Ayuda de GFI Software · 2019. 9. 26. · 13.7SNMPWalk 232 13.8AuditoríadeSQLServer® 233 13.9Herramientasdelíneadecomandos 234 13.9.1UtilizacióndeInsscmd.exe 234 13.9.2Utilizacióndedeploycmd.exe

Manual de producto de GFI

Guía del administrador

La información y el contenido de este documento se proporcionan sólo para fines informativos y"como están", sin garantía de ningún tipo, ya sea expresa o implícita, incluidas, sin limitarse a, lasgarantías implícitas de comercialización, idoneidad para un propósito particular y ausencia deinfracción. GFI Software no se hace responsable por ningún daño, incluidos los daños indirectos decualquier naturaleza que puedan deberse a la utilización de este documento. La información se haobtenido de fuentes disponibles públicamente. A pesar de los esfuerzos razonables que se hanhecho para asegurar la exactitud de los datos facilitados, GFI no afirma, promete ni garantiza laintegridad, exactitud, actualidad o adecuación de la información, y no se responsabiliza porerrores tipográficos, datos desactualizados o errores. GFI no ofrece ninguna garantía, expresa oimplícita, y no asume ninguna responsabilidad civil o legal por la exactitud o la compleción de lainformación de este documento.

Si cree que existe algún error objetivo en este documento, póngase en contacto con nosotros ydaremos tratamiento a sus dudas tan pronto como sea posible.

Todos los nombres de productos y empresas mencionados aquí pueden ser marcas comerciales desus respectivos titulares.

GFI LanGuard es propiedad de GFI SOFTWARE Ltd. - 1999-2012 GFI Software Ltd. Reservados todoslos derechos.

Versión del documento: 11.1

Última actualización (mes/día/año): 12/3/2013

Índice

1 Introducción 17

1.1 Cómo funciona GFI LanGuard 181.2 Cómo funcionan los agentes de GFI LanGuard 181.3 Cómo funcionan los agentes de retransmisión de GFI LanGuard 191.4 Componentes de GFI LanGuard 191.5 Acerca de esta guía 20

1.5.1 Términos y convenciones que se utilizan en este manual 20

2 Instalación de GFI LanGuard 21

2.1 Escenarios de implementación 212.1.1 Implementación de GFI LanGuard en el modo mixto 212.1.2 Implementación de GFI LanGuard mediante agentes de retransmisión 222.1.3 Implementación de GFI LanGuard en el modo sin agente 23

2.2 Requisitos del sistema 252.2.1 Requisitos de hardware 252.2.2 Requisitos de software 262.2.3 Puertos y protocolos de cortafuegos 272.2.4 Permisos de puertas de enlace 282.2.5 Aplicaciones antivirus y antispyware compatibles 29

2.3 Importación y exportación de configuraciones 292.3.1 Exportación de configuraciones a un archivo 292.3.2 Importación de configuraciones desde un archivo 302.3.3 Importación de configuraciones desde otro GFI LanGuard 31

2.4 Actualización de versiones anteriores 322.5 Acciones posteriores a la instalación 342.6 Prueba de la instalación 36

3 Obtención de resultados 38

3.1 Evaluación eficaz de vulnerabilidades 383.2 Administración eficaz de revisiones 393.3 Utilización de GFI LanGuard para el seguimiento de recursos 403.4 Análisis actualizado de redes y software 41

3.4.1 Sistemas operativos Linux 413.5 Cumplimiento de PCI DSS 43

4 Administración de agentes 44

4.1 Implementación de agentes 444.2 Implementación manual de agentes 464.3 Propiedades de los agentes 484.4 Configuración de agentes 534.5 Configuración de agentes de retransmisión 54

4.5.1 Configuración de un agente como relé 554.5.2 Configuración de las opciones avanzadas de agentes de retransmisión 594.5.3 Conexión de equipos a un agente de retransmisión 61

4.6 Administración de grupos de agentes 62

5 Examen de su red 65

5.1 Acerca de los perfiles de detección 655.2 Perfiles de detección disponibles 65

5.2.1 Exámenes completos o de combinación 655.2.2 Evaluación de vulnerabilidades 665.2.3 Auditoría de redes y software 66

5.3 Exámenes manuales 675.4 Habilitación de directivas de auditoría de seguridad 705.5 Exámenes programados 71

5.5.1 Creación de un examen programado 725.5.2 Edición de parámetros de exámenes programados 795.5.3 Configuración de propiedades de exámenes programados 80

5.6 Exámenes programados de agentes 815.6.1 Inicio manual de un exámenes de agentes 83

6 Panel 84

6.1 Obtención de resultados a partir del panel 846.2 Utilización del panel 856.3 Utilización del árbol de equipos 85

6.3.1 Filtrado simple 866.3.2 Filtrado avanzado 866.3.3 Agrupación 876.3.4 Búsqueda 88

6.4 Utilización de atributos 896.4.1 Asignación de atributos a un equipo 896.4.2 Asignación de atributos a un grupo 906.4.3 Configuración de atributos 90

6.5 Acciones del panel 916.6 Exportación de la lista de problemas 926.7 Vistas del panel 92

6.7.1 Información general 936.7.2 Vista Computers 966.7.3 Vista History 996.7.4 Vista Vulnerabilities 1006.7.5 Configuración de acciones 1006.7.6 Vista Patches 1026.7.7 Vista Ports 1036.7.8 Vista Software 1046.7.9 Vista Hardware 1066.7.10 Vista System Information 107

7 Interpretación de resultados 108

7.1 Interpretación de resultados de exámenes manuales 1087.1.1 Visualización de resultados de exámenes 1087.1.2 Clasificación del nivel de vulnerabilidad 1097.1.3 Evaluación de vulnerabilidades 1117.1.4 Auditoría de red y de software 113

7.2 Carga de resultados de la base de datos 1197.3 Guardado y carga de resultados XML 120

8 Corrección de vulnerabilidades 121

8.1 Corrección automática 1218.1.1 Notas acerca de la corrección automática 1218.1.2 Configuración de la implementación automática de actualizaciones faltantes 1228.1.3 Configuración de la desinstalacion automática de aplicaciones no autorizadas 1278.1.4 Configuración de opciones de corrección automática 1318.1.5 Configuración de opciones de reinicio y apagado de usuarios finales 1388.1.6 Configuración de mensajes de corrección automática 1388.1.7 Configuración de la corrección automática de agentes 1428.1.8 Configuración de categorías de software 1438.1.9 Adición de categorías de software nuevas 1448.1.10 Adición de software nuevo a una categoría 1448.1.11 Importación de software a una categoría 1458.1.12 Personalización del software 146

8.2 Corrección manual 1488.2.1 Notas acerca de la corrección automática 1488.2.2 Utilización de Remediation Center 1488.2.3 Implementación de actualizaciones de software 1498.2.4 Desinstalación de actualizaciones de software 1528.2.5 Implementación de software personalizado 1548.2.6 Protección de malware 1558.2.7 Utilización de la asistencia de escritorios remotos 157

9 Supervisión de actividad 159

9.1 Supervisión de los exámenes de seguridad 1599.1.1 Filtrado de exámenes de seguridad 160

9.2 Supervisión de la descarga de actualizaciones de software 1619.2.1 Solución de problemas de actualizaciones de software fallidas 162

9.3 Supervisión de operaciones de corrección 1639.3.1 Subficha Remediation Jobs 1639.3.2 Vista Remediation Operations 165

9.4 Supervisión de actualizaciones de productos 166

10 Reporting 167

10.1 Informes disponibles 16710.1.1 Informes generales 16710.1.2 Informes de cumplimiento legal 170

10.2 Generación de informes 17410.3 Programación de informes 176

10.3.1 Creación de informes programados nuevos 17610.3.2 Configuración de opciones de informes programados 17810.3.3 Administración de informes programados 178

10.4 Personalización de informes predeterminados 17910.4.1 Creación de informes personalizados 179

10.4.2 Personalización de logotipos de informes 18210.4.3 Personalización del formato de informes de correo electrónico 182

10.5 Búsqueda de texto completo 183

11 Personalización de GFI LanGuard 186

11.1 Configuración de opciones de alerta 18611.2 Configuración de opciones de mantenimiento de bases de datos 187

11.2.1 Utilización de Access™ como back-end de base de datos 18811.2.2 Utilización de SQL Server® como back-end de base de datos 18911.2.3 Administración de resultados de exámenes guardados 19011.2.4 Enumerar equipos examinados 19111.2.5 Configuración de opciones avanzadas de mantenimiento de bases de datos 19211.2.6 Configurar opciones de conservación de bases de datos 193

11.3 Configuración de actualizaciones del programa 19311.3.1 Configuración de parámetros proxy 19411.3.2 Configuración de opciones de actualización automática 19511.3.3 Instalación manual de actualizaciones del programa 195

12 Scanning Profile Editor 197

12.1 Creación de un nuevo perfil de detección 19712.2 Configuración de vulnerabilidades 198

12.2.1 Habilitación de exámenes de vulnerabilidades 19812.2.2 Personalización de la lista de vulnerabilidades que se deben examinar 19912.2.3 Personalización de propiedades de comprobaciones de vulnerabilidades 20012.2.4 Configuración de condiciones de comprobación de vulnerabilidades 201

12.3 Configuración de revisiones 20812.3.1 Habilitación y deshabilitación de comprobaciones de detección de revisiones fal-tantes 20912.3.2 Personalización de la lista de revisiones de software que se deben examinar 21012.3.3 Búsqueda de información de boletines 210

12.4 Configuración de opciones de auditoría de redes y software 21112.4.1 Configuración de opciones de examen de puertos TCP y UDP 21112.4.2 Configuración de opciones de información del sistema 21312.4.3 Configuración de opciones de examen de dispositivos 21312.4.4 Configuración de opciones de examen de aplicaciones 216

12.5 Configuración de opciones de detección de seguridad 219

13 Utilidades 223

13.1 Búsqueda de DNS 22313.2 Traceroute 22513.3 Whois 22713.4 Enumeración de equipos 228

13.4.1 Inicio de un examen de seguridad 22913.4.2 Implementación de revisiones personalizadas 22913.4.3 Habilitación de directivas de auditoría 229

13.5 Enumeración de usuarios 23013.6 Auditorías de SNMP 231

13.7 SNMP Walk 23213.8 Auditoría de SQL Server® 23313.9 Herramientas de línea de comandos 234

13.9.1 Utilización de Insscmd.exe 23413.9.2 Utilización de deploycmd.exe 23513.9.3 Utilización de impex.exe 237

14 Depurador de scripts 240

14.1 Creación de scripts personalizados a través de VBscript 24014.1.1 Adición de una comprobación de vulnerabilidades que utilice un VBScript (.vbs)personalizado 240

14.2 Creación de scripts personalizados a través de scripting Python 24514.3 Módulo SSH 249

14.3.1 Palabras claves 24914.3.2 Adición de una comprobación de vulnerabilidades que utilice un script shell per-sonalizado 250

15 Miscelánea 255

15.1 Configuración de NetBIOS 25515.2 Desinstalación de GFI LanGuard 256

16 Solución de problemas y asistencia técnica 257

16.1 Resolución de problemas comunes 25716.2 Utilización del asistente para el solucionador de problemas 25916.3 GFI SkyNet 26116.4 Foro web 26116.5 Solicitud de asistencia técnica 261

17 Apéndice 1: Datos procesados 263

17.1 Estado de la aplicación de revisiones del sistema 26317.2 Puertos 26417.3 Hardware 26417.4 Software 26617.5 Información del sistema 268

18 Apénice 2: Certificaciones 271

18.1 Lenguaje abierto de vulnerabilidad y evaluación (OVAL) 27118.1.1 GFI LanGuardCompatibilidad con OVAL 27218.1.2 Acerca de la compatibilidad con OVAL 27218.1.3 Envío de informes de errores de la lista del OVAL 272

18.2 Vulnerabilidades y exposiciones comunes (CVE) 27218.2.1 Acerca de la compatibilidad con CVE 27218.2.2 Acerca de CVE y CAN 27318.2.3 Búsqueda de entradas de CVE 27318.2.4 Obtención de nombres CVE 27418.2.5 Importación y exportación de datos de CVE 274

19 Glosario 275

20 Índice 283

Lista de figuras

Captura de pantalla 1: Exportación de configuraciones a un archivo 30

Captura de pantalla 2: Importación de configuraciones desde un archivo 31

Captura de pantalla 3: Importación de configuración 32

Captura de pantalla 4: Cuadro de diálogo de comprobación de requisitos previos 33

Captura de pantalla 5: Configuración de importaciones y exportaciones de una instalación anterior 34

Captura de pantalla 6: Configuraciones de importación y exportación 35

Captura de pantalla 7: Inicio de un examen 36

Captura de pantalla 8: Propiedades de Launch a scan 36

Captura de pantalla 9: Resumen de resultados de examen 37

Captura de pantalla 10: Manage agents 45

Captura de pantalla 11: Add more computers: selección del tipo de importación 46

Captura de pantalla 12: Add more computers: asignación de atributos a nuevos equipos 47

Captura de pantalla 13: Propiedades de agentes: ficha General 49

Captura de pantalla 14: Propiedades de los agentes: ficha Agent Status 50

Captura de pantalla 15: Propiedades de agentes: ficha Attributes 51

Captura de pantalla 16: Propiedades de los agentes: ficha Relays 52

Captura de pantalla 17: Configuración de agentes: ficha General 53

Captura de pantalla 18: Configuración de agentes: ficha Advanced 54

Captura de pantalla 19: Cuadro de diálogo de propiedades de agentes 56

Captura de pantalla 20: Asistente Set computer as relay 57

Captura de pantalla 21: Elija un directorio de almacenamiento en caché para el nuevo agente deretransmisión 58

Captura de pantalla 22: Paso de resumen configuración 59

Captura de pantalla 23: Propiedades de agentes de retransmisión: configuración avanzada 60

Captura de pantalla 24: Cuadro de diálogo Relay Agent Advanced Settings 60

Captura de pantalla 25: Conexión a un agente de retransmisión 62

Captura de pantalla 26: Atributos de agentes 63

Captura de pantalla 27: Agentes de retransmisión 64

Captura de pantalla 28: Configuración de exámenes manuales 67

Captura de pantalla 29: Propiedades personalizadas de los destinos 68

Captura de pantalla 30: Add new rule... 69

Captura de pantalla 31: Asistente de administración de directivas de auditoría 71

Captura de pantalla 32: Cuadro de diálogo New scheduled scan 72

Captura de pantalla 33: Frecuencia de exámenes programados 73

Captura de pantalla 34: Selección del perfil de detección 74

Captura de pantalla 35: Credenciales de inicio de sesión remoto 75

Captura de pantalla 36: Opciones de informes de exámenes programados 76

Captura de pantalla 37: Opciones de corrección automática de exámenes programados 77



Captura de pantalla 40: Propiedades de exámenes programados 81

Captura de pantalla 41: Agent activity recurrence 82

Captura de pantalla 42: Visualización de Dashboard 85

Captura de pantalla 43: Filtrado simple 86

Captura de pantalla 44: Adición de propiedades de filtro 87

Captura de pantalla 45: Búsqueda de equipos y grupos específicos 88

Captura de pantalla 46: Asignación de atributos: Equipo único 89

Captura de pantalla 47: Asignación de atributos: varios equipos 90

Captura de pantalla 48: Cuadro de diálogo de nuevo atributo 91

Captura de pantalla 49: Sección Actions de Dashboard 91

Captura de pantalla 50: Información general del panel 93

Captura de pantalla 51: Resultados de análisis por equipo 96

Captura de pantalla 52: Vista History de Dashboard 99

Captura de pantalla 53: Vista Vulnerabilities de Dashboard 100

Captura de pantalla 54: Vista Patches de Dashboard 102

Captura de pantalla 55: Vista Ports de Dashboard 103

Captura de pantalla 56: Vista Software de Dashboard 104

Captura de pantalla 57: Vista Hardware de Dashboard 106

Captura de pantalla 58: Vista System Information de Dashboard 107

Captura de pantalla 59: Información general de resultados 109

Captura de pantalla 60: Medidor del nivel de vulnerabilidad 110

Captura de pantalla 61: Medidor de vulnerabilidad de Dashboard 111

Captura de pantalla 62: Modo de evaluación de vulnerabilidades 112

Captura de pantalla 63: Cuadro de diálogo de información de boletín 113

Captura de pantalla 64: Nodo de auditoría de redes y software 114

Captura de pantalla 65: Estado de las revisiones del sistema 115

Captura de pantalla 66: Todos los puertos UDP y TCP hallados durante un examen 116

Captura de pantalla 67: Resultados de exámenes recargados 119

Captura de pantalla 68: Implementación automática de revisiones 123

Captura de pantalla 69: Opciones avanzadas de implementación automática de revisiones 124

Captura de pantalla 70: Configuración de las propiedades de descarga automática de revisiones 126

Captura de pantalla 71: Patch Repository settings 127

Captura de pantalla 72: Aplicación no autorizada 128

Captura de pantalla 73: Asistente del inventario de aplicaciones 129

Captura de pantalla 74: Validación de la desinstalación automática de aplicaciones 130

Captura de pantalla 75: Propiedades de equipos 131

Captura de pantalla 76: Configuración general de corrección automática 132

Captura de pantalla 77: Opciones previas a la implementación 133

Captura de pantalla 78: Opciones posteriores a la implementación 134

Captura de pantalla 79: Opciones avanzadas de implementación 135

Captura de pantalla 80: Device Manager 136

Captura de pantalla 81: Power Management 137

Captura de pantalla 82: Opciones de reinicio y apagado 138

Captura de pantalla 83: Remediation Center: Deploy Software Updates 139

Captura de pantalla 84: Cuadro de diálogo de opciones de implementación 140

Captura de pantalla 85: Opciones de mensajes previos a la implementación 141

Captura de pantalla 86: Personalización de mensajes de advertencia 142

Captura de pantalla 87: Corrección automática de agentes 143

Captura de pantalla 88: Remediation Center 149

Captura de pantalla 89: Implementación de actualizaciones de software 150

Captura de pantalla 90: Opciones de Deploy software updates 151

Captura de pantalla 91: Desinstalación de actualizaciones de software 152

Captura de pantalla 92: Opciones de Uninstall software updates 153

Captura de pantalla 93: Lista de software que se implementará 154

Captura de pantalla 94: Protección de malware 156

Captura de pantalla 95: Conexión a un escritorio remoto 157

Captura de pantalla 96: Supervisión de los exámenes de seguridad 159

Captura de pantalla 97: Cuadro de diálogo de filtrado de exámenes de seguridad 160

Captura de pantalla 98: Descarga de actualizaciones de seguridad 161

Captura de pantalla 99: Supervisión de tareas desde la subficha Remediation Jobs 164

Captura de pantalla 100: Supervisión de tareas desde la vista Remediation Operations 165

Captura de pantalla 101: Actividad de las actualizaciones del producto 166

Captura de pantalla 102: Muestra de informe: Parte 1 174



Captura de pantalla 105: Selección de una plantilla de informe programado 176

Captura de pantalla 106: Adición o eliminación de dominios o equipos de destino 176

