a amenazas de malware, por ejemplo, en un laboratorio detrs de un
firewall muy estricto, y con todo el software tpico preinstalado.
135
er
no
5.2 Soporte para la virtualizacin

Deteccin de mquinas virtuales
in
t
El Agente de Red puede reconocer si est instalado en una mquina virtual, as como el tipo de mquina. Esta
informacin resulta til para el administrador desde el punto de vista del consumo de recursos de hardware en la
plataforma de la virtualizacin. Si varias mquinas virtuales se ejecutan en el mismo servidor y pertenecen al mismo
grupo, iniciar una tarea de anlisis o de actualizacin en dicho grupo provocar que el servidor alcance la carga
mxima.
El administrador puede aleatorizar la hora de inicio de la tarea o crear varios subgrupos con programaciones
distintas para intentar repartir la carga. Para ello, el administrador debe saber qu equipos son virtuales.
VMWare
Hyper-V
Virtual PC
Parallels
VirtualBox
Xen
KVM
us
Emplee la utilidad de bsqueda o las selecciones de equipos para recibir la lista de equipos virtuales. En la
configuracin de la bsqueda, puede encontrar la pestaa Mquinas virtuales, donde puede establecer la condicin
de bsqueda Es una mquina virtual como S. Si la empresa utiliza varias plataformas de virtualizacin, puede
especificar el tipo de mquina virtual en el campo correspondiente. Kaspersky Security Center puede reconocer los
siguientes tipos de mquinas virtuales:
pa
ra
En las reglas de reubicacin de equipos hay disponibles condiciones similares, que permiten mover
automticamente mquinas virtuales a grupos con programacin de tareas especiales.
S
l
Debe tener en cuenta que el administrador puede instalar un producto especial, Kaspersky Security for Virtualization,
en las mquinas virtuales detectadas. Este producto se puede administrar con Kaspersky Security Center 9.2 o
posteriores. Kaspersky Security for Virtualization se describe de forma detallada en el curso especial KL 014.11.
136
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
137
Compatibilidad con VDI dinmico
er
no
En algunas organizaciones, por ejemplo, centros de formacin, universidades, etc., se utilizan equipos virtuales de
un solo uso. Por ejemplo, para examinar a los alumnos, el administrador (o la infraestructura virtual) crea una
mquina virtual temporal de forma automtica. Los estudiantes trabajan con dichas mquinas virtuales durante el
examen y, despus, las mquinas se eliminan.
in
t
Si la red utiliza Kaspersky Security Center, estos equipos virtuales se detectan y se aaden a la base de datos del
servidor. El administrador puede verlos en la consola, incluidos tambin los muchos equipos eliminados. Adems, si
la imagen base desde la que se crean las mquinas virtuales temporales de forma dinmica est protegida con KES
10 for Windows, cada copia temporal utilizar una clave y, en caso de que las mquinas virtuales inexistentes no se
eliminen de la base de datos del servidor, pronto se quedar sin claves.
Para solucionar este problema, Kaspersky Security Center es compatible con VDI (infraestructura del escritorio
virtual) dinmico. El administrador marca de forma especial la imagen que se debe copiar. A continuacin, el
Servidor de Administracin considera que las copias de esta imagen son dinmicas y cuando se desactiva una copia
su informacin se elimina automticamente de la base de datos.
Se debe destacar el hecho de que el Agente de Red no entiende automticamente que un equipo es una copia
temporal. El administrador debe marcar de forma especial la imagen base que se utilice para crear copias temporales.
Kaspersky Security Center solo reconoce las mquinas temporales gracias a esta marca, que aade el administrador.
us
Para marcar la imagen de un VDI dinmico, instale all el Agente de Red con el parmetro Activar modo dinmico
para VDI. Esta casilla de verificacin se selecciona dentro de las propiedades del paquete de instalacin del Agente
de Red o en el asistente de instalacin interactiva. En otras palabras, este modo solo se puede activar o desactivar al
instalar o reinstalar el Agente.
pa
ra
Cuando un Agente con este parmetro activado se conecta con el servidor, lo que en realidad indica es que despus
de que el equipo se apague el Servidor debe eliminar su informacin de la base de datos. Normalmente, el agente
tiene tiempo para informar al servidor de que se est apagando el equipo. Sin embargo, aunque una mquina virtual
finalice con un cierre incorrecto y el agente no tenga tiempo de enviar una seal, el servidor eliminar dicho equipo
de la base de datos de todos modos cuando caduque el tiempo de espera de visibilidad del equipo, que, de forma
predeterminada, equivale a 3 intervalos de sincronizacin.
S
l
Las mquinas virtuales creadas a partir de una imagen con soporte dinmico VDI activado se pueden encontrar
mediante la herramienta de bsqueda y trasladar a grupos mediante reglas de reubicacin, que disponen de la
condicin correspondiente en la seccin Mquinas virtuales: Parte de la infraestructura del escritorio virtual con
los valores S, No y sin especificar.
138
KASPERSKY LAB
S
l
pa
ra
us
in
t
er
no
139
S
l
pa
ra
us
in
t
er
no
1.1

KL 302 10 SP Advanced Skills v1 1 PDF 10621

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

KL 302 10 SP Advanced Skills v1 1 PDF 10621

Uploaded by

Copyright:

Available Formats

er

Captulo 1. Administracin del trfico ........................................................................... 4

Captulo 3. Uso de varios Servidores de Administracin ............................................ 48

3.1 Consideraciones .................................................................................................................................................... 48

3.2 Servidores independientes .................................................................................................................................... 54

3.3 Jerarqua de servidores.......................................................................................................................................... 70

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Conexin a una jerarqua .................................................................................................................................... 70

4.1 Control de acceso ................................................................................................................................................ 108

Situaciones principales ...................................................................................................................................... 108

Finalidad ............................................................................................................................................................ 122

5.1 Prueba de actualizaciones ................................................................................................................................... 125

Deteccin de mquinas virtuales ....................................................................................................................... 135

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Captulo 1. Administracin del trfico

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Instalacin del paquete

Instalacin del paquete

Tamao medio de las

Instalacin del Agente de

Vara segn el volumen de las bases de datos.

Tamao total medio de las

Depende del tipo de evento y del nmero de atributos de

5 eventos que registran la reaccin del sistema ante la

Aplicacin de nueva tarea

Depende del sistema operativo del cliente.

Depende del parmetro cambiado. El volumen de

Puede cambiar con el tiempo.

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

1.2 Supervisin de trfico

Historial de trfico de red

1.3 Mtodos de la limitacin de trfico

Reglas de limitacin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Programacin de la conexin cliente-servidor

Captulo 1. Administracin del trfico

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Informacin acerca del equipo

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Captulo 1. Administracin del trfico

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

2.1 Agentes de Actualizacin

Captulo 2. Agentes de Actualizacin y puertas

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Instalacin remota y actualizaciones de Windows y de programas de otros

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin

La instalacin remota y la instalacin de actualizaciones y parches funcionan de forma similar. El Servidor de

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Actualizacin de las fuentes para los Agentes de

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin

KL 302.10: Administracin y seguridad de Kaspersky Endpoint Security. Conocimientos avanzados

Instalacin mediante Agentes de Actualizacin

Captulo 2. Agentes de Actualizacin y puertas de enlace de conexin