Captura de pantalla 107: Edición de opciones de informes programados 179

Captura de pantalla 108: Control de la actividad de los informes programados 179

Captura de pantalla 109: Edición de parámetros de informes desde la vista previa de la muestra deinforme 180

Captura de pantalla 110: Configuración de elementos de informes 180

Captura de pantalla 111: Configuración de las opciones de filtrado de informes 181

Captura de pantalla 112: Configure las opciones de agrupamiento y clasificación de informes 181

Captura de pantalla 113: Personalización de parámetros de informes 184

Captura de pantalla 114: Navegación a través de enlaces de informes 185

Captura de pantalla 115: Configuración de opciones de alerta 186

Captura de pantalla 116: Cuadro de diálogo de propiedades de mantenimiento de bases de datos 188

Captura de pantalla 117: Opciones de back-end de base de datos de SQL Server® 189

Captura de pantalla 118: Propiedades de mantenimiento de bases de datos: ficha Saved Scan Resultsadministrada 191

Captura de pantalla 119: Propiedades de mantenimiento de bases de datos: ficha Advanced 192

Captura de pantalla 120: Configuración de parámetros de servidores proxy 194

Captura de pantalla 121: Configuración de actualizaciones al iniciarse la aplicación 195

Captura de pantalla 122: Asistente de comprobación de actualizaciones 196

Captura de pantalla 123: Scanning Profiles Editor 198

Captura de pantalla 124: Habilitación de exámenes de vulnerabilidades para el perfil de detecciónseleccionado 199

Captura de pantalla 125: Seleccione las comprobaciones de vulnerabilidades que se deben ejecutar através de este perfil de detección 200

Captura de pantalla 126: Cuadro de diálogo de propiedades de vulnerabilidades: ficha General 201

Captura de pantalla 127: Ficha de configuración de condiciones de vulnerabilidad 202

Captura de pantalla 128: Asistente Check properties: selección del tipo de comprobación 203

Captura de pantalla 129: Asistente Check properties: definición del objeto que se examinará 204

Captura de pantalla 130: Asistente Check properties: determinación de las opciones requeridas 205

Captura de pantalla 131: Asistente Check properties: definición de operadores condicionales 206

Captura de pantalla 132: Opciones avanzadas de vulnerabilidades 207

Captura de pantalla 133: Cuadros de diálogo avanzados de examen de vulnerabilidades 208

Captura de pantalla 134: Propiedades de perfiles de detección: Opciones de la ficha Patches 209

Captura de pantalla 135: Selección de las revisiones faltantes que se enumerarán 210

Captura de pantalla 136: Búsqueda de información de boletines 210

Captura de pantalla 137: Información de boletín extendida 211

Captura de pantalla 138: Propiedades de perfiles de detección: Opciones de la ficha TCP Ports 212

Captura de pantalla 139: Propiedades de perfiles de detección: Opciones de la fucha System Information 213

Captura de pantalla 140: Página de configuración de dispositivos de red 214

Captura de pantalla 141: Página de configuración de aplicaciones 216

Captura de pantalla 142: Propiedades de perfiles de detección: Ficha Scanner Options 220

Captura de pantalla 143: Herramienta DNS Lookup 224

Captura de pantalla 144: Opciones de la herramienta DNS Lookup 225

Captura de pantalla 145: Herramienta Traceroute 226

Captura de pantalla 146: Herramienta Whois 227

Captura de pantalla 147: Herramienta Enumerate Computers 228

Captura de pantalla 148: Cuadro de diálogo de la herramienta Enumerate Users 230

Captura de pantalla 149: Herramienta SNMP Audit 231

Captura de pantalla 150: Herramienta SNMP Walk 232

Captura de pantalla 151: SQL Server® Audit 233

Captura de pantalla 152: Cuadro de diálogo Add vulnerability 242

Captura de pantalla 153: Adición de comprobaciones de vulnerabilidades: selección del tipo decomprobación 243

Captura de pantalla 154: Adición de comprobaciones de vulnerabilidades: selección del archivo deVBScript 244

Captura de pantalla 155: Adición de comprobaciones de vulnerabilidades: definición de condiciones 245



Captura de pantalla 158: Adición de comprobaciones de vulnerabilidades: selección del archivo de scriptPython 248




Captura de pantalla 162: Adición de comprobaciones de vulnerabilidades: selección del archivo SSH 253


Captura de pantalla 164: Propiedades de conexiones de área local: ficha WINS 256

Captura de pantalla 165: Asistente para el solucionador de problemas: detalles de información 260

Captura de pantalla 166: Asistente para el solucionador de problemas: recopilación de información sobreproblemas conocidos 261

Captura de pantalla 167: Búsqueda de información de CVE 273

Lista de tablas

Tabla 1: Componentes de GFI LanGuard 19

Tabla 2: Términos y convenciones que se utilizan en este manual 20

Tabla 3: Requisitos de hardware: GFI LanGuard Server 25

Tabla 4: Requisitos de hardware: agente de GFI LanGuard 25

Tabla 5: Requisitos de hardware: agente de retransmisión de GFI LanGuard 26

Tabla 6: Sistemas operativos compatibles 26

Tabla 7: Back-end de base de datos compatibles 27

Tabla 8: Requisitos de software: componentes adicionales 27

Tabla 9: Puertos y protocolos 28

Tabla 10: Opciones de invalidación 32

Tabla 11: Opciones de invalidación de importación 35

Tabla 12: Selección de destinos 45

Tabla 13: Opciones de reglas personalizadas 45

Tabla 14: Deploy Agents: Configuración avanzada 46

Tabla 15: Asistente Add more computers 47

Tabla 16: Configuración de atributos 47

Tabla 17: Opciones de agentes de retransmisión 52

Tabla 18: Configuración avanzada de agentes de retransmisión 53

Tabla 19: Configuración de agentes 53

Tabla 20: Agentes de retransmisión: opciones avanzadas 61

Tabla 21: Estado del grupo de agentes 62

Tabla 22: Detección de red de grupos de agentes 63

Tabla 23: Opciones de agentes de retransmisión 64

Tabla 24: Perfiles de detección completos o de combinación 66

Tabla 25: Perfiles de detección de evaluación de vulnerabilidades 66

Tabla 26: Auditoría de redes y software 67

Tabla 27: Opciones de destinos durante auditorías 68

Tabla 28: Propiedades personalizadas de los destinos 69

Tabla 29: Opciones de inicio de sesión y auditoría 70

Tabla 30: Opciones de examen 70

Tabla 31: Tipo de examen programado nuevo 73

Tabla 32: Credenciales de inicio de sesión remoto 75

Tabla 33: Opciones de ahorro de energía 76

Tabla 34: Opciones de corrección automática 77

Tabla 35: Reporting options 78

Tabla 36: Opciones para administrar perfiles de detección 80

Tabla 37: Propiedades de exámenes programados 81

Tabla 38: Opciones de búsqueda 88

Tabla 39: Acciones del panel 91

Tabla 40: Información de software de una auditoría 93

Tabla 41: Vista según la información de los equipos 96

Tabla 42: Acciones del panel 100

Tabla 43: Acciones 104

Tabla 44: Iconos de tiempo de respuesta 109

Tabla 45: Puntuaciones de ponderación de nivel de vulnerabilidad 110

Tabla 46: Grupos de vulnerabilidades 112

Tabla 47: Información sobre hardware de una auditoría 116

Tabla 48: Información de software de una auditoría 116

Tabla 49: Información de sistema de una auditoría 117

Tabla 50: Etapas de corrección automática 122

Tabla 51: Opciones avanzadas de implementación automática de revisiones 124

Tabla 52: Manage applicable scheduled scans... 130

Tabla 53: Antes de la implementación 133

Tabla 54: Después de la implementación 134

Tabla 55: Opciones avanzadas de implementación 135

Tabla 56: Opciones avanzadas de implementación 138

Tabla 57: Mensajes de advertencia 142

Tabla 58: Acciones de corrección 149

Tabla 59: Opciones de Deploy software updates 151

Tabla 60: Opciones de Uninstall software updates 153

Tabla 61: Opciones disponibles en Deploy Custom Software 155

Tabla 62: Opciones de implementación 155

Tabla 63: Opciones de implementación 156

Tabla 64: Cuadro de diálogo de filtrado de exámenes de seguridad 161

Tabla 65: Estado de las descargas de actualizaciones 162

Tabla 66: Descarga de actualizaciones de seguridad 162

Tabla 67: Solución de problemas de actualizaciones de software fallidas 163

Tabla 68: Informes generales disponibles 168

Tabla 69: Informes de cumplimiento legal disponibles 171

Tabla 70: Opciones de plantillas de informes programados 176

Tabla 71: Opciones de dominios y equipos de destino 177

Tabla 72: Opciones de programación 177

Tabla 73: Alerting & Saving Settings 178

Tabla 74: Marcadores de informes 182

Tabla 75: Parámetros de configuración de correo 187

Tabla 76: Opciones de notificaciones 187

Tabla 77: Opciones de conservación de bases de datos 193

Tabla 78: Configuración de proxy 194

Tabla 79: Cuadro de diálogo de propiedades de vulnerabilidades 201

Tabla 80: Opciones examen de puertos TCP 212

Tabla 81: Opciones de examen de dispositivos 215

Tabla 82: Opciones de examen de aplicaciones 217

Tabla 83: Scanner Options 220

Tabla 84: Opciones de búsqueda de DNS 224

Tabla 85: Íconos de Traceroute 226

Tabla 86: Opciones de enumeración de equipos 228

Tabla 87: Conmutadores de comandos de lnsscmd 234

Tabla 88: Variables admitidas en lnssmcd 235

Tabla 89: Conmutadores de comandos de deploycmd 236

Tabla 90: Conmutadores de comandos de impex 237

Tabla 91: Palabras claves para vulnerabilidades 250

Tabla 92: Problemas comunes de GFI LanGuard 257

Tabla 93: Opciones de recopilación de información 260

Tabla 94: Compatibilidad con CVE 273

GFI LanGuard 1 Introducción | 17

1 Introducción

GFI LanGuard es una solución de administración de revisiones y auditoría de redes que le permiteadministrar de forma sencilla y mantener una protección de terminales en dispositivos de su LAN.Actúa como un consultor de seguridad que ofrece administración de revisiones, evaluación devulnerabilidades y compatibilidad con auditoría de redes para equipos con Windows® y MAC.GFILanGuard logra la protección de LAN a través de lo siguiente:

Identificación de puntos débiles de sistema y de red a través de una base de datos de com-probación de vulnerabilidades abarcadora. Esto incluye pruebas basadas en las directrices de eva-luación de vulnerabilidades de OVAL y CVE, y en las 20 directrices de evaluación devulnerabilidades principales del SANS

Auditoría de todos los recursos de hardware y software de su red, lo que le permite crear uninventario de recursos detallado. Esto abarca incluso hasta la enumeración de aplicaciones ins-taladas y dispositivos conectados en su red

Descarga automática e instalación remota de Service Pack y revisiones para los sistemasMicrosoft® Windows y MAC y productos de terceros

Desinstalación automática de software no autorizado.

Temas de este capítulo:

1.1 Cómo funciona GFI LanGuard 18

1.2 Cómo funcionan los agentes de GFI LanGuard 18

1.3 Cómo funcionan los agentes de retransmisión de GFI LanGuard 19

1.4 Componentes de GFI LanGuard 19

1.5 Acerca de esta guía 20


1.1 Cómo funciona GFI LanGuard

Figura 1: Cómo funciona GFI LanGuard

Después de la instalación, GFI LanGuard funciona en dos etapas:

En primer lugar, determina los equipos que están al alcance. También intenta recopilar conjuntosde información de los equipos de destino como parte de sus operaciones de Detección de redes, através de un subconjunto de protocolos SMB, NETBIOS e ICMP. Entre los objetivos compatibles seincluyen el localhost, el IP, el nombre del equipo, la lista de equipos, el intervalo de IP, el dominioy grupo de trabajo completo o la unidad organizativa.

En segundo lugar, una vez identificados los objetivos, GFI LanGuard realiza un examen en pro-fundidad para enumerar toda la información relacionada con el equipo de destino. GFI LanGuardutiliza varias técnicas para acceder a esta información, la cual incluye verificaciones de pro-piedades de archivos y carpetas, verificaciones de registro, comandos de WMI y SMB, veri-ficaciones de rastreo de puertos (TCP/UDP) y más.

1.2 Cómo funcionan los agentes de GFI LanGuard

GFI LanGuard se puede configurar para detectar e implementar agentes de forma automática enequipos nuevos. Los agentes minimizan la utilización de ancho de banda de la red. Esto se debe a queen el modo sin agente, el componente del servidor de GFI LanGuard realiza auditorías a través de lared, mientras que en el modo de agente, las auditorías se realizan utilizando los recursos del destinodel examen y solo se transfiere un archivo XML de resultados a través de la red.

Los agentes envían datos aGFI LanGuard a través del puerto TCP 1070. Este puerto se abre de formapredeterminada al instalar GFI LanGuard. Los agentes no consumen recursos del equipo de destinodel examen a menos que esté realizando un examen u operaciones de corrección. Si un agente noresponde durante 60 días se desinstala de forma automática del equipo de destino.


Nota

De forma predeterminada, los agentes se desinstalan automáticamente al cabo de los60 días. Para personalizar el periodo, seleccione la ficha Configuration y despuésAgents Management, y en el panel derecho haga clic en Agents Settings. Especifique elnúmero de días en la ficha General del cuadro de diálogo Agents Settings.

Nota

Los agentes solo se pueden instalar en equipos con el sistema operativo MicrosoftWindows y requieren aproximadamente 25 MB de memoria y 350 MB de espacio en discoduro.

1.3 Cómo funcionan los agentes de retransmisión de GFI LanGuard

GFI LanGuard le permite configurar cualquier equipo con un agente de GFI LanGuard instalado paraque funcione como un servidor de GFI LanGuard. Estos agentes se denominan Agentes deretransmisión. Los agentes de retransmisión reducen la carga del componente del servidor de GFILanGuard. Los equipos configurados como agentes de retransmisión descargan revisiones ydefiniciones directamente del servidor de GFI LanGuard y las reenvían a equipos clientes como sifueran componentes de servidores.

1.4 Componentes de GFI LanGuard

En esta sección se le brinda información acerca de los componentes que se instalan de formapredeterminada cuando realiza la instalación de GFI LanGuard. Una vez que instale el producto,puede gestionar las tareas de administración y corrección de revisiones desde la Consola deadministración. La Consola de administración también se cita como el Componente del servidor deGFILanGuard, como se describe en la tabla a continuación:

Componente Descripción

Servidor deGFI LanGuard

También denominado Consola de administración. Le permite administrar agentes, realizar exámenes,analizar resultados, corregir problemas de vulnerabilidad y generar informes.

GFI LanGuardAgents

Permite el procesamiento y la auditoría de datos en los equipos de destino; una vez finalizada una audi-toría, el resultado se envía a GFI LanGuard.

GFI LanGuardUpdate Sys-tem

Le permite establecer mediante configuración GFI LanGuard la descarga automática de actualizacionespublicadas por GFI para mejorar la funcionalidad. Para estas actualizaciones también incluye la bús-queda de actualizaciones más nuevas en el sitio web de GFI.

GFI LanGuardAttendantService

El servicio de fondo que administra todas las operaciones programadas, incluidos los exámenes de segu-ridad de red, la implementación de revisiones y las operaciones de corrección.

GFI LanGuardScanning Pro-files Editor

Este editor le permite crear perfiles de detección nuevos y modificar los existentes.

GFI LanGuardCommandLine Tools

Le permite iniciar exámenes de vulnerabilidad de la red y sesiones de implementación de revisiones,además de importar y exportar perfiles y vulnerabilidades sin cargar la consola de administración de GFILanGuard.

Tabla 1: Componentes de GFI LanGuard


1.5 Acerca de esta guía

El objetivo de esta Guía del administradores ayudar a los administradores de sistemas a instalar,configurar y ejecutar GFI LanGuard con un mínimo esfuerzo.

1.5.1 Términos y convenciones que se utilizan en este manual

Término Descripción

Información adicional y referencias esenciales para el funcionamiento de GFI LanGuard.

Notificaciones y precauciones importantes sobre problemas comunes que pueden surgir.

> Instrucciones de navegación paso a paso para acceder a una función concreta.

Texto ennegrita

Elementos que se seleccionan, como nodos, opciones de menú o botones de comando.

Texto en cur-siva

Parámetros y valores que debe reemplazar por los valores aplicables, como rutas de acceso y nombresde archivo personalizados.

Código Indica los valores de texto que se escriben, como comandos y direcciones.

Tabla 2: Términos y convenciones que se utilizan en este manual

GFI LanGuard 2 Instalación deGFI LanGuard | 21

2 Instalación de GFI LanGuard

Este capítulo le servirá como guía para seleccionar la solución de implementación que resulte másapropiada, cumpla con sus requisitos y le proporcione información acerca de cómo implementar conéxito un GFI LanGuard totalmente funcional.


2.1 Escenarios de implementación 21

2.2 Requisitos del sistema 25

2.3 Importación y exportación de configuraciones 29

2.4 Actualización de versiones anteriores 32

2.5 Acciones posteriores a la instalación 34

2.6 Prueba de la instalación 36

2.1 Escenarios de implementación

GFI LanGuard se puede instalar en cualquier equipo que cumpla con los requisitos de sistemamínimos. Utilice la información de esta sección para determinar si desea controlar un conjunto “sinagente” y “basado en agente”, o una mezcla de ambos, según lo siguiente:

Número de equipos y dispositivos que desea controlar

Carga de tráfico de su red durante el tiempo de operación normal.

En las secciones siguientes se le proporciona información acerca de diferentes escenarios deimplementación admitidos por GFI LanGuard:

Implementación de GFI LanGuard en el modo mixto

Implementación de GFI LanGuard mediante agentes de retransmisión

Implementación de GFI LanGuard en el modo sin agente

2.1.1 Implementación de GFI LanGuard en el modo mixto

GFI LanGuard se puede configurar para implementar agentes de forma automática en equipos reciéndetectados o seleccionados manualmente. Los agentes permiten que el procesamiento y la auditoríade datos se realicen en equipos de destino; una vez que una auditoría finaliza, el resultado setransfiere a GFI LanGuard a través de un archivo XML. Los exámenes basados en agentes:

Tienen un mejor rendimiento porque la carga se distribuye en equipos cliente.

Pueden funcionar en entornos de ancho de banda reducido porque la comunicación entre el ser-vidor y los agentes es reducida.

Son adecuados para portátiles. Los equipos se examinarán aun cuando no estén conectados a lared de la empresa.

Son más precisos que los exámenes manuales; los agentes pueden acceder a más información enel localhost.

En la siguiente captura de pantalla se muestra cómo se puede implementar GFI LanGuard utilizandoagentes de una red de área local (LAN):


Figura 2: Modo de agente o mixto

2.1.2 Implementación de GFI LanGuard mediante agentes de retransmisión

Los agentes de retransmisión se utilizan para reducir la carga del servidor de GFI LanGuard. Losequipos configurados como agentes de retransmisión descargarán revisiones y definicionesdirectamente del servidor de GFI LanGuard y las reenviarán a equipos clientes. Las ventajasprincipales de utilizar agentes de retransmisión son las siguientes:

Ahorro de ancho de banda de red en redes locales o distribuidas geográficamente. Si se configuraun agente de retransmisión en cada sitio, una revisión solo se descarga una vez y se distribuye alos clientes

La carga se quita del componente del servidor de GFI LanGuard y se distribuye entre los agentesde retransmisión

Debido a que los equipos se administran desde varios agentes de retransmisión, aumenta elnúmero de dispositivos que se pueden proteger de forma simultánea.


En una red, los equipos se pueden agrupar y cada grupo se puede asignar a un agente deretransmisión, como se muestra a continuación.

Figura 3: Modo de agente de retransmisión

Nota

Para obtener más información, consulte Configuración de agentes de retransmisión(página 54).

2.1.3 Implementación de GFI LanGuard en el modo sin agente

La auditoría sin agente se inicia desde la consola de administración de GFI LanGuard. GFI LanGuardcrea una sesión remota con los destinos de examen especificados y los audita en la red. Al


completarse el proceso, se importan los resultados a la base de datos de resultados y se cierra lasesión remota.

Puede auditar equipos de forma individual, un rango de equipos específicos y un dominio o grupo detrabajo completos.

Nota

Los exámenes en el modo sin agente utilizan los recursos del equipo en el cual GFILanGuard está instalado y emplean más ancho de banda de red debido a que laauditoría se realiza de forma remota. Cuando se dispone de una red grande de destinosde examen, este modo puede reducir drásticamente el rendimiento de GFI LanGuard' yafectar la velocidad de la red. En redes más grandes, implemente agentesconvencionales o de retransmisión para equilibrar la carga de forma adecuada.

Figura 4: Modo sin agente


2.2 Requisitos del sistema

Los equipos en los que se ejecuten un GFI LanGuard servidor, un agente convencional y un agente deretransmisión deben cumplir con los requisitos de sistema descritos a continuación por razones derendimiento.

Nota

Si busca una solución de administración de revisiones para 2.000 o más equipos, lerecomendamos contactarnos para obtener cotizaciones y sugerencias relacionadas conel procedimiento de implementación y administración adecuado para dicha solución.

Consulte las secciones siguientes para obtener información sobre:

Requisitos de hardware

Requisitos de software

Puertos y protocolos de cortafuegos

Permisos de puertas de enlace

Aplicaciones antivirus y antispyware compatibles

2.2.1 Requisitos de hardware

Asegúrese de que se cumplan los requisitos de hardware siguientes en equipos en los que se ejecutecualquiera de los componentes que se proporcionan a continuación:

Servidor GFI LanGuard

Agente convencionalGFI LanGuard

Agente de retransmisiónGFI LanGuard

GFI LanGuard Servidor

El servidor de GFI LanGuard que aloje los equipos debe cumplir con los siguientes requisitos dehardware:

Componente 1 a 100 equipos 100 a 500 equipos 500 a 3.000 equipos

Procesador De dos núcleos y 2GHz

De dos núcleos y 2,8 GHz De cuatro núcleos y 3 GHz

Almacenamiento físico 5 GB 10 GB 20 GB

RAM 2 GB 4 GB 8 GB

Ancho de banda de red 1544 kbps 1544 kbps 1544 kbps

Tabla 3: Requisitos de hardware: GFI LanGuard Server

Agente GFI LanGuard

Los equipos en los que se ejecute un agente de GFI LanGuard deben cumplir con los siguientesrequisitos de hardware:

Componente Requisito

Procesador 1 GHz

Almacenamiento físico 350 MB

Tabla 4: Requisitos de hardware: agente de GFI LanGuard


Componente Requisito

RAM 25 MB

Ancho de banda de red 1544 kbps

Agente de retransmisión GFI LanGuard

Un equipo se podrá configurar como agente de retransmisión cuando:

Esté en línea y tenga un buen tiempo de actividad

Tenga un acceso rápido a equipos conectados a él

Tenga el espacio en disco necesario para permitir el almacenamiento en caché.

Los equipos configurados como agentes de retransmisión deben cumplir con los siguientes requisitosde hardware:

Componente 1 a 100 clientes 100 a 500 clientes 500 a 1000 clientes

Procesador De dos núcleos y 2 GHz De dos núcleos y 2 GHz De dos núcleos y 2,8 GHz

Almacenamiento físico 5 GB 10 GB 10 GB

RAM 2 GB 2 GB 4 GB

Ancho de banda de red 100 Mbps 100 Mbps 1 Gbps

Tabla 5: Requisitos de hardware: agente de retransmisión de GFI LanGuard

2.2.2 Requisitos de software

Los componentes de GFI LanGuard se pueden instalar en cualquier equipo que cumpla con losrequisitos de software enumerados en esta sección. Para obtener más información, consulte:

Sistemas operativos compatibles

Bases de datos compatibles

Componentes en los equipos de destino

Otros componentes de software

sistemas operativos compatibles (32 y 64 bits)

En la siguiente tabla se enumeran sistemas operativos en los que se pueden instalar un servidor,agente convencional o agente de retransmisión de GFI LanGuard:

Operating System GFILanGuard

Agente GFILanGuard

Agente de retransmisión GFILanGuard

Windows ® Server 2012

Windows® Server 2008 (incluido R2) Standard oEnterprise

Windows® Server 2003 Standard o Enterprise

Windows® 8

Windows® 7 Professional, Enterprise o Ultimate

Windows® Vista Business, Enterprise o Ultimate

Windows® XP Professional (SP2 o superior)

Tabla 6: Sistemas operativos compatibles


Operating System GFILanGuard

Agente GFILanGuard

Agente de retransmisión GFILanGuard

Windows® Small Business Server 2008 Standard

Windows® Small Business Server 2003 (SP1)

Windows® 2000 Professional, Server oAdvanced

SP4

Internet Explorer 6 SP1 o superior

Windows Installer 3.1 o superior

Bases de datos compatibles

GFI LanGuard utiliza una base de datos para almacenar información de auditorías de seguridad de redy operaciones de corrección. El back-end de base de datos puede ser cualquiera de los siguientes:

Base de datos Utilización recomendada

Microsoft ® Access Se recomienda únicamente durante la evaluación y para un total de hasta 5 equi-pos.

MSDE/SQL Server Express® edi-tion

Se recomienda para redes de hasta 500 equipos.

SQL Server® 2000 o posterior Se recomienda para redes más grandes de hasta 500 equipos o más.

Tabla 7: Back-end de base de datos compatibles

Componentes en los equipos de destino

En la siguiente tabla se le proporciona información acerca de componentes que se deben instalar ohabilitar en equipos que se examinarán de forma remota a través de GFI LanGuard:

Componente Descripción

Secure Shell (SSH) Se requiere para destinos de examen basados en UNIX. Se incluye comúnmente comoparte de todas las distribuciones de Unix o Linux.

Windows Management Ins-trumentation (WMI)

Se requiere para destinos de examen basados en Windows. Se incluye en todos los sis-temas operativos Windows 2000 o posteriores.

Uso compartido de archivose impresoras

Se requiere para enumerar y recopilar información sobre destinos de examen.

Registro remoto Se requiere para que GFI LanGuard ejecute un servicio temporal para el examen de undestino remoto.

Tabla 8: Requisitos de software: componentes adicionales

Componentes de servidor de GFI LanGuard adicionales

El siguiente componente adicional se requiere en el equipo en el que se instale el componente deservidor de GFI LanGuard:

Microsoft .NET® Framework 3.5.

2.2.3 Puertos y protocolos de cortafuegos

En esta sección se le proporciona información acerca de la configuración de puertos y protocolos decortafuegos necesaria para:

GFI LanGuardAgentes de servidores y de retransmisión

GFI LanGuard Equipos con y sin agentes


Agentes de GFI LanGuard y de retransmisión

Configure su cortafuegos de modo que permita conexiones entrantes en el puerto TCP 1070 enequipos en los que se ejecuten:

GFI LanGuard

Agentes de retransmisión

Este puerto se utiliza de forma automática cuando se instala GFI LanGuard y manipula todacomunicación entrante entre el componente del servidor y los equipos controlados. Si GFI LanGuarddetecta que el puerto 1070 ya se encuentra en uso a través de otra aplicación, busca de formaautomática un puerto disponible dentro del rango del 1070 al 1170.

Para configurar de forma manual el puerto de comunicaciones:

1. Inicie GFI LanGuard.

2. Haga clic en la ficha Configuration y en Manage Agents.

3. En el panel derecho, haga clic en Agents Settings.

4. Desde el cuadro de diálogo Agents Settings, especifique el puerto de comunicaciones en el cuadrode texto TCP port.

5. Haga clic en OK.

GFI LanGuard Equipos con y sin agentes

GFI LanGuard se comunica con equipos administrados (con y sin agentes) utilizando los puertos yprotocolos siguientes. En los equipos administrados, el cortafuegos se debe configurar de modo quepermita solicitudes entrantes en los puertos:

Puertos TCP Protocolo Descripción

22 SSH Auditoría de sistemas Linux.

135 DCOM Puerto asignado de forma dinámica.

137 NetBIOS Detección de equipos y uso compartido de recursos.



161 SNMP Detección de equipos.

445 SMB Se utiliza durante:Auditoría de equipos

Administración de agentes

Implementación de revisiones.

Tabla 9: Puertos y protocolos

2.2.4 Permisos de puertas de enlace

Para descargar actualizaciones de definiciones de seguridad, GFI LanGuard se conecta a servidores deactualización de GFI, de Microsoft y de proveedores independientes mediante HTTP. Asegúrese deque la configuración del cortafuegos del equipo en el que GFI LanGuard está instalado permita lasconexiones a:

*software.gfi.com/lnsupdate/

*.download.microsoft.com

*.windowsupdate.com


*.update.microsoft.com

Todos los servidores de actualización de proveedores independientes admitidos por GFILanGuard.

Nota

Para obtener más información, consulte:

Aplicaciones compatibles de proveedores independientes:

http://go.gfi.com/?pageid=LAN_PatchMng

Boletines de aplicación compatibles:

http://go.gfi.com/?pageid=3p_fullreport

Aplicaciones de Microsoft compatibles:

http://go.gfi.com/?pageid=ms_app_fullreport

Boletín de Microsoft compatible:

http://go.gfi.com/?pageid=ms_fullreport

2.2.5 Aplicaciones antivirus y antispyware compatibles

GFI LanGuard detecta archivos de definición obsoletos para varias aplicaciones de software antivirusy antispyware. Para obtener una lista completa de aplicaciones de software antivirus y antispywarecompatibles, consulte lo siguiente: http://go.gfi.com/?pageid=security_app_fullreport

2.3 Importación y exportación de configuraciones

GFI LanGuard le permite importar y exportar configuraciones. Entre las configuraciones que sepueden importar o exportar se incluyen las siguientes:

Perfiles de detección

Evaluación de vulnerabilidades

Puertos (TCP/UDP)

Informes de filtrado de resultados

Ajustes de corrección automática (configuraciones de desinstalación automática y revisiones)

Opciones (configuraciones de back-end de base de datos, de alertas, de exámenes programados einternas).

Las secciones siguientes contienen información sobre lo que se muestra a continuación:

Exportación de configuraciones a un archivo

Importación de configuraciones desde un archivo

Importación de configuraciones desde otro GFI LanGuard

2.3.1 Exportación de configuraciones a un archivo

Para exportar las configuraciones:


2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations…





http://go.gfi.com/?pageid=security_app_fullreport


3. Seleccione Export the desired configuration to a file y haga clic en Next.

4. Especifique la ruta en la que se guardará la configuración exportada y haga clic en Next.

Captura de pantalla 1: Exportación de configuraciones a un archivo

5. Espere hasta que el árbol de configuración se cargue y seleccione las configuraciones que seexportarán. Haga clic en Next para iniciar la exportación.

6. Un diálogo de notificación confirmará que la exportación se ha completado.

7. Haga clic en OK para finalizar.

2.3.2 Importación de configuraciones desde un archivo

Para importar configuraciones de guardado:



3. Seleccione Import the desired configuration from a file y haga clic en Next.

4. Especifique la ruta desde la que se cargará la configuración y haga clic en Next.

5. Espere hasta que el árbol de configuración se cargue y seleccione las configuraciones que seimportarán. Haga clic en Next para iniciar la importación.


Captura de pantalla 2: Importación de configuraciones desde un archivo

6. Confirme el cuadro de diálogo de invalidación haciendo clic en Yes o No según sea necesario.

7. En un cuadro de diálogo se confirmará que la exportación se ha completado

8. Haga clic en OK para finalizar.

2.3.3 Importación de configuraciones desde otro GFI LanGuard


2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations…para iniciar el Import and Export Configurations wizard.

3. Seleccione Import the configuration from another instance y haga clic en Next.

4. Haga clic en Browse para seleccionar la carpeta de instalación de GFI LanGuard. La ubicaciónpredeterminada es <Disco local>\Program Files\GFI\ LanGuard <Versión>. Haga clicen Next.


Captura de pantalla 3: Importación de configuración

5. Seleccione la configuración que desee importar y haga clic en Next.

6. Durante la importación, GFI LanGuard le preguntará si desea invalidar o conservar suconfiguración. Seleccione una de las siguientes opciones:

Opción Descripción

Yes Invalidar la configuración actual a través de la configuración importada.

No Conservar la configuración actual e ignorar la configuración importada.

Auto Rename Cambiar el nombre de la configuración importada y mantener la configuración actual.

Tabla 10: Opciones de invalidación

7. Haga clic en OK cuando la importación esté lista.

2.4 Actualización de versiones anteriores

GFI LanGuard conserva toda la información de configuración y resultados de cualquier versiónanterior de GFI LanGuard. Esto le permite:

Instalar GFI LanGuard sin desinstalar la versión anterior.

Importar la configuración en GFI LanGuard desde otras instalaciones del programa.

Implementar agentes en los mismos equipos en los que cuenta con una versión anterior de GFILanGuard instalada.

Nota

No se pueden realizar actualizaciones de software de versiones de GFI LanGuardanteriores a la 9.


Nota

Las claves de licencia de versiones anteriores de GFI LanGuard no son compatibles y sedeben actualizar para ejecutar GFI LanGuard.

Para realizar una actualización a una versión más nueva:

1. Inicie sesión utilizando credenciales de administrador en el equipo en el que desee instalar GFILanGuard.

2. Inicie la instalación de GFI LanGuard.

Captura de pantalla 4: Cuadro de diálogo de comprobación de requisitos previos

3. En el cuadro de diálogo de comprobación de requisitos previos se muestra información general delestado de los componentes que GFI LanGuard requiere para funcionar. Haga clic en Install parainiciar la instalación.

4. Siga las instrucciones en pantalla para completar la actualización.


Captura de pantalla 5: Configuración de importaciones y exportaciones de una instalación anterior

5. Una vez que GFI LanGuard está instalado, detecta la instalación anterior e inicia de formaautomática el Import and Export Configurations Wizard. Esto le permite exportar variasconfiguraciones de la versión anterior e importarlas a la nueva.

6. Seleccione las configuraciones que se importarán y haga clic en Next para finalizar el proceso deimportación.

2.5 Acciones posteriores a la instalación

GFI LanGuard se puede instalar en un equipo con una versión anterior de GFI LanGuard sin necesidadde desinstalarla. Esto le permite conservar parámetros de configuración y reutilizarlos en la versiónnueva.

Para importar la configuración de la versión anterior:

1. Inicie la GFI LanGuard consola de administración desde Start, Programs, GFI LanGuard 2012, GFILanGuard 2012.

2. En GFI LanGuard, haga clic en el botón File y después en Import and Export Configurations…para iniciar el Import and Export Configurations wizard.


Captura de pantalla 6: Configuraciones de importación y exportación

3. Seleccione Import the configuration from another instance y haga clic en Next.

4. Haga clic en Browse para seleccionar la carpeta de instalación de GFI LanGuard. La ubicaciónpredeterminada es:

Equipos de 64 bits (x64): <Disco local>\Program Files (x86)\GFI\ LanGuard <Ver-sión>

Equipos de 32 bits (x86): <Disco local>\Program Files\GFI\ LanGuard <Versión>

5. Haga clic en Next.

6. Seleccione la configuración que se importará y haga clic en Next.

7. Durante la importación, GFI LanGuard le preguntará si desea invalidar o conservar su configuraciónexistente. Seleccione:


Yes Invalidar la configuración actual a través de la configuración importada.

No Conservar la configuración actual e ignorar la configuración importada.

Auto Rename Cambiar el nombre de la configuración importada y mantener la configuración actual.

Tabla 11: Opciones de invalidación de importación

8. Haga clic en OK cuando haya finalizado.


2.6 Prueba de la instalación

Una vez que GFI LanGuard esté instalado, pruebe la instalación ejecutando un examen local paraasegurarse de que esté correctamente instalado.


Captura de pantalla 7: Inicio de un examen

2. En la página de inicio de GFI LanGuard, haga clic en Launch a Scan.

Captura de pantalla 8: Propiedades de Launch a scan

3. En el menú desplegable de Scan Target, seleccione localhost.

4. En el menú desplegable de Profile, seleccione Full Scan.

5. Haga clic en Scan para iniciar el examen en el equipo local.

6. El progreso del examen se muestra en la ficha Scan.


Captura de pantalla 9: Resumen de resultados de examen

7. Una vez completado el proceso, en la sección Progress aparecerá información general delresultado del examen.

8. Utilice las secciones Scan Results Details y Scan Results Overview para analizar el resultado delexamen. Para obtener más información, consulte Interpretación de resultados de exámenes manuales(página 108).

GFI LanGuard 3Obtención de resultados | 38

3 Obtención de resultados

En este capítulo se proporcionan instrucciones paso a paso para fortalecer la seguridad y la integridadde su red utilizando GFI LanGuard. A través de este capítulo, usted puede obtener resultados deadministración de revisiones, de administración de vulnerabilidades y de cumplimiento legal positivos,y al mismo tiempo asegurarse de que su red esté protegida con las técnicas y los métodos dedetección de vulnerabilidades más actualizados.


3.1 Evaluación eficaz de vulnerabilidades 38

3.2 Administración eficaz de revisiones 39

3.3 Utilización de GFI LanGuard para el seguimiento de recursos 40

3.4 Análisis actualizado de redes y software 41

3.5 Cumplimiento de PCI DSS 43

3.1 Evaluación eficaz de vulnerabilidades

Para desarrollar una estrategia de administración de vulnerabilidades eficaz, siga los pasos descritosa continuación:

1. Mantenga GFI LanGuard actualizado.Asegúrese de que el equipo en el que GFI LanGuard esté instalado cuentecon acceso a Internet. GFI LanGuard realiza comprobaciones diarias en buscade información actualizada.

Si se emplea un servidor proxy, consulte Configurar parámetros proxy.

Si no se cuenta con acceso a Internet en el equipo en el que GFI LanGuardse encuentra instalado, consulte Instalación manual de actualizaciones delprograma.

2. Realice auditorías de seguridad de forma regular.Exámenes programados de agentes

Exámenes manuales

Exámenes programados

3. Implemente actualizaciones de seguridad faltantes y quite aplicaciones noautorizadas.

Configuración de la corrección automática de agentes

Configuración de la corrección automática

Implementación de revisiones de seguridad y Service Pack

Desinstalación de revisiones de software y Service Pack


4. Investigue y corrija otros problemas de seguridad.Implementación de software personalizado

Acciones de protección de malware

Desinstalación de aplicaciones personalizadas

Utilización de asistencia remota

5. Verifique el estado de la red.Utilice Dashboard para supervisar y visualizar el estado de su red. Para obte-ner más información sobre Dashboard, consulte Utilización de Dashboard

3.2 Administración eficaz de revisiones

GFI LanGuard le permite administrar la implementación de revisiones en su red.

GFI LanGuard puede admitir actualizaciones de revisiones para lo siguiente:Sistemas operativos Windows®

Aplicaciones de Microsoft®

Se utiliza con mayor frecuencia en aplicaciones de terceros (productosAdobe, tiempos de ejecución Java y exploradores web)

Sistemas operativos MAC

Sistemas operativos Linux

1. Utilice Dashboard para visualizar revisiones faltantes:Vista Patches

2. Personalice el perfil de detección de las revisiones:Configuración de revisiones

3. Corrija vulnerabilidades relacionadas con revisiones faltantes:Implementación de revisiones de seguridad y Service Pack

Desinstalación de revisiones de software y Service Pack




http://go.gfi.com/?pageid=lan_macsupport


3.3 Utilización de GFI LanGuard para el seguimiento de recursos

Los dispositivos no administrados u olvidados representan un riesgo de seguridad. Complete lossiguientes pasos para realizar el seguimiento de dispositivos no administrados y olvidados:

1. Detecte automáticamente nuevos dispositivos en su redGFI LanGuard detecta de forma automática equipos nuevos en su red:

Enumerate Computers

Network discovery

2. Implemente agentes en equipos recientemente detectadosDeploying Agents

Deploy Agents Manually

Agent Properties

Agents Settings

3. Utilice Dashboard para visualizar vulnerabilidades relacionadas conequipos nuevos

Información general

Vista Computers

Vista Vulnerabilities

Vista Software

Vista Hardware

Vista System Information


3.4 Análisis actualizado de redes y software

El análisis de redes le permite conocer en mayor profundidad lo que sucede en su red, ya que detectalas configuraciones y aplicaciones que plantean un riesgo de seguridad en su red. Tales problemas sepueden identificar utilizando las siguientes funciones:

Vistas y herramientas de GFI LanGuardVista Software: obtenga una vista detallada de todas las aplicaciones ins-taladas en la red.

Vista Hardware: controle el inventario de hardware de la red.

System Information: vea información de seguridad confidencial y detalladasobre los sistemas presentes en la red.

History: obtenga una lista de cambios de seguridad confidenciales que se pro-dujeron en la red

Software Audit: genere un informe abarcador acerca de las aplicaciones ins-taladas en la red.

Corrección de problemasCorrección de vulnerabilidades

Configuración de la desinstalacion automática de aplicaciones no auto-rizadas

Implementación de software personalizado

Desinstalación de aplicaciones personalizadas

Utilización de asistencia remota

3.4.1 Sistemas operativos Linux

GFI LanGuard le permite realizar exámenes e implementaciones para distribuciones de Linux. Elsiguiente es un conjunto de sistemas operativos Linux:

Sistema operativo Linux Versión

Linux Redhat Enterprise

Cent OS

Debian

Ubuntu

Suse Linux Enterprise

Open Suse

Los destinos de Linux anteriores deben:


NOTA:

Contar con conexión a Internet

Estar configurados para utilizar un proxy local para actualizaciones específicas.

Se necesita acceso a la raíz para realizar exámenes en busca de revisiones fal-tantes.


3.5 Cumplimiento de PCI DSS

Cumpla totalmente con el estándar PCI DSS, el estricto estándar de seguridad diseñado por lasempresas de tarjetas de crédito más importantes del mundo. Al brindar una administración devulnerabilidades completa e informes exhaustivos, GFI LanGuard se convierte en una solución esencialpara que usted cuente con asistencia para su programa de cumplimiento de PCI. Para obtener másinformación acerca de cómo cumplir con el PCI DSS, utilice los siguientes enlaces:

Formulario de registro para el cumplimiento con el estándar PCI DSS yproductos de software GFI.

http://go.gfi.com/?pageid=PCIDSS_Compliance_Whitepaper

Prácticas recomendadasRealice evaluaciones de vulnerabilidades de forma regular. Consulte Examen de sured.

Corrija vulnerabilidades e implemente revisiones faltantes. Consulte Corrección devulnerabilidades.

Genere informes y visualice el estado de su infraestructura. Consulte Informes.

Asegúrese de que haya software antispyware y antivirus instalado y activo en losequipos de destino. Para lograr esto, realice un examen en sus destinos utilizando elperfil de detección de Auditoría de software del grupo auditoría de software yredes. Para obtener más información, consulte Perfiles de detección disponibles(página 65).

Asegúrese de que haya un cortafuegos personal instalado y activo en los equipos dedestino. Para obtener más información, consulte Exámenes manuales (página 67).

Asegúrese de que haya software de cifrado instalado en su red. Para obtener másinformación, consulte Exámenes manuales (página 67).

Otros productos GFI que pueden ayudarlo a lograr el cumplimientoGFI VIPRE: solución antivirus, antispyware y de cortafuegos personal

GFI EventsManager: solución de administración de registros

GFI EndPointSecurity: solución de bloqueo de dispositivos

http://go.gfi.com/?pageid=LAN_PCIDSS_Compliance_Whitepaper

http://www.gfi.com/business-antivirus-software

http://www.gfi.com/eventsmanager

http://www.gfi.com/usb-device-control

GFI LanGuard 4 Administración de agentes | 44

4 Administración de agentes

GFI LanGuard se puede configurar para implementar agentes de forma automática en equipos reciéndetectados o manual en equipos seleccionados. Los agentes permiten realizar auditorías con mayorrapidez y reducen drásticamente la utilización de ancho de banda de red. Cuando se utilizan agentes,las auditorías se realizan utilizando el poder de recursos del destino de examen. Una vez que unaauditoría finaliza, los resultados se transfieren a GFI LanGuard en un archivo XML.


4.1 Implementación de agentes 44

4.2 Implementación manual de agentes 46

4.3 Propiedades de los agentes 48

4.4 Configuración de agentes 53

4.5 Configuración de agentes de retransmisión 54

4.6 Administración de grupos de agentes 62

4.1 Implementación de agentes

Para implementar agentes de GFI LanGuard en equipos de red:


2. En el menú Home, seleccione Manage Agents. Como alternativa, haga clic en la fichaConfiguration y después en Agents Management.


Captura de pantalla 10: Manage agents

3. En Common Tasks, haga clic en Deploy Agents para seleccionar los equipos de examen de destino yhaga clic en Next. Seleccione una de las opciones descritas a continuación:


LocalDomain

Permite implementar agentes en todos los equipos que están al alcance dentro del mismo grupo de trabajo odominio en el que GFI LanGuard está instalado. No se requiere configuración adicional en el paso Define tar-get.

Custom Permite implementar agentes en equipos o grupos de equipos específicos. Agregue nuevas reglas para la bús-queda o especifique equipos de examen de destino.

Tabla 12: Selección de destinos

4. Si se selecciona la opción Custom, haga clic en Add new rule y elija el tipo de regla (Rule type)descrito a continuación:

Tipo deregla

Descripción

Computername is

Introduzca manualmente un nombre de equipo o importe los nombres desde un archivo de texto (.txt)guardado. Haga clic en Select y seleccione manualmente equipos de la lista, o haga clic en Import y espe-cifique la ubicación del archivo de texto.

Domainname is

Permite seleccionar dominios de la lista de dominios que están al alcance.

Organizationunit is

Permite seleccionar equipos de una o más unidades organizativas que estén al alcance. Utilice lassiguientes opciones:

Retrieve: permite especificar el nombre de usuario y la contraseña para recuperar la lista

Refresh: permite actualizar la lista de dominios y unidades organizativas

Add: permite agregar manualmente una unidad organizativa.

Tabla 13: Opciones de reglas personalizadas


Repita el paso 4 para cada regla. Una vez completado el proceso, haga clic en OK.

5. En el cuadro de diálogo Deploy Agents haga clic en Next.

6. (Opcional) Seleccione Authenticate utilizando la casilla de verificación para especificarcredenciales alternativas.

7. (Optional) Haga clic en Advanced Settings y configure los parámetros de las siguientes fichas:

Ficha Descripción

General Permite configurar la programación según la que GFI LanGuard realizará de forma automática un examenen busca de nuevos equipos en el perímetro de la red en los que haya agentes habilitados.

Audit Sche-dule

Permite configurar la frecuencia con que el agente realiza la auditoría del equipo host (en el que seencuentra instalado el agente). Seleccione el patrón de recursividad, la hora a la que se iniciará la audi-toría y el perfil de examen que se utilizará.

Auto reme-diation

Permite configurar GFI LanGuard para que descargue e instale de forma automática revisiones y ServicePack faltantes. Desinstale aplicaciones no autorizadas en los equipos examinados. Para obtener másinformación, consulte Corrección automática (página 121).

Tabla 14: Deploy Agents: Configuración avanzada

8. Haga clic en Next y Finish para completar la implementación del agente.

4.2 Implementación manual de agentes

Para implementar agentes de forma manual:

1. Inicie GFI LanGuard y seleccione Dashboard.

2. En Common Tasks, seleccione Add more computers.

Captura de pantalla 11: Add more computers: selección del tipo de importación


3. En el asistente Add more computers, seleccione una de las siguientes opciones:


Add computersfrom thenetwork

Seleccione dominios, unidades organizativas y equipos de la lista. Utilice Add domain para agregar unnuevo dominio a la lista de equipos.

Add computersfrom a textfile

Importe la lista de equipos desde un archivo de texto. Haga clic en Browse y localice el archivo detexto que contiene la lista de equipos.

Add computersmanually

Cree una lista de equipos manualmente. Utilice los botones Add y Remove para agregrar y quitar equi-pos de la lista. Utilice los botones Import y Export para importar y exportar la lista desde\t un archivode texto.

Tabla 15: Asistente Add more computers

Haga clic en Next.

Captura de pantalla 12: Add more computers: asignación de atributos a nuevos equipos

4. Se pueden asignar atributos personalizados a equipos específicos para facilitar el agrupamiento yfiltrado. En el asistente Assign attributes, configure lo siguiente:


Skip attri-butes assig-nment

No se agregan atributos a la lista de equipos.

Tabla 16: Configuración de atributos



Assign customattributes

Permite asignar atributos a la lista de equipos. Haga clic en el botón Add y especifique el nombre y elvalor del nuevo atributo.

NotaCuando se importa una lista de equipos desde un archivo de texto, GFI LanGuard asigna de formaautomática el nombre de archivo como un atributo (archivo) a la lista importada.

5. Haga clic en Finish.

Nota

Si los equipos seleccionados tienen credenciales de inicio de sesión diferentes de las delequipo con GFI LanGuard, GFI LanGuard inicia un cuadro de diálogo que le permiteespecificar credenciales válidas.

6. Una vez que los equipos se agreguen a la lista, haga clic en Close.

7. En el árbol de equipos, haga clic con el botón secundario en los equipos recientemente agregados,seleccione aquel en el que se implementará el agente y, en Agent Status, haga clic en Deploy Agent.

8. Configure las propiedades del agente. Para obtener más información, consulte Propiedades de losagentes (página 48).

4.3 Propiedades de los agentes

Para modificar las propiedades de los agentes:

1. Haga clic en la ficha Configuration y después en Agents Management.

2. En el panel derecho, haga clic en un agente con el botón secundario y seleccione Properties.

Nota

El acceso al cuadro de diálogo Properties también es posible desde el árbol de equiposde Dashboard. Haga clic con el botón secundario en un equipo o grupo y seleccioneProperties.


Captura de pantalla 13: Propiedades de agentes: ficha General

3.(Opcional) En la ficha General, especifique el nombre, el tipo y el método de autenticación para elagente seleccionado.


Captura de pantalla 14: Propiedades de los agentes: ficha Agent Status

4. En la ficha Agent Status, habilite o deshabilite la implementación del agente haciendo clic enDeploy agent o Uninstall agent.

5. Haga clic en Change scan schedule… para configurar la programación del examen del agenteseleccionado.

6. En el menú desplegable de Scanning profile, seleccione el perfil de detección activo.

7. En Auto remediation settings, haga clic en Change settings… para habilitar o deshabilitar lacorrección automática del agente. Para obtener más información, consulte Configuración de opcionesde corrección automática (página 131).


Captura de pantalla 15: Propiedades de agentes: ficha Attributes

8. Haga clic en la ficha Attributes para administrar los atributos asignados al equipo seleccionado.Utilice los botones Add..., Edit... y Remove para administrar los atributos.


Captura de pantalla 16: Propiedades de los agentes: ficha Relays

9. Haga clic en la ficha Relays para configurar agentes de retransmisión. Los agentes de retransmisiónpermiten que los equipos que no sean el que aloja a GFI LanGuard funcionen como servidor de GFILanGuard. Esto le permite cargar o equilibrar el tráfico dirigido a dicho equipo y optimizar elrendimiento del examen de redes.

10. Configure las opciones descritas a continuación:


Set asrelay...

Permite establecer el equipo seleccionado como agente de retransmisión. El equipo seleccionadoenviará actualizaciones y revisiones del producto a otros agentes para reducir la carga del equipo conGFI LanGuard. Haga clic en Set as relay... y siga los pasos del asistente de configuración.

Removerelay...

Permite eliminar el rol de agente de retransmisión del equipo seleccionado. Haga clic en Removerelay... y siga los pasos del asistente de configuración.

Connectdirectly toGFI LanGuardserver

El equipo seleccionado descargará actualizaciones y revisiones del producto del servidor de GFILanGuard.

Use relayagent

El equipo seleccionado utilizará un agente de retransmisión para descargar actualizaciones y revisionesdel producto. Seleccione el agente de retransmisión que utilizará en la lista desplegable.

Tabla 17: Opciones de agentes de retransmisión

11. (Opcional) Haga clic en Advanced Settings... y configure las siguientes opciones:



Caching direc-tory

Todas las revisiones y actualizaciones se almacenan en esta ubicación antes de la instalación en elequipo cliente.

Port where toserve

Puerto utilizado por el agente de retransmisión para las solicitudes.

Address whereto server

Dirección utilizada por equipos clientes para conectarse al agente de retransmisión (de forma pre-determinada, se utiliza el nombre de host DNS).

Tabla 18: Configuración avanzada de agentes de retransmisión

12. Haga clic en OK dos veces.

4.4 Configuración de agentes

Para configurar parámetros de agente adicionales:

1. En la ficha Configuration, seleccione Agents Management.

2. Haga clic en Agents Settings.

Captura de pantalla 17: Configuración de agentes: ficha General



Autouninstall

Fije el número de días después de los cuales los agentes de GFI LanGuard se desinstalarán de manera auto-mática si el equipo host no responde durante el periodo de días fijado.

Tabla 19: Configuración de agentes



Agentsreportusing

Configure el puerto y la dirección IP que los agentes utilizarán para comunicarse e informar el estado a GFILanGuard. Cuando el equipo con GFI LanGuard cuenta con varias direcciones IP y se selecciona la con-figuración Default, GFI LanGuard selecciona de forma automática la dirección IP que se utilizará.

Captura de pantalla 18: Configuración de agentes: ficha Advanced

4. (Opcional) Haga clic en la ficha Advanced y seleccione Create temporary custom share. Cuandoesta opción está habilitada y los recursos compartidos se deshabilitan en equipos de agentes, GFILanGuard crea una carpeta temporal compartida para transferir la información.

5. Haga clic en OK para guardar y cerrar el cuadro de diálogo.

ADVERTENCIA

La comunicación en el puerto TCP 1070 debe estar habilitada en el cortafuegos deWindows para que los agentes de GFI LanGuard envíen datos aGFI LanGuard.

4.5 Configuración de agentes de retransmisión

En redes más grandes, es posible que experimente una caída en el rendimiento debido al número dedestinos de examen y al volumen de datos transferidos al componente del servidor de GFI LanGuard.Esto da lugar a una velocidad de examen y una obtención de datos de examen más reducidas.


Con el fin de evitar problemas de rendimiento y aplicar técnicas de estabilización de carga, GFILanGuard le permite configurar agentes para que funcionen como agentes de retransmisión delservidor. Los agentes configurados como agentes de retransmisión descargan revisiones y definicionesdirectamente del servidor de GFI LanGuard y las reenvían a equipos clientes (que pueden basarse enagentes y no tener agentes). Las ventajas principales de utilizar agentes de retransmisión son lassiguientes:

El consumo de ancho de banda se reduce en redes locales o distribuidas geográficamente. Si seconfigura un agente de retransmisión en cada sitio, una revisión se descarga solo una vez y se dis-tribuye a los equipos clientes.

La carga de rendimiento del componente del servidor de GFI LanGuard se reduce y se distribuyeentre los agentes de retransmisión.

La utilización de agentes de retransmisión aumenta el número de dispositivos que se pueden pro-teger de forma simultánea.

Los agentes de retransmisión tienen el mismo comportamiento que GFI LanGuard y puedenadministrar operaciones de auditoría de seguridad y corrección, y otros destinos de examenconectados al agente de retransmisión.

Consulte las secciones siguientes para obtener información sobre lo que se muestra a continuación:

Configuración de un agente como relé

Configuración de opciones avanzadas de agentes de retransmisión

Conexión de equipos a un agente de retransmisión

4.5.1 Configuración de un agente como relé

Para configurar un agente de modo que funcione como agente de retransmisión:

Nota

El equipo en el que GFI LanGuard esté instalado no se puede configurar como agente deretransmisión. La ficha Relays del cuadro de diálogo Properties falta para el host de GFILanGuard.

1. Abra GFI LanGuard.


3. Haga clic con el botón secundario en el agente que desee configurar y seleccione Properties. Estoabrirá el cuadro de diálogo de Properties de agentes.

Nota

3. Como alternativa, haga clic con el botón secundario en un equipo o grupo de equiposdel árbol de equipos y seleccione Properties.


Captura de pantalla 19: Cuadro de diálogo de propiedades de agentes

4. En la ficha Relays, haga clic en Set as relay...


Captura de pantalla 20: Asistente Set computer as relay

5. Lea detenidamente la advertencia acerca de los requisitos de recursos para el equipo en el que seejecuta un agente de retransmisión. Haga clic en Next.


Captura de pantalla 21: Elija un directorio de almacenamiento en caché para el nuevo agente de retransmisión

6. Elija la ubicación de almacenamiento en caché para el agente de retransmisión. El agente deretransmisión utiliza el directorio de almacenamiento para guardar información de auditorías ycorrecciones cuando se realiza la auditoría de equipos remotos. De forma predeterminada, se crea lacarpeta RelayCache en C:\ProgramData\GFI\LanGuard 11\RelayCache. Haga clic en Next.

Nota

Utilice el marcador %AgentData% para hacer referencia rápidamente a la carpeta dedatos del agente.


Captura de pantalla 22: Paso de resumen configuración

7. Haga clic en Finish.

Nota

Cuando se hace clic en Finish, el agente seleccionado se configura como agente deretransmisión. Puede controlar este proceso desde Dashboard > Overview > Agentstatus.

4.5.2 Configuración de las opciones avanzadas de agentes de retransmisión

Para configurar las opciones avanzadas de los agentes de retransmisión:




Nota



Captura de pantalla 23: Propiedades de agentes de retransmisión: configuración avanzada

4. Haga clic en la ficha Relays y después en Advanced settings...

Captura de pantalla 24: Cuadro de diálogo Relay Agent Advanced Settings


5. En el cuadro de diálogo Relay Agent Advanced Settings, configure las opciones descritas acontinuación:


Cachingdirectory

Ubicación en la que el agente de retransmisión almacena información en caché cuando se realiza la audi-toría de equipos remotos.

Address Muestra el nombre del equipo en el que se ejecuta el agente de retransmisión. Haga clic en Default pararestaurar el valor original del campo.

TCP port Puerto de comunicaciones que utiliza el agente de retransmisión para comunicarse con el servidor de GFILanGuard. El puerto 1070 se asigna de forma predeterminada y se cambia automáticamente si GFI LanGuarddetecta que otra aplicación lo utiliza.

Tabla 20: Agentes de retransmisión: opciones avanzadas

6. Haga clic en OK.

4.5.3 Conexión de equipos a un agente de retransmisión

Para conectar un equipo a un agente de retransmisión:




Nota


4. Haga clic en la ficha Relays.


Captura de pantalla 25: Conexión a un agente de retransmisión

5. En el área Assign a relay agent, seleccione Use relay agent y elija el agente de retransmisión en elmenú desplegable.

6. Haga clic en OK.

4.6 Administración de grupos de agentes

El árbol de equipos le permite configurar propiedades de agentes de grupos de equipos. Paraconfigurar propiedades de grupos de equipos:

1. En el árbol de equipos, haga clic con el botón secundario en un grupo de equipos y con el principalen Properties.

2.(Opcional) En la ficha General, especifique el nombre, el tipo y el método de autenticación para elgrupo seleccionado.

3. Seleccione la ficha Agent Status y configure las siguientes opciones:


Enable auto-matic agentsdeployment

Permite implementar agentes de forma automática en equipos recién detectados.

Remove allagents

Permite quitar todos los agentes instalados de este grupo.

Tabla 21: Estado del grupo de agentes



Change scanschedule

Permite configurar la programación, el momento en que GFI LanGuard buscará nuevos equipos.

Scanning profile Configure la programación de auditoría; el momento en que los equipos de destino se examinarán.

Auto reme-diation settings

Permite configurar las acciones de corrección automática que se realizarán en todos los equipos deeste grupo. Para obtener más información, consulte Configuración de la corrección automática deagentes (página 142).

4. Seleccione Network Discovery y configure las siguientes opciones:


Check automatically for new machinesin this group

GFI LanGuard buscará equipos nuevos de forma automática.

Change schedule Permite cambiar la programación del momento en que GFI LanGuard buscaránuevos equipos.

Run now Permite ejecutar la detección de red.

Scan OU recursively Permite realizar, de manera recursiva, ciclos en todas las unidades orga-nizativas e inscribir equipos.

Tabla 22: Detección de red de grupos de agentes

5. Seleccione la ficha Attributes para administrar los atributos asignados al equipo seleccionado.Utilice los botones Add..., Edit... y Remove para administrar los atributos.

Captura de pantalla 26: Atributos de agentes


6. Haga clic en la ficha Relays para configurar agentes de retransmisión. Los agentes de retransmisiónpermiten que los equipos que no sean el que aloja a GFI LanGuard funcionen como servidor de GFILanGuard. Esto le permite cargar o equilibrar el tráfico dirigido a dicho equipo y optimizar elrendimiento del examen de redes.

Captura de pantalla 27: Agentes de retransmisión

7. Configure las opciones que se describen a continuación:


Connect directly toGFI LanGuard ser-ver

El equipo seleccionado descargará actualizaciones y revisiones del producto del servidor de GFILanGuard.

Use relay agent El equipo seleccionado utilizará un agente de retransmisión para descargar actualizaciones y revi-siones del producto. Seleccione el agente de retransmisión que utilizará en la lista desplegable.

Tabla 23: Opciones de agentes de retransmisión

Nota

Algunas opciones se encuentran deshabilitadas debido a que solo se aplican a equiposindividuales.

8. Haga clic en OK.

GFI LanGuard 5 Examen de su red | 65

5 Examen de su red

En este capítulo se le proporciona información acerca de los diferentes perfiles de detección que seincluyen en GFI LanGuard y también de cómo desencadenar de forma inmediata o programadaexámenes manuales. Seleccione el perfil de detección y el modo de deteccción más apropiados (porejemplo, la utilización o no utilización de agentes) según la disponibilidad y la ubicación de susdestinos de examen.


5.1 Acerca de los perfiles de detección 65

5.2 Perfiles de detección disponibles 65

5.3 Exámenes manuales 67

5.4 Habilitación de directivas de auditoría de seguridad 70

5.5 Exámenes programados 71

5.6 Exámenes programados de agentes 81

5.1 Acerca de los perfiles de detección

GFI LanGuard le permite examinar su infraestructura de TI en busca de vulnerabilidades específicasutilizando conjuntos de comprobaciones preestablecidos conocidos como “perfiles de detección”. Losperfiles de detección le permiten examinar sus destinos de red y enumerar únicamente informaciónespecífica. Por ejemplo, es posible que desee utilizar un perfil de detección que esté configurado parautilizarse al examinar los equipos de su DMZ en contraposición a su red interna.

En la práctica, los perfiles de detección le permiten centrar sus esfuerzos de examen devulnerabilidades en una área específica de su infraestructura de TI, como la identificación exclusivade actualizaciones de seguridad faltantes. El beneficio es que el número de datos de resultados deexamen que debe analizar es inferior, lo que restringe el alcance de su investigación y le permitelocalizar con rapidez y facilidad la información que requiere.

A través de varios perfiles de detección, puede realizar diferentes auditorías de seguridad de red sinnecesidad de volver a configurar cada tipo de examen de seguridad requerido.

5.2 Perfiles de detección disponibles

GFI LanGuard incluye los perfiles de detección predeterminados descritos en las secciones anterioresPara crear sus propios perfiles de detección personalizados, consulte Creación de un nuevo perfil dedetección. Utilice la información proporcionada en las siguientes secciones para comprender lo quecada perfil de detección detectará en sus destinos de examen:

Perfiles de exámenes completos o de combinación

Perfiles de evaluación de vulnerabilidades

Perfiles de auditoría de redes y de software

5.2.1 Exámenes completos o de combinación


Perfiles de exámenes completos o de combinación

Full Vul-nerabilityAssessment

Utilice este perfil de detección para enumerar vulnerabilidades de red en particular, como puertos TCPy UDP abiertos comúnmente explotados por troyanos además de revisiones y Service Pack faltantes. Lalista de vulnerabilidades enumeradas por este perfil se puede personalizar a través de la ficha Vul-nerabilities. Las aplicaciones y los dispositivos USB instalados no se enumeran a través de este perfil.Este perfil realizará un examen en busca de vulnerabilidades. Esto incluye vulnerabilidades que cuen-tan con una revisión de Microsoft® asociada y se consideran como revisiones faltantes.

Full Scan(Active)

Utilice este perfil de detección para recuperar información del sistema y examinar su red en busca detodas las vulnerabilidades admitidas, incluidos los puertos TCP y UDP abiertos, las revisiones y los Ser-vice Pack faltantes, los dispositivos USB conectados y más. Los tiempos de espera de las comprobacionesde vulnerabilidades de este perfil se configuran de forma específica para adaptarse al tráfico de red y alas demoras de transmisión que generalmente se asocian con los entornos de LAN.

Full Scan(Slow Netwo-rks)

Utilice este perfil de detección para recuperar información del sistema y examinar su red en busca detodas las vulnerabilidades admitidas, incluidos los puertos TCP y UDP abiertos, las revisiones y los Ser-vice Pack faltantes, los dispositivos USB conectados y más... Los tiempos de espera de las com-probaciones de vulnerabilidades de este perfil se configuran de forma específica para adaptarse altráfico de red y a las demoras de transmisión que generalmente se asocian con los entornos de WAN.

Tabla 24: Perfiles de detección completos o de combinación

5.2.2 Evaluación de vulnerabilidades

Perfiles de evaluación de vulnerabilidades

Top SANS 20Vulnerabilities

Utilice este perfil de detección para enumerar todas las vulnerabilidades informadas en la lista de las20 directrices principales del SANS.

High SecurityVulnerabilities

Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos y vulnerabilidades de segu-ridad altas. La lista de puertos TCP y UDP y de vulnerabilidades de seguridad altas que este perfil enu-merará se puede personalizar a través de las fichas TCP Ports, UDP Ports y Vulnerabilitiesrespectivamente.

Last Year's Vul-nerabilities

Utilice este perfil de detección para enumerar vulnerabilidades de red que se produjeron durante losúltimos 12 meses.

Only Web Utilice este perfil de detección para identificar vulnerabilidades específicas de servidores web. Estoincluye la detección y enumeración de puertos TCP abiertos utilizados con más frecuencia por ser-vidores web, como el 80. Solo los puertos TCP utilizados con frecuencia por servidores web se exa-minan a través de este perfil. Las operaciones de auditoría de red, además de la enumeración devulnerabilidades y revisiones faltantes no se realizan con este perfil.

MissingPatches

Utilice este perfil de detección para enumerar revisiones faltantes. La lista de revisiones faltantesque este perfil enumerará se puede personalizar a través de la ficha Patches.

CriticalPatches

Utilice este perfil de detección para enumerar únicamente revisiones faltantes etiquetadas como crí-ticas. La lista de revisiones críticas que este perfil enumerará se puede personalizar a través de laficha Patches.

Last Month'sPatches

Utilice este perfil de detección para enumerar únicamente revisiones faltantes publicadas el mespasado. La lista de revisiones faltantes que este perfil enumerará se puede personalizar a través de laficha Patches.

Only ServicePacks

Utilice este perfil de detección para enumerar Service Pack faltantes. La lista de Service Pack fal-tantes que este perfil enumerará se puede personalizar a través de la ficha Patches.

Non-Microsoft®

Patches

Utilice este perfil de detección para enumerar revisiones faltantes de terceros, como productosAdobe.

SecurityPatches

Utilice este perfil de detección para enumerar revisiones de seguridad faltantes que pertenecen aMicrosoft® y no pertenecen a Microsoft® en sus destinos de examen.

Tabla 25: Perfiles de detección de evaluación de vulnerabilidades

5.2.3 Auditoría de redes y software


Perfiles de auditoría de redes y software

TrojanPorts

Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos comúnmente explotados portroyanos conocidos. La lista de puertos TCP y UDP que se examinarán se puede personalizar a través delas fichas TCP Ports y UDP Ports respectivamente. A través de este perfil solo se examinarán los puertosTCP y UDP comúnmente explotados por troyanos conocidos. Las operaciones de auditoría de red, ademásde la enumeración de otros puertos TCP y UDP abiertos y revisiones faltantes no se realizan con este per-fil.

Port Scan-ner

Utilice este perfil de detección para enumerar puertos TCP y UDP abiertos, incluidos aquellos más común-mente explotados por troyanos. La lista de puertos faltantes que este perfil enumerará se puede per-sonalizar a través de las fichas TCP Ports y UDP Ports.

SoftwareAudit

Utilice este perfil de detección para enumerar todas las aplicaciones de software instaladas en los des-tinos de examen. Esto incluye software de seguridad, como antivirus y antispyware.

Full TCP &UDP Scan

Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los puertos TCP yUDP.

Only SNMP Utilice este perfil de detección para realizar la detección de red y recuperar información relacionada condispositivos de hardware (enrutadores, connmutadores, impresoras, etc.) con SNMP habilitado. Esto lepermite controlar dispositivos conectados a la red en busca de condiciones que demanden atención admi-nistrativa.

Ping ThemAll

Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los puertos actual-mente conectados y en ejecución.

Share Fin-der

Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los recursos com-partidos abiertos, ocultos o visibles. No se realizan comprobaciones de vulnerabilidades a través de esteperfil.

Uptimes Utilice este perfil de detección para realizar una auditoría de su red e identificar el tiempo durante elcual cada equipo ha funcionado desde el último reinicio.

Disks SpaceUsage

Utilice este perfil de detección para realizar una auditoría de su red y recuperar información del sistemarelacionada con el espacio de almacenamiento disponible.

Informacióndel sistema

Utilice este perfil de detección para recuperar información del sistema, como detalles del sistema ope-rativo, dispositivos de red inalámbricos, virtuales o físicos conectados, dispositivos USB conectados, apli-caciones instaladas y más.

HardwareAudit

Utilice este perfil de detección para realizar una auditoría de su red y enumerar todos los dispositivos dehardware actualmente conectados a sus equipos de red.

NetworkDiscovery

Utilice este perfil de detección para enumerar cualquier dispositivo habilitado para IP conectado a sured.

Tabla 26: Auditoría de redes y software

5.3 Exámenes manuales

El examen manual es el proceso por el que se realizan auditorías en equipos de destino sin utilizaragentes. Para realizar un examen manual en un equipo específico:


2. En la ficha Home haga clic en Launch a Scan. Como alternativa, haga clic en la ficha Scan.

Captura de pantalla 28: Configuración de exámenes manuales

3. En el menú desplegable Scan Target, seleccione el equipo o grupo de equipos de destino de examenque se examinarán utilizando las siguientes opciones:



localhost Permite realizar una auditoría del localhost en el que GFI LanGuard está instalado.

Domain: primarydomain

Permite realizar una auditoría de todo el dominio o grupo de trabajo del equipo o servidor en losque GFI LanGuard está instalado.

Tabla 27: Opciones de destinos durante auditorías

Nota

De forma opcional, en el árbol de equipos, haga clic con el botón secundario en unequipo o grupo de equipos y seleccione Scan > Custom Scan.

4. Haga clic en el botón de exploración (...) para definir reglas personalizadas para agregar destinosde examen.

Captura de pantalla 29: Propiedades personalizadas de los destinos

5. En el cuadro de diálogo Custom target properties, haga clic en los enlaces Add new rule... paracrear una regla personalizada para equipos que desee examinar o excluir de los exámenes.


Captura de pantalla 30: Add new rule...

6. En el cuadro de diálogo Add new rule..., seleccione el Rule type descrito a continuación paraagregar equipos:

Rule type Descripción

Computername is

Permite buscar y agregar equipos por nombre. Escriba un nombre de equipo válido y haga clic en Addpara cada equipo. Haga clic en OK para aplicar los cambios.

Computersfile list is

Permite buscar y agregar equipos desde un archivo de texto. Haga clic en el botón de exploración ylocalice el archivo de texto. Haga clic en OK para aplicar los cambios.

NotaCuando envíe una lista de equipos de destino del archivo, asegúrese de que este último contengaúnicamente un nombre de equipo de destino por línea.

Domainname is

Permite buscar y agregar equipos que pertenecen a un dominio. Seleccione los dominios de la lista yhaga clic en OK.

IP address is Permite buscar y agregar equipos por dirección IP. Seleccione This computer para agregar el localhost oScan another computer para agregar un equipo remoto. Escriba la dirección IP si es necesario y haga clicen OK.

IP addressrange is

Permite buscar y agregar equipos dentro de un intervalo de IP. Seleccione Scan an IP address range yescriba el intervalo de IP o elija la subred CIDR y escriba el intervalo utilizando notación CIDR.

NotaEl Enrutamiento de interdominios sin clases (CIDR) proporciona una forma alternativa de especificarun intervalo de direcciones IP. La notación es la siguiente: <Dirección base> / <prefijo dered IP>. Ejemplo: 192.168.0.0/16

Organizationunit is

Permite buscar y agregar equipos dentro de una unidad organizativa. Haga clic en Select y, en la lista,elija las unidades organizativas. Haga clic en OK.

Tabla 28: Propiedades personalizadas de los destinos


7. Una vez que se agreguen las reglas, haga clic en OK para cerrar el cuadro de diálogo Add newrule... Haga clic en OK para cerrar el cuadro de diálogo Custom target properties y regresar a laconfiguración de exámenes.

8. En el menú desplegable Profile, seleccione el perfil de examen que desee que GFI LanGuard activedurante el examen. Para obtener más información, consulte Perfiles de detección disponibles (página65).

9. En el menú desplegable Credentials, seleccione el método de inicio de sesión que GFI LanGuardutilizará para iniciar sesión en los destinos de examen. En la siguiente tabla se describen las opcionesdisponibles:


Currentlylogged on user

Permite utilizar las credenciales del usuario de la sesión actual al iniciar sesión en destinos de exa-men.

Alternative cre-dentials

Permite utilizar credenciales personalizadas. Escriba el nombre de usuario y la contraseña que uti-lizará.

A null session Permite iniciar sesión en destinos de examen utilizando una sesión nula. El usuario iniciará sesión enel equipo de destino como un usuario anónimo.

A private keyfile

Inicie sesión en equipos con UNIX utilizando SSH. Se requiere un nombre de usuario y una contra-seña.

Tabla 29: Opciones de inicio de sesión y auditoría

Nota

Las credenciales proporcionadas deben tener privilegios de administrador para que GFILanGuard inicie sesión en los equipos de destino y realice la auditoría de red.

10.(Opcional) Haga clic en Scan Options y configure las opciones descritas a continuación:


Use per computer cre-dentials when avai-lable

Permite iniciar sesión en los equipos de destino utilizando las credenciales especificadas enDashboard

Remember cre-dentials

Permite utilizar las credenciales configuradas como predeterminadas al realizar una auditoría.

Wake up offline com-puters

GFI LanGuard intenta encender los equipos fuera de línea utilizando Wake on LAN.Para obte-ner más información, consulte Configuración de Wake-on-LAN en destinos de examen (página136).

Shut down computersafter scan

Permite el apagado cuando se completa un examen.

Tabla 30: Opciones de examen

11. Haga clic en Scan para iniciar la auditoría de los destinos seleccionados.

5.4 Habilitación de directivas de auditoría de seguridad

Una parte importante de cualquier plan de seguridad es la capacidad de controlar y someter aauditorías eventos de su red. Los registros de eventos derivados con frecuencia se consultan paraidentificar deficiencias o infracciones de seguridad. Identificar intentos y evitar que se conviertan eninfracciones exitosas en la seguridad de su sistema de seguridad es esencial. En Windows, puedeutilizar Directivas de grupo para configurar una directiva de auditoría que pueda realizar unseguimiento de actividades de usuarios o eventos de sistema en registros específicos.


Para mantenerse al tanto de su directiva de auditoría de sistema, GFI LanGuard recopila losparámetros de directivas de auditorías de seguridad de los equipos de destino y los incluye en elresultado de examen. Para acceder a más información sobre el resultado, haga clic en el nodosecundario Security Audit Policy.

Además de obtener conocimiento sobre los parámetros actuales de las directivas de auditoría,también puede utilizar GFI LanGuard para acceder a los parámetros de las directivas de auditoría desus equipos de destino y modificarlos. Para lograr esto:

1. Después de examinar un equipo remoto, en el panel Scan Results Overview, haga clic con el botónsecundario sobre el equipo de destino correspondiente y seleccione Enable auditing on > Thiscomputer/Selected computers/All computers.

Captura de pantalla 31: Asistente de administración de directivas de auditoría

2. Seleccione o desactive las directivas de auditoría de forma correspondiente y haga clic en Nextpara implementar los parámetros de configuración de directivas de auditoría en los equipos dedestino.

3. En esta etapa, en un cuadro de diálogo se mostrará si la implementación de parámetros dedirectivas de auditoría tuvo éxito o no. Para continuar con la etapa siguiente, haga clic en Next. Hagaclic en Back para implementar nuevamente los parámetros en equipos en los que se produjeronerrores.

4. Haga clic en Finish para finalizar la configuración. Reinicie un examen para actualizar losresultados.

5.5 Exámenes programados

Un examen programado es una auditoría de red programada para funcionar de forma automática enuna fecha y hora específicas y con una frecuencia específica. Los exámenes programados se puedenconfigurar para ejecutarse una vez o de forma periódica. El estado de los exámenes programados secontrola a través de la ficha Activity Monitor y de Security Scans.


GFI recomienda exámenes programados:

Cuando no se implementen agentes de GFI LanGuard en los equipos de destino.

Para realizar de forma automática exámenes de vulnerabilidad de la red periódicos o regularesutilizando los mismos perfiles de detección y parámetros.

Para desencadenar de forma automática exámenes después de las horas de trabajo y generaralertas además de la distribución automática de resultados de examen mediante correo elec-trónico.

Para desencadenar automáticamente opciones de corrección automática (por ejemplo, descargare implementar de forma automática actualizaciones faltantes).

Las secciones siguientes contienen información que le servirá como guía para configurar y ejecutarexámenes programados:

Creación de un examen programado

Edición de parámetros de exámenes programados

Configuración de propiedades de exámenes programados

5.5.1 Creación de un examen programado


2. Haga clic en la ficha Configuration y después en Scheduled Scans.

3. En Common Tasks, seleccione New scheduled scan.

Captura de pantalla 32: Cuadro de diálogo New scheduled scan


4. Seleccione una de las opciones descritas a continuación y haga clic en Next.


Scan a single computer Permite examinar un localhost o un equipo específico.

Scan a range of com-puters

Permite examinar varios equipos definidos a través de un intervalo de IP.

Scan a list of computers Permite crear de forma manual una lista de destinos, importar destinos desde un archivo oseleccionar destinos de la lista de redes.

Scan computers in textfile

Permite examinar destinos enumerados en un archivo de texto específico.

Scan a domains or orga-nizational units

Permite examinar todos los destinos conectados a un dominio o una unidad organizativaespecificados.

Tabla 31: Tipo de examen programado nuevo

5. Según la opción seleccionada en el paso anterior, especifique los detalles de los equipos de destinorespectivos y haga clic en Next.

Captura de pantalla 33: Frecuencia de exámenes programados

6. Especifique la fecha, hora y frecuencia del nuevo examen programado y haga clic en Next.


Captura de pantalla 34: Selección del perfil de detección

7. En el menú desplegable Scan job operation, seleccione el perfil de detección que se utilizarádurante el examen y haga clic en Next. Para obtener más información, consulte Perfiles de deteccióndisponibles (página 65).


Captura de pantalla 35: Credenciales de inicio de sesión remoto

8. (Opcional) Especifique Remote logon credentials y haga clic en Next. Las credenciales de inicio desesión remoto pueden ser una de las siguientes:


GFI LanGuard 11 AttendantService account

Realiza el examen utilizando las credenciales especificadas durante la instalación deGFI LanGuard 2011.

Alternative credentials Permite especificar credenciales alternativas para conectarse a los equipos delexamen.

NotaAsegúrese de que las credenciales proporcionadas tengan privilegiosadministrativos.

SSH Private Key Permite escribir un nombre de usuario y seleccionar el archivo de clave utilizado parainiciar sesión en sistemas basados en UNIX o LINUX.

Use per computer cre-dentials when available

Utilice las credenciales predeterminadas para el examen que se está configurando.

Tabla 32: Credenciales de inicio de sesión remoto


Captura de pantalla 36: Opciones de informes de exámenes programados

9. En Power saving, configure las siguientes opciones:


Wait for offline machi-nes to connect tonetwork

Si se selecciona esta opción,GFI LanGuard intenta esperar que los equipos fuera de línea seconecten a la red.

Attempt to wake upoffline computers

GFI LanGuard intenta encender los equipos fuera de línea utilizando Wake on LAN.Para obte-ner más información, consulte Configuración de Wake-on-LAN en destinos de examen (página136).

Shut down computersafter the job has finis-hed

Una vez se ha examinado que un equipo o se ha realizado una corrección automática, GFILanGuard intenta apagar el equipo si el tiempo se encuentra dentro del periodo especificado.

NotaSi se definen opciones de apagado en las opciones de corrección automática, las opcionesde ahorro de energía se ignoran.

Tabla 33: Opciones de ahorro de energía


Captura de pantalla 37: Opciones de corrección automática de exámenes programados

10. En el cuadro de diálogo de corrección automática, seleccione las opciones requeridas y haga clicen Next. En la siguiente tabla se describe la lista de opciones disponibles:


Download anddeploy missingupdates

Permite, de forma automática, descargar revisiones e implementarlas en equipos de destino.

Download anddeploy missingservice packs andupdate rollups

Permite, de forma automática, descargar Service Pack e implementarlos en equipos de destino.

Uninstall unau-thorized appli-cations

Si se selecciona esta opción, todas las aplicaciones validadas como autorizadas se desinstalarán delequipo examinado (las aplicaciones no autorizadas se definen en el inventario de aplicaciones).Para obtener más información, consulte Configuración de la desinstalacion automática deaplicaciones no autorizadas (página 127).

Configure auto–remediation

Permite quitar de forma automática aplicaciones no autorizadas de equipos de destino. Las apli-caciones no autorizadas se definen en el inventario de aplicaciones. Para obtener más información,consulte Configuración de la desinstalacion automática de aplicaciones no autorizadas (página 127).

View applicationswhich this scanwill uninstall

Haga clic en el enlace para iniciar el cuadro de diálogo de las aplicaciones que se desninstalarán.En este se enumerarán las aplicaciones que se desinstalarán cuando el examen programado fina-lice.

Tabla 34: Opciones de corrección automática



11. (Opcional) Configure Reporting options como se describe a continuación:


Email the scan report Permite enviar un informe por correo electrónico al finalizar cada examen programado.

Save the scan report todisk

Permite guardar un informe en el disco al finalizar cada examen programado

Comparison data andauto remediationdetails

Permite incluir detalles de acciones de corrección automática realizados y compararresultados con los de exámenes de seguridad previos.

NotaLa comparación se realiza entre exámenes con los mismos destinos de examen yperfiles de detección.

Full scan results data Permite incluir detalles de resultados de exámenes completos.

Configure alertingoptions

(Opcional) Haga clic en Configure alerting options… para especificar detalles del remitente odestinatario. Para obtener más información, consulte Configuración de opciones de alerta(página 186).

Override general aler-ting options, and sendemail to

(Opcional) Permite enviar un informe por correo electrónico a una dirección de correo elec-trónico específica. GFI LanGuard Las opciones de alerta se invalidan.

Tabla 35: Reporting options



12. Revise el resumen de configuración de exámenes y haga clic en Finish.

Nota

De forma predeterminada, los nuevos exámenes programados se encuentrandeshabilitados. Para habilitarlos, seleccione la ficha Configuration, Scheduled Scans y

haga clic en el botón .

Nota

Confirme que los nuevos exámenes programados se configuren de forma exitosahaciendo clic en la ficha Activity Monitor y después en Security Scans. Los nuevosexámenes programados se enumeran en la cola.

5.5.2 Edición de parámetros de exámenes programados

Los programas de exámenes se pueden revisar, editar o borrar desde la ficha Configuration, en elnodo Scheduled Scans. Todos los exámenes se mencionan en la página de revisión junto con la


información relevante. Utilice la barra de herramientas de exámenes programados para realizar lasacciones descritas a continuación:

Opciones

Add new scanPermite hacer que aparezca el asistente New scheduled scan y crear un nuevo examen programado.

DeleteUtilice este botón para eliminar el examen programado seleccionado.

PropertiesPermite revisar y editar las propiedades del examen seleccionado.

Enable/DisablePermite cambiar el estado del examen seleccionado de habilitado a deshabilitado. Esto le permite activar osuspender una programación de detección sin eliminar el examen programado.

Scan nowPermite desencadenar el examen programado seleccionado. Este botón invalida la configuración de fecha y horade exámenes programados y ejecuta un examen de inmediato.

Tabla 36: Opciones para administrar perfiles de detección

5.5.3 Configuración de propiedades de exámenes programados

La página de propiedades de exámenes programados le permite configurar todos los parámetros delos exámenes programados.

Para utilizar la ficha de propiedades de exámenes programados:

1. Acceda a la ficha Configuration y después a Scheduled Scans.

2. Seleccione el examen programado y haga clic en Scheduled Scan Properties.


Captura de pantalla 40: Propiedades de exámenes programados

Ficha Descripción

General Permite realizar cambios en la configuración de destinos de examen, el tipo de perfil de detección y lafrecuencia de examen.

Logon Cre-dentials

Permite especificar credenciales de inicio de sesión utilizadas al examinar el destino especificado.

PowerSaving

Permite configurar opciones de ahorro de energía. Este cuadro de diálogo le permite configurar el exa-men de modo que espere que los equipos fuera de línea se conecten a la red, intente reactivar equiposfuera de línea y apague equipos cuando el examen se complete.

Auto–reme-diation

Permite configurar las opciones de corrección aplicables al examen que se configura. Esto incluye la des-carga e instalación de revisiones y Service Pack faltantes, y la desinstalación de software no autorizado.

Reporting Permite configurar opciones utilizadas para el examen programado seleccionado.

Tabla 37: Propiedades de exámenes programados

3. Haga clic en OK.

5.6 Exámenes programados de agentes

GFI LanGuard le permite configurar exámenes programados en equipos en los que se ejecutanagentes. La programación se puede configurar en el cuadro de diálogo de propiedades de agentes dela siguiente manera:


2. En la pantalla Home, seleccione View Dashboard.


3. En el árbol de equipos, haga clic con el botón secundario en un equipo o grupo de equipos quedesee configurar y seleccione Properties.

4. Haga clic en la ficha Agent Status y después en Change scan schedule....

Captura de pantalla 41: Agent activity recurrence

5. Seleccione Enable Schedule y configure el patrón de recursividad.

6. Haga clic en OK.

Nota

Las propiedades adicionales se pueden configurar en el cuadro de diálogo Properties.Para obtener más información, consulte Propiedades de los agentes (página 48).


5.6.1 Inicio manual de un exámenes de agentes

Para iniciar un examen a pedido en un equipo de agente:


2. Haga clic en View Dashboard y seleccione los equipos que desee comenzar a examinar.

3. En la sección Agent Status, haga clic en Scan Now.

Nota

Scan Now solo se puede ver cuando Agent Status es Agent Installed.

GFI LanGuard 6 Panel | 84

6 Panel

La sección Dashboard le proporciona información exhaustiva sobre seguridad según datos adquiridosdurante auditorías. Entre otras posibilidades, el panel le permite determinar el nivel devulnerabilidad actual, los equipos más vulnerables y el número de equipos de la base de datos.


6.1 Obtención de resultados a partir del panel 84

6.2 Utilización del panel 85

6.3 Utilización del árbol de equipos 85

6.4 Utilización de atributos 89

6.5 Acciones del panel 91

6.6 Exportación de la lista de problemas 92

6.7 Vistas del panel 92

6.1 Obtención de resultados a partir del panel

El panel es una característica importante de GFI LanGuard. Como elemento central de la aplicación,le permite realizar todas las tareas comunes que admite GFI LanGuard, incluidas las siguientes:

Supervisión de todos los equipos administrados por GFI LanGuard

Administración de destinos de examen. Adición, edición o eliminación de equipos, dominios y gru-pos de trabajo

Implementación de agentes en destinos de examen y configuración de parámetros de agentes

Configuración de credenciales de equipos

Configuración de opciones de corrección automática

Configuración de la detección de redes recurrentes en los dominios, los grupos de trabajo o lasUO

Desencadenamiento de exámenes de seguridad o actualización de información de exámenes

Análisis del estado de seguridad de los equipos y de detalles de auditoría

Cambio a ubicaciones relevantes haciendo clic en sensores y gráficos de seguridad.


6.2 Utilización del panel

En esta sección se proporciona información necesaria acerca de cómo utilizar el panel de GFILanGuard. Para que aparezca el Panel:

1. Inicie GFI LanGuard y haga clic en la ficha Dashboard.

Captura de pantalla 42: Visualización de Dashboard

2. En la lista de equipos, seleccione un equipo o un grupo de equipos. La información del panel seactualiza según su selección.

6.3 Utilización del árbol de equipos

GFI LanGuard incluye opciones de filtrado y agrupación que le permiten encontrar rápidamente unequipo o dominio y visualizar de inmediato los resultados.

Cuando se seleccionan un equipo o grupo en el árbol de equipos, los resultados del panel se actualizande forma automática. Presione CTRL y seleccione varios equipos para visualizar los resultados deequipos específicos.

Las siguientes son funciones que admite el árbol de equipos:

Filtrado simple

Filtrado avanzado

Agrupación

Búsqueda


6.3.1 Filtrado simple

Para realizar el filtrado para un equipo o grupo específicos:

1. En el panel izquierdo, haga clic en Filter.

2. Configure los criterios y haga clic en Turn ON filters.

Captura de pantalla 43: Filtrado simple

6.3.2 Filtrado avanzado

Para realizar el filtrado para un equipo o grupo específicos utilizando el filtrado avanzado:

1. En el panel izquierdo, haga clic en Filter y en Advanced filtering...

2. En el cuadro de diálogo Advanced Filtering, haga clic en Add.


Captura de pantalla 44: Adición de propiedades de filtro

3. Seleccione la propiedad de filtro para la restricción y haga clic en Next.

4. Seleccione la condición y escriba el valor de esta. Haga clic en OK.

5. Repita los pasos 2 a 4 para cada condición. Haga clic en OK.

6.3.3 Agrupación

Para agrupar equipos por atributos específicos:

1. En el panel izquierdo, haga clic en Group.

2. Seleccione uno de los siguientes atributos:

Domain and Organizational Unit

Operating System

Network Role

Relays Distribution

Attributes.


Nota

Si se selecciona Attributes, elija el atributo de la lista desplegable. Para obtener másinformación, consulte Utilización de atributos (página 89).

Si se selecciona Attributes, elija el atributo de la lista desplegable.

4. Haga clic en Apply grouping.

6.3.4 Búsqueda

La ficha Search de Computers tree le permite buscar y hacer que aparezcan resultados para unequipo o grupo específicos. Para que aparezcan resultados para un equipo específico:

1. En el árbol de equipos, seleccione Search.

Captura de pantalla 45: Búsqueda de equipos y grupos específicos

2. Escriba los criterios o de búsqueda y utilice las siguientes opciones:


Group results byinformation category

Los resultados de búsqueda se agrupan por categoría. El resultado contiene la información deequipos más reciente. Entre otros eventos, los resultados se agrupan por:

Información sobre equipos

Dispositivos de hardware

Usuarios de la sesión actual

Procesos

Tecnología virtual

Group results bycomputer

Los resultados de búsqueda se agrupan por nombre de equipo. El resultado contiene la infor-mación de equipos más reciente.

Search History Los resultados de búsqueda incluyen la información de exámenes previos.

Advanced search Configure opciones de búsqueda avanzadas.

NotaPara obtener más información, consulte Búsqueda de texto completo (página 183).

Tabla 38: Opciones de búsqueda


6.4 Utilización de atributos

Los atributos le permiten agrupar y configurar equipos de forma individual o grupal en una solaoperación. También le permiten corregir vulnerabilidades o implementar software en equiposespecíficos según el atributo asignado. Las secciones siguientes contienen información sobre lo que semuestra a continuación:

Asignación de atributos a un equipo

Asignación de atributos a un grupo

Configuración de atributos

6.4.1 Asignación de atributos a un equipo

Para asignar atributos a un solo equipo:

1. Haga clic en la ficha Dashboard.

2. En el árbol de equipos, haga clic con el botón secundario en un equipo y seleccione Assignattributes.

Captura de pantalla 46: Asignación de atributos: Equipo único

3. En el cuadro de diálogo de Propiedades, ficha Attributes, haga clic en Add.

4. Configure parámetros de atributos nuevos y haga clic en OK.

5. Haga clic en OK para guardar su configuración.


6.4.2 Asignación de atributos a un grupo

GFI LanGuard le permite asignar atributos a grupos, dominios unidades organizativas y redes enparticular. Una vez asignados los atributos, cada miembro del grupo seleccionado hereda losparámetros de atributos.

Para asignar atributos a un grupo:

1. Haga clic en la ficha Dashboard.

2. En la lista de equipos, haga clic con el botón secundario en una red y seleccione Assign attributes.

3. En el asistente Add more computers, seleccione la red y haga clic en Next.

Captura de pantalla 47: Asignación de atributos: varios equipos

4. Haga clic en Add y configure los atributos correspondientes. Utilice los botones Edit y Removepara editar o quitar los atributos seleccionados.

5. Haga clic en Finish para guardar su configuración.

6.4.3 Configuración de atributos

Para configurar atributos:

1. En el cuadro de diálogo Properties, haga clic en la ficha Attributes.

2. Haga clic en Add para iniciar el cuadro de diálogo New attribute.


Captura de pantalla 48: Cuadro de diálogo de nuevo atributo

3. En el menú desplegable de Name, seleccione un atributo o escriba un nombre para crear unonuevo.

4. Especifique un valor para el atributo en el campo Value. Haga clic en OK.

Repita los pasos 2 a 4 hasta añadir todos los atributos requeridos.


6.5 Acciones del panel

La sección Actions le permite administrar y corregir vulnerabilidades y revisiones faltantes halladasen su red. Para acceder a la sección Actions:

1. Seleccione la ficha Dashboard.

2. Haga clic en la ficha Vulnerabilities o Patches.

Captura de pantalla 49: Sección Actions de Dashboard

3. Seleccione una de las siguientes acciones:

Acción Descripción

Remediate Permite iniciar Remediation Center para implementar y administrar revisiones faltantes.

NotaPara obtener más información, consulte Corrección manual (página 148).

Acknowledge Inicia el cuadro de diálogo Rule-Acknowledge Patch. Esto le permite confirmar problemas para queestos no afecten el nivel de vulnerabilidad de su red. Determine mediante configuración para quéequipo se aplica esta regla

Tabla 39: Acciones del panel



Ignore Inicia el cuadro de diálogo Rule-Ignore Patch. Esto le permite ignorar revisiones faltantes o vul-nerabilidades para que estas no se informen como problemas en el futuro, e incluir razones por las cua-les tales vulnerabilidades se deben ignorar. Determine mediante configuración para qué equipo seaplica esta regla y el periodo de tiempo durante el cual se ignora el problema.

Change Seve-rity

Inicia el cuadro de diálogo Rule-Change Severity. Esto le permite cambiar el nivel de gravedad de la vul-nerabilidad. Determine mediante configuración para qué equipos se aplica esta regla y también el nivelde gravedad.

Rules Mana-ger

Inicia el cuadro de diálogo Rules Manager. Esto le permite buscar y quitar reglas configuradas y visua-lizar las razones para ignorar revisiones faltantes y vulnerabilidades.

6.6 Exportación de la lista de problemas

GFI LanGuard le permite exportar listas de problemas al formato de documento portátil de Adobe(PDF), a Microsoft Office Excel (XLS) o al lenguaje de marcado de hipertexto (HTML). Cuando una lista

admite la exportación, los iconos aparecen en la esquina superior derecha de la lista.Seleccione el icono correspondiente y configure los parámetros de exportación.

6.7 Vistas del panel

El panel de GFI LanGuard consta de varias vistas. Estas vistas diferentes le permiten controlar entiempo real sus destinos de examen y realizar operaciones de corrección e informe al instante. Lassecciones siguientes contienen información sobre lo que se muestra a continuación:

Overview de Dashboard

Vista Computers

Vista History

Vista de Vulnerabilities

Vista Patches

Vista Ports

Vista Software

Vista Hardware

Vista System Information


6.7.1 Información general

Captura de pantalla 50: Información general del panel

Overview, en Dashboard, es una representación gráfica del nivel de seguridad y de vulnerabilidad deun único equipo o dominio, o bien de una red completa.

Cuando un equipo o dominio se seleccionan, los resultados relacionados con estos se actualizan deforma automática en el panel. A continuación se ofrece una descripción de cada sección del panel:

Sección Descripción

Networksecuritylevel

Esta valoración indica el nivel de vulnerabilidad de un equpo o una red, según el número y el tipo de vul-nerabilidades o revisiones que se encuentren. Un nivel de vulnerabilidad alto es el resultado de vul-nerabilidades o de revisiones faltantes cuya severidad promedio es de categoría alta.

Computervulnerabilitydistribution

Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, ymuestra la distribución de vulnerabilidades en su red. Este gráfico le permite determinar cuántos equi-pos tienen una clasificación de vulnerabilidad alta, media o baja.

Most vul-nerable com-puters

Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, ymuestra los equipos más vulnerables detectados durante el examen. El color del icono de la izquierdaindica el nivel de vulnerabilidad.

Tabla 40: Información de software de una auditoría



Agent Status Cuando se seleccionan un dominio o grupo de trabajo, aparece un gráfico que muestra el estado deagentes general de todos los equipos dentro del dominio o grupo de trabajo. Esto le permite determinarel número de agentes instalados o las instalaciones pendientes en el dominio o grupo de trabajoseleccionados. Cuando se selecciona un equipo, esta sección muestra un icono que representa el estadode agentes. Los iconos se describen a continuación:

No instalado: el agente no se ha instalado en el equipo de destino.

Instalación pendiente: la instalación está pendiente. El estado puede ser “pendiente”cuando el equipo se encuentra fuera de línea o la instalación del agente está en curso.

Desinstalación pendiente: la desinstalación está pendiente. El estado puede ser “pen-diente” cuando el equipo se encuentra fuera de línea o la desdesinstalar del agente está encurso.

Instalado: el agente está instalado en el equipo de destino.

Agente de retransmisión instalado: los equipos seleccionados son agentes de retrans-misión.

Audit status Este gráfico se encuentra disponible cuando se seleccionan un dominio o un grupo de trabajo, y le per-mite determinar cuántas auditorías, agrupadas por hora, se han realizado en su red.

Vulnerabilitytrends overtime

Cuando se seleccionan un dominio o grupo de trabajo, en esta sección aparece un gráfico de línea quemuestra el cambio del nivel de vulnerabilidad, agrupado por conteo de equipos, en función del tiempo.Cuando se seleccionan un dominio o grupo de trabajo, en esta sección aparece un gráfico que muestra elcambio del nivel de vulnerabilidad en función del tiempo para el equipo seleccionado.

Computersby networkrole

Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, ymuestra el número de equipos auditados, agrupados por rol de red. Entre otros roles, este gráfico iden-tifica el número de servidores y estaciones de trabajo por dominio seleccionado.

Computersby operatingsystem

Este gráfico se encuentra disponible únicamente cuando se seleccionan un dominio o grupo de trabajo, ymuestra el número de equipos auditados, agrupados por sistema operativo instalado.

Computerdetails

Esta sección se encuentra disponible cuando se selecciona un solo equipo y le permite ver los detallesde este.

Scan activity Este gráfico de línea se encuentra disponible únicamente cuando se selecciona un solo equipo y le per-mite ver el número de exámenes o auditorías que se realicen en el equipo seleccionado. A su vez, lepermite verificar si se realizan exámenes programados.

RemediationActivity

Este gráfico de línea se encuentra disponible únicamente cuando se selecciona un solo equipo y le per-mite ver el número de actividades de corrección que se realicen en el equipo seleccionado. Además,este gráfico le permite verificar que se realice la corrección automática.

Top 5 Issuesto Address

Esta sección se encuentra disponible cuando se selecciona un solo equipo y muestra los cinco problemasprincipales que se deben abordar para el equipo seleccionado.

Results sta-tistics

Esta sección se encuentra disponible cuando se selecciona un solo equipo y muestra información generaldel resultado de la auditoría. Entre otras posibilidades, el resultado le permite identificar el número derevisiones faltantes y de aplicaciones instaladas, los puertos abiertos y los servicios en ejecución.



Security Sen-sors

Esta sección le permite identificar problemas de un vistazo. Haga clic en un sensor para recorrer ymostrar los problemas y las vulnerabilidades para un equipo o grupo específicos. Los sensores lepermiten identificar:

Actualizaciones de software faltantes

Service Pack faltantes

Vulnerabilidades

Problemas en cortafuegos

Aplicaciones no autorizadas

Estado de auditorías

Configuración de credenciales

Problemas de protección de malware

Problemas de estado de agentes


6.7.2 Vista Computers

Captura de pantalla 51: Resultados de análisis por equipo

Seleccione esta vista para realizar auditorías en grupo de los resultados por equipo. En la listadesplegable, seleccione una de las opciones descritas a continuación:


Agent Details Seleccione esta opción para ver el estado de agentes. Esta opción le permite determinar si hay ins-talado un agente en un equipo y, si esto sucede, muestra el tipo de credenciales utilizadas por elagente.

Vulnerabilities Permite ver el número de vulnerabilidades de un equipo agrupadas por gravedad. La gravedad de unavulnerabilidad puede ser:

Alta

Media

Baja

Potential.

Patching sta-tus

Vea el número de:Actualizaciones de seguridad y no de seguridad faltantes

Service Pack y paquetes acumulativos de actualizaciones faltantes

Actualizaciones de seguridad y no de seguridad instaladas

Service Pack y paquetes acumulativos de actualizaciones instalados.

Tabla 41: Vista según la información de los equipos



Open ports Vea el número de:Puertos TCP abiertos

Puertos UDP abiertos

Puertas traseras.

Software Vea el número de:Motores de protección contra la suplantación de identidad

Motores antispyware

Motores antivirus

Aplicaciones de copia de seguridad

Aplicaciones de prevención contra pérdida de datos

Aplicaciones de acceso a dispositivos y cifrado de discos

Cortafuegos

Aplicaciones instaladas

Aplicaciones de mensajería instantánea

Aplicaciones entre pares

Aplicaciones no autorizadas

Equipos virtuales

Clientes de VPN

Exploradores web.

Hardware Vea información sobre lo siguiente:Número de unidades de disco

Espacio libre en disco

Tamaño de la memoria

Número de procesadores

Otro hardware.

System infor-mation

Vea información sobre lo siguiente:El número de carpetas compartidas

Número de grupos

Número de usuarios

Usuarios de la sesión actual

Estado de la directiva de auditoría.

Attributes Agrega una columna Attributes y agrupa sus destinos de examen según el atributo asignado.

Nota

Para la iniciar la ficha Overview y visualizar más detalles de un equipo específico, hagadoble clic en un equipo de la lista.


Nota

Arrastre y suelte un encabezado de columna en el área designada para agrupar datospor criterios.


6.7.3 Vista History

Seleccione esta vista para agrupar resultados de auditoría por fecha para un equipo específico. Paraconfigurar la fecha de inicio del historial o el periodo del historial, haga clic en el enlaceproporcionado.

Captura de pantalla 52: Vista History de Dashboard


6.7.4 Vista Vulnerabilities

Permite visualizar más detalles acerca de las vulnerabilidades halladas en una red y el número deequipos afectados. Cuando se selecciona una vulnerabilidad en la lista de Vulnerability, en la secciónDetails se proporciona más información sobre la vulnerabilidad seleccionada. En la sección Details,haga clic en Affected computers o Unaffected computers para que aparezca una lista de equiposafectados y no afectados.

Captura de pantalla 53: Vista Vulnerabilities de Dashboard

Nota


6.7.5 Configuración de acciones

En la sección Actions, seleccione una de las descritas a continuación para administrar y corregirvulnerabilidades y revisiones faltantes halladas en su red.


Remediate Permite iniciar Remediation Center para implementar y administrar revisiones faltantes.

NotaPara obtener más información, consulte Corrección manual (página 148).

Tabla 42: Acciones del panel



Acknowledge Inicia el cuadro de diálogo Rule-Acknowledge Patch. Esto le permite confirmar problemas para queestos no afecten el nivel de vulnerabilidad de su red. Determine mediante configuración para quéequipo se aplica esta regla

Ignore Inicia el cuadro de diálogo Rule-Ignore Patch. Esto le permite ignorar revisiones faltantes o vul-nerabilidades para que estas no se informen como problemas en el futuro, e incluir razones por las cua-les tales vulnerabilidades se deben ignorar. Determine mediante configuración para qué equipo seaplica esta regla y el periodo de tiempo durante el cual se ignora el problema.

Change Seve-rity

Inicia el cuadro de diálogo Rule-Change Severity. Esto le permite cambiar el nivel de gravedad de la vul-nerabilidad. Determine mediante configuración para qué equipos se aplica esta regla y también el nivelde gravedad.

Rules Mana-ger

Inicia el cuadro de diálogo Rules Manager. Esto le permite buscar y quitar reglas configuradas y visua-lizar las razones para ignorar revisiones faltantes y vulnerabilidades.


6.7.6 Vista Patches

Permite mostrar más detalles relacionados con las revisiones y los Service Pack faltantes o instaladoshallados durante una auditoría de red. Cuando se seleccionan una revisión o un Service Pack de lalista, la sección Details proporciona más información sobre la revisión o el Service Pack seleccionados.En la sección Details, haga clic en Missing on para que aparezca una lista de equipos para los quefalte la revisión seleccionada.

Captura de pantalla 54: Vista Patches de Dashboard

Nota



6.7.7 Vista Ports

Permite mostrar más detalles relacionados con los puertos abiertos hallados durante una auditoría dered. Cuando se selecciona un puerto en la lista de Port, en la sección Details se proporciona másinformación sobre el puerto seleccionado. En la sección Details, haga clic en View computers havingthis port open para que aparezca una lista de equipos con el puerto seleccionado abierto.

Captura de pantalla 55: Vista Ports de Dashboard

Nota



6.7.8 Vista Software

Haga que se muestren más detalles relacionados con las aplicaciones instaladas halladas durante unaauditoría de red. Cuando se selecciona una aplicación en la lista de Application, la sección Detailsproporciona más información sobre la aplicación seleccionada.

Captura de pantalla 56: Vista Software de Dashboard

En la sección Actions, seleccione una de las acciones descritas a continuación para administrar ycategorizar aplicaciones de software.


Add to cate-gory

Permite agregar aplicaciones a una categoría en particular

SoftwareCategories

Permite configurar reglas para categorías de software y aplicaciones en particular. Para obtener másinformación, consulte Configuración de categorías de software.

Tabla 43: Acciones

Nota



Nota

Para los exámenes sin agente se requiere la ejecución temporal de un servicio en elequipo remoto. Seleccione Enable full security applications audit… para habilitar esteservicio en todos los perfiles de examen sin agente.


6.7.9 Vista Hardware

Permite visualizar más nformación sobre el hardware hallado durante una auditoría de red.Seleccione el hardware de la lista para que se muestren más detalles.

Captura de pantalla 57: Vista Hardware de Dashboard

Nota



6.7.10 Vista System Information

En la ficha System Information se muestra información asociada con el sistema operativo de undestino de examen.

Captura de pantalla 58: Vista System Information de Dashboard

Nota


GFI LanGuard 7 Interpretación de resultados | 108

7 Interpretación de resultados

Una vez completado un examen de seguridad de red, es importante identificar las áreas querequieren atención inmediata. Utilice la información proporcionada en este capítulo a fin dedeterminar el análisis y el enfoque de interpretación correctos para aprovechar al máximo susresultados de examen y aplicar las soluciones adecuadas.


7.1 Interpretación de resultados de exámenes manuales 108

7.2 Carga de resultados de la base de datos 119

7.3 Guardado y carga de resultados XML 120

7.1 Interpretación de resultados de exámenes manuales

Las secciones Scan Results Overview y Scan Results Details de la ficha Scan están diseñadas parafacilitar el proceso de análisis de resultados en la mayor medida posible. Utilice la información de lassiguientes secciones para aprender la manera en que se interpretan los resultados de exámenes yconocer las áreas que requieren su atención de inmediato:

Visualización de resultados de exámenes

Clasificación del nivel de vulnerabilidad


Auditoría de red y de software

7.1.1 Visualización de resultados de exámenes

Utilice esta sección para interpretar resultados generados por exámenes manuales y resultadosalmacenados en el back-end de base de datos. Para obtener más información, consulte Exámenesmanuales (página 67).

Para ver resultados de exámenes manuales:

1. Inicie GFI LanGuard y haga clic en la ficha Scan.

2. Inicie un nuevo examen o cargue el resultado de la base de datos o del archivo. Para obtener másinformación, consulte Carga de resultados de la base de datos (página 119).

3. Una vez completado el proceso, los resultados aparecerán en las secciones Scan Result Overview yScan Results Details.


Captura de pantalla 59: Información general de resultados

En Scan Results Overview, expanda un nodo del equipo para acceder a resultados recuperadosdurante el examen. Los resultados de exámenes de seguridad se organizan en dos nodos secundarioscon las siguientes etiquetas:

Vulnerability Assessment

Network & Software Audit

Durante un examen, cada nodo del equipo tiene un icono que categoriza el tiempo de respuesta. En lasiguiente tabla se describen los diferentes iconos utilizados por GFI LanGuard para categorizar eltiempo de respuesta. El primer icono indica que el examen se encuentra en cola y el segundo que elexamen se encuentra en curso.

Categoría Información Descripción

Respuesta rápida Menos de 25 ms

Respuesta media Entre 25 y 100 ms

Respuesta lenta Más de 100 ms

Tabla 44: Iconos de tiempo de respuesta

7.1.2 Clasificación del nivel de vulnerabilidad


El nivel de vulnerabilidad de GFI LanGuard es una clasificación que se asigna a cada equipoexaminado. La clasificación se puede visualizar desde:

Scan Results Details: esta sección de la ficha Scan le proporciona un medidor de nivel de vul-nerabilidad que se asigna al equipo o a los los grupos que se han examinado

Dashboard: la sección Dashboard le proporciona información de equipos específicos o gruposseleccionados de equipos del árbol de equipos. Seleccione el equipo o grupo y visualice el medidorde vulnerabilidad en el panel derecho. Seleccione Entire Network para visualizar el nivel de vul-nerabilidad de todos sus destinos de examen.

Captura de pantalla 60: Medidor del nivel de vulnerabilidad

¿De qué manera se calcula el nivel de vulnerabilidad?

El nivel de vulnerabilidad se calcula utilizando un sistema de ponderación. Después de un examen, GFILanGuard agrupa las vulnerabilidades detectadas en categorías ordenadas por clasificación degravedad:

Alta

Media

Baja

Por cada clasificación se proporciona una puntuación ponderada. Esto se basa en el número total devulnerabilidades por categoría.

Nota

Cuando el nivel de vulnerabilidad no se puede evaluar o no se ha realizado un examende vulnerabilidades,GFI LanGuard proporciona la clasificación N/A.

Puntuaciones de ponderación

Categoría Número de vulnerabilidades detectadas Puntuaciones

Vulnerabilidades altas 1 a 23 a 5> 5

8910

Vulnerabilidades medias 1 a 23 a 5> 5

567

Vulnerabilidades bajas 1 a 23 a 5> 5

234

Tabla 45: Puntuaciones de ponderación de nivel de vulnerabilidad


Clasificación de puntuaciones

Una vez que se categorizan las vulnerabilidades detectadas y se genera una puntuación para cadacategoría, se establece el nivel de vulnerabilidad general. El nivel de vulnerabilidad es la clasificaciónde gravedad con la puntuación más alta.

Puntuaciones de nivel de vulnerabilidad:

Una puntuación de >= 8 da como resultado una clasificación de vulnerabilidad High (Alta)

Una puntuación de <= 7 y >= 5 da como resultado una clasificación de vulnerabilidad Medium(Media)

Una puntuación de <= 4 y >=1 da como resultado una clasificación de vulnerabilidad Low (Baja).

Ejemplo

Durante un examen del Equipo A, se detectaron las siguientes vulnerabilidades:

3 vulnerabilidades altas

8 vulnerabilidades medias

5 vulnerabilidades bajas.

GFI LanGuard calculó la puntuación para cada categoría y dio los siguientes resultados:

3 vulnerabilidades altas = 9

8 vulnerabilidades medias = 7

5 vulnerabilidades bajas = 3.

El nivel de vulnerabilidad del Equipo A es, por lo tanto, ALTO.

Captura de pantalla 61: Medidor de vulnerabilidad de Dashboard

El nivel de vulnerabilidad se indica utilizando una barra gráfica codificada por colores:

Sección roja de la barra = nivel de vulnerabilidad alto

Sección verde de la barra = nivel de vulnerabilidad bajo.

7.1.3 Evaluación de vulnerabilidades


Captura de pantalla 62: Modo de evaluación de vulnerabilidades

Haga clic en cualquiera de los nodos de Vulnerability Assessment para ver las vulnerabilidades deseguridad identificadas en el equipo de destino agrupadas por tipo y gravedad.

Vulnerabilidades de seguridad altas

Haga clic en los nodos secundarios High Security Vulnerabilities o Low Security Vulnerabilities paraobtener una lista de puntos débiles detectados durante la auditoría de un dispositivo de destino. Losgrupos se describen en la siguiente tabla:

Grupo Descripción

Mail, FTP, RPC,DNS and Mis-cellaneous

Muestra vulnerabilidades detectadas en servidores FTP, DNS y de correo SMTP, POP3 e IMAP. Pro-porciona enlaces a artículos de la base de conocimientos de Microsoft® o a otra documentación deasistencia.

Web Enumera vulnerabilidades detectadas en servidores web (como problemas por configuraciones inco-rrectas). Entre los servidores web admitidos se incluyen Apache, Internet Information Services (IIS®)y Netscape.

Services Enumera vulnerabilidades detectadas en servicios activos además de la lista de cuentas no utilizadasaún activas y accesibles en los destinos examinados.

Registry Enumera parámetros de configuración de un dispositivo de red examinado. Proporciona enlaces adocumentación de asistencia y descripciones breves de vulnerabilidades.

Software Enumera aplicaciones de software instaladas en los dispositivos de red examinados. Proporciona enla-ces a documentación de asistencia y descripciones breves de vulnerabilidades.

Rootkit Enumera vulnerabilidades detectadas como consecuencia de la instalación de un rootkit en los dis-positivos de red examinados. Proporciona enlaces a documentación de asistencia y descripciones bre-ves de vulnerabilidades.

Tabla 46: Grupos de vulnerabilidades

Vulnerabilidades potenciales

Seleccione el nodo secundario Potential vulnerabilities para ver elementos de resultados de examenclasificados como posibles puntos débiles de la red. Aunque no se clasifican como vulnerabilidades,estas entradas de resultados de examen requieren particular atención debido a que los usuarios conmalas intenciones pueden explotarlas para actividades malintencionadas.

Por ejemplo, durante un examen de vulnerabilidades GFI LanGuard enumera todos los módemsinstalados y configurados en equipos de destino. Si no se utilizan, los módems no representan unaamenaza para su red. Si se conectan a una línea telefónica, estos módems pueden, no obstante,utilizarse para obtener acceso no autorizado y no controlado a Internet. Los usuarios pueden eludir laseguridad perimetral corporativa, incluidos los cortafuegos, los antivirus, la clasificación de sitios weby el bloqueo de contenido web. Esto expone a la infraestructura de TI corporativa a una amplia


variedad de amenazas, incluidos los ataques por parte de hackers. GFI LanGuard considera losmódems instalados como posibles amenazas y los enumera en el nodo secundario PotentialVulnerabilities.

Service Pack faltantes

Haga clic en los nodos secundarios Missing Service Packs and Update Rollups o Missing SecurityUpdates para realizar una comprobación de actualizaciones o revisiones de software faltantes. Paraobtener una lista completa de Service Pack y revisiones faltantes que GFI LanGuard pueda identificar,consulte http://go.gfi.com/?pageid=ms_app_fullreport

Información de boletín.

Para acceder a la información de boletín, haga clic con el botón secundario en el Service Packcorrespondiente, seleccione More details y después Bulletin Info.

Captura de pantalla 63: Cuadro de diálogo de información de boletín

7.1.4 Auditoría de red y de software



Captura de pantalla 64: Nodo de auditoría de redes y software

Haga clic en Network & Software Audit para ver vulnerabilidades de seguridad identificadas en losdestinos examinados. En esta sección, las vulnerabilidades se agrupan por tipo y severidad.

Estado de la aplicación de revisiones del sistema

Haga clic en System Patching Status para ver todas las revisiones faltantes e instaladas en el equipode destino. Los enlaces disponibles son los siguientes:

Missing Service Packs and Update Rollups

Missing Security Updates

Missing Non-Security Updates

Installed Service Packs and Update Rollups

Installed Security Updates

Installed Non-Security Updates.


Captura de pantalla 65: Estado de las revisiones del sistema

Puertos

Haga clic en Ports para ver todos los puertos TCP y UDP detectados durante un examen. Si se detectaabierto un puerto comúnmente explotado, GFI LanGuard lo marca con color rojo.

Nota

Algunos productos de software pueden utilizar los mismos puertos que los troyanosconocidos. Para brindar seguridad adicional, GFI LanGuard identifica estos puertos comoamenazas.

Además de detectar puertos abiertos,GFI LanGuard utiliza tecnología de huellas de servicios paraanalizar los servicos que se ejecutan en los puertos abiertos detectados. Mediante la huella deservicio, GFI LanGuard puede determinar si un software malintencionado utiliza el puerto abiertodetectado.


Captura de pantalla 66: Todos los puertos UDP y TCP hallados durante un examen

Hardware

Haga clic en Hardware para ver todos los detalles detectados por la auditoría de hardware. Laauditoría de hardware, entre otras funciones, muestra datos como direcciones MAC, direcciones IP,tipos de dispositivos, proveedores de dispositivos, etc. En la siguiente tabla se describen los grupos deinformación sobre hardware:

Información Descripción

NetworkDevices

Incluye información de todos los dispositivos físicos, virtuales y enumerados por software.

Local Drives Incluye información sobre las unidades locales, como el espacio en disco disponible y el tipo de sistemade archivos.

Processors Incluye información relacionada con el procesador de un equipo de destino, como el nombre del pro-veedor y la velocidad.

Motherboard Incluye información relacionada con la placa base de un equipo de destino, como el nombre del pro-ducto, el fabricante, la versión y el número de serie.

Memorydetails

Incluye información relacionada con la asignación de memoria de un equipo de destino, como la memoriafísica o virtual libres disponibles.

Storagedetails

Incluye información relacionada con el almacenamiento de un equipo de destino, como las unidades dedisquete, CD-ROM y disco duro.

Display adap-ters

Incluye información relacionada con los dispositivos de pantalla y video de un equipo de destino, como elfabricante de los dispositivos.

Other devi-ces

Incluye información de dispositivos que no pertenecen a las categorías mencionadas previamente, comoteclados, puertos, mouse y dispositivos de interfaz humana.

Tabla 47: Información sobre hardware de una auditoría

Software

Haga clic en Software para ver todos los detalles de la auditoría de software. En la auditoría desoftware, entre otras funciones, se muestra información como la siguiente:

Nombre de la aplicación

Editor

Versión.

En la siguiente tabla se describen los grupos de información sobre hardware:

Icono Descripción

General Applications Enumera el software instalado en los destinos de examen.

Tabla 48: Información de software de una auditoría


Icono Descripción

Antivirus Applications Enumera motores antivirus instalados en los destinos de examen.

Instant MessengerApplications

Enumera instalaciones detectadas de aplicaciones de mensajería instantánea en los destinosde examen.

Patch ManagementApplications

Enumera todas las aplicaciones de administración de revisiones detectadas en sus destinos deexamen durante un examen.

Web Browser Appli-cations

Contiene destinos de examen con exploradores de Internet instalados.

Firewall Applications Enumera información sobre aplicaciones de cortafuegos instaladas en destinos de examen.

Anti–phishing Appli-cations

Enumera información sobre motores de protección contra la suplantación de identidad ins-talados en destinos de examen.

VPN Client Appli-cations

Incluye información sobre clientes de redes privadas virtuales de destinos de examen.

Peer–To–Peer Appli-cations

Muestra aplicaciones entre pares en destinos de examen.

Información del sistema

Haga clic en System Information para visualizar todos los detalles relacionados con el sistemaoperativo instalado en el equipo de destino. En la siguiente tabla se describen los grupos deinformación del sistema:

Categoría Información Indentifica

Shares Nombre del recursocompartido

Nota del recursocompartido (detallesadicionales sobre elrecurso compartido).

Carpeta que se com-parte en el equipode destino

Permisos y derechosde acceso de recur-sos compartido

Permisos y derechosde acceso NTFS.

Usuarios que comparten discos duros completos, recursos compartidoscon permisos de acceso vulnerables o configurados de manera inco-rrecta.

Carpetas Inicio y archivos de sistema similares cuyo acceso es posible porparte de usuarios no autorizados o a través de cuentas de usuarios queno tienen privilegios de administrador y, no obstante, pueden ejecutarcódigos en equipos de destino.

Recursos compartidos innecesarios o no utilizados.

PasswordPolicy

Extensión mínima decontraseñas

Extensión máxima decontraseñas

Fecha mínima de ven-cimiento de contra-señas

Forzar cierre desesión

Historial de contra-señas.

Control de bloqueo configurado de manera incorrecta

Directivas de imposición de seguridad de contraseñas.

Tabla 49: Información de sistema de una auditoría



SecurityAuditPolicy

Auditar eventos deinicio de sesión decuenta

Auditar admi-nistración de cuen-tas

Auditar el acceso alservicio de directorio

Auditar eventos deinicio de sesión

Y más…

Deficiencias o infracciones de seguridad.

NotaPara ver la directiva de auditoría de seguridad, habilite las auditorías entodos los equipos. Para obtener más información, consulte Exámenesmanuales (página 67).

Registry Propietario regis-trado

Organización regis-trada

Nombre del pro-ducto

Número de com-pilación actual.

Configuración de hardware y software, como los controladores y las apli-caciones que se iniciarán de forma automática el iniciarse el sistema.

NETBIOSNames

Servicio de estaciónde trabajo

Nombre de dominio

Controladores dedominio

Servicio de ser-vidores de archivos.

Equipos no autorizados

Configuraciones incorrectas.

Groups Operadores de cuen-tas

Administradores

Operaciones de copiade seguridad

Invitado.

Configuraciones incorrectas

Fallas de seguridad debidas a grupos de usuarios no autorizados u obso-letos.

Users Nombre completo

Privilegio

Marcas

Inicio de sesión.

Cuentas de usuario no autorizadas, obsoletas o predeterminadas.

LoggedOn Users

Lista de usuarios dela sesión actual.

Usuarios autorizados y no autorizados de la sesión actual en los equipos.

Sessions Enumera hosts conec-tados de maneraremota al equipo dedestino durante elexamen.

Conexiones remotas autorizadas y no autorizadas.

Services Lista de servicios acti-vos.

Procesos no autorizados o malintencionados; servicios redundantes.

Processes Lista de procesosactivos.

Procesos no autorizados o malintencionados.



RemoteTOD(time ofday)

Hora de la estaciónde trabajo, del ser-vidor o del portátilremotos.

Inconsistencias horarias y configuración regional

Configuraciones incorrectas.

7.2 Carga de resultados de la base de datos

De forma predeterminada, los resultados de exámenes guardados se almacenan en una base de datos.GFI LanGuard almacena los datos de resultados de los últimos 10 exámenes realizados por perfil dedetección. Usted puede configurar el número de resultados de exámenes que se almacenan en unarchivo de base de datos. Para obtener más información, consulte Configuración de opciones demantenimiento de bases de datos (página 187).

Para cargar resultados de exámenes guardados desde el back-end de base de datos o desde archivosXML:



Captura de pantalla 67: Resultados de exámenes recargados

3. Seleccione el resultado de examen guardado y haga clic en OK.


4. Analice los resultados cargados. Para obtener más información sobre cómo interpretar resultados,consulte las siguientes secciones:


Auditoría de red y de software.

7.3 Guardado y carga de resultados XML

Los resultados de examen son una fuente de información de valor incalculable para losadministradores de sistemas. GFI LanGuard Los resultados se almacenan en una base de datos de SQLServer® o Access™. A su vez, los resultados de exámenes también se pueden exportar al formato XML.

Para guardar resultados de exámenes en un archivo XML:


2. Realice un examen manual. Para obtener más información, consulte Exámenes manuales (página67).

3. Una vez finalizado el examen, haga clic en el botón File y después en Save Scan Results, en GFILanGuard.

4. Localice el destino en el cual desee guardar el archivo XML y haga clic en Save.

Para cargar resultados de exámenes guardados desde un archivo XML:

1. En GFI LanGuard, haga clic en el botón File, en Load Scan Results from y después en XML File…

2. Localice los resultados de exámenes que se cargarán y haga clic en OK.

3. Analice los resultados cargados.

Nota

Para obtener más información sobre cómo interpretar resultados, consulte lassiguientes secciones:


Auditoría de red y de software

GFI LanGuard 8 Corrección de vulnerabilidades | 121

8 Corrección de vulnerabilidades

GFI LanGuard le permite corregir de forma manual y automática vulnerabilidades en equipos de lared. Utilice la información de este capítulo para aprender a configurar y administrar operaciones decorrección a fin de mantener un alto nivel de seguridad en sus destinos de examen.


8.1 Corrección automática 121

8.2 Corrección manual 148

8.1 Corrección automática

La corrección automática le permite, de forma automática, descargar e implementar revisionesfaltantes e instalar aplicaciones no autorizadas durante operaciones programadas.

IMPORTANTE

La corrección automática y la desinstalación de aplicaciones no autorizadas solofuncionan con perfiles de detección que detectan revisiones faltantes o aplicacionesinstaladas.

Tareas de corrección automática:

Revisión de consideraciones de corrección automática

Configuración de la implementación automática de actualizaciones faltantes

Configuración de la desinstalacion automática de aplicaciones no autorizadas

Configuración de opciones de corrección automática

Configuración de Wake-on-LAN en equipos clientes

Configuración de opciones de reinicio y apagado de usuarios finales

Definición de mensajes de corrección automática

Configuración de la corrección automática de agentes

Configuración de categorías de software

8.1.1 Notas acerca de la corrección automática

Antes de habilitar y configurar las opciones de corrección automática, repase las notas acerca de losiguiente:

Instalación del software

Desinstalación del software

Instalación del software

Pruebe siempre las revisiones en un entorno de prueba antes de la implementación.


De forma predeterminada, las actualizaciones de Microsoft® no están habilitadas para laimplementación automática. Apruebe manualmente cada revisión (a medida que se prueben) o fijetodas las actualizaciones de Microsoft® como aprobadas.

Desinstalación del software

Para la desinstalación del software se requiere un proceso de 3 etapas a fin de determinar si laaplicación seleccionada admite la desinstalación silenciosa:

Etapa Descripción

Etapa1

Seleccione la aplicación que se desintalará de forma automática.

Etapa2

Asegúrese de que la aplicación admita la desinstalación silenciosa. Pruebe esto intentando desinstalar la apli-cación de forma remota. Este es el proceso de validación.

Etapa3

Configure una auditoría programada que quitará la aplicación no autorizada. Esto se realiza de forma automática(mediante agentes) o manual (enfoque sin agentes).

Tabla 50: Etapas de corrección automática

La corrección automática y la desinstalación de aplicaciones no autorizadas solo funcionan conperfiles de detección que detectan revisiones faltantes o aplicaciones instaladas.

8.1.2 Configuración de la implementación automática de actualizaciones faltantes

GFI LanGuard incluye una característica de implementación automática de revisiones que le permiteimplementar revisiones y Service Pack faltantes de forma automática en los 38 idiomas admitidos porlos productos Microsoft®. GFI LanGuard también admite la aplicación de revisiones en el caso derevisiones de terceros (no pertenecientes a Microsoft®). Para obtener una lista completa de lasaplicaciones de terceros compatibles, consulte http://go.gfi.com/?pageid=3p_fullreport. Consulte lasección siguiente para obtener información sobre lo que se muestra a continuación:

Habilitación de la implementación automática de revisiones

Configuración de las opciones avanzadas de implementación automática de revisiones

Configuración de los parámetros de descarga automática de revisiones

Habilitación de la implementación automática de revisiones

Para configurar la implementación automática de revisiones:

1. Haga clic en la ficha Configuration y después en Software Updates y Patch Auto–Deployment.

2. En el panel derecho, seleccione las revisiones que se implementarán de manera automática.



Captura de pantalla 68: Implementación automática de revisiones

Nota

Escriba un criterio de búsqueda y haga clic en Find para buscar una aplicaciónespecífica.

Configuración de las opciones avanzadas de implementación automática de revisiones

Para configurar la corrección automática:

1. Haga clic en la ficha Configuration y después en Software Updates y Patch Auto–Deployment y, enCommon Tasks, haga clic en Advanced options.


Captura de pantalla 69: Opciones avanzadas de implementación automática de revisiones

2. Configure las opciones siguientes:


Send an email when new patches or service packs areavailable (enviar un correo electrónico cuando hayarevisiones o service packs nuevos disponibles).

Permite enviar un mensaje de correo electrónico cuando seidentifican nuevas revisiones.

Enable automatic approval for: Las actualizaciones seleccionadas se descargan y se instalande forma automática en los equipos de destino. Seleccioneuna de las opciones siguientes:

Actualizaciones de seguridad

Actualizaciones no de seguridad

Service Pack y paquetes acumulativos de actua-lizaciones.

Tabla 51: Opciones avanzadas de implementación automática de revisiones



Disable automatic approval for Las actualizaciones seleccionadas se descargan, aunque no seinstalan de forma automática en los equipos de destino.Seleccione una de las opciones siguientes:

Actualizaciones de Microsoft®

Actualizaciones que no pertenezcan a Microsoft®

Actualizaciones a versiones superiores.

NotaLas actualizaciones se pueden instalar de forma manualdesde el Remediation Center. Para obtener másinformación, consulte Utilización de Remediation Center(página 148).

3. Seleccione las casillas de verificación correspondientes y haga clic en OK para guardar los cambios.

Configuración de los parámetros de descarga automática de revisiones

GFI LanGuard incluye una característica de descarga automática de revisiones que le permitedescargar revisiones y Service Pack faltantes de forma automática en los 38 idiomas admitidos por losproductos Microsoft®. A su vez, también puede programar la descarga automática de revisionesespecificando el periodo dentro del que se realizará la descarga de revisiones.

Para configurar la descarga automática de revisiones:

1. Haga clic en la ficha Configuration y después en Software Updates y Patch Auto–Download.

2. En el panel derecho, haga clic en el enlace.


Captura de pantalla 70: Configuración de las propiedades de descarga automática de revisiones

3. En la ficha General, seleccione All patches o Only needed patches.

Nota

Cuando se selecciona All patches se descargan todas las revisiones emitidas porMicrosoft®, sin importar si se requieren para la implementación. La opción Only neededpatches permite descargar únicamente las revisiones requeridas para laimplementación.


Captura de pantalla 71: Patch Repository settings

4. Para cambiar la ubicación en la que se almacenarán las revisiones descargadas, haga clic en laficha Patch Repository y especifique los detalles requeridos.

5. Seleccione Use files downloaded by WSUS when available si utiliza una configuración existente deWSUS.

6. Para cambiar el periodo durante el que se realizarán las descargas de revisiones, haga clic en laficha Timeframe y especifique los detalles requeridos.

7. Haga clic en Apply y en OK.

8.1.3 Configuración de la desinstalacion automática de aplicaciones no autorizadas

La desinstalación automática de aplicaciones implica que las aplicaciones marcadas como noautorizadas para perfiles de detección específicos se validan primero para una desinstalaciónautomática exitosa en un equipo de prueba. Posteriormente, un examen programado según el perfilde detección, para el que la aplicación se marca como no autorizada, se configura para desinstalaraplicaciones de forma automática.

El inventario de aplicaciones de GFI LanGuard proporciona una lista de todas las aplicacionesdetectadas durante exámenes pasados. La lista se utiliza para especificar aplicaciones noautorizadas. También puede agregar aplicaciones a la lista de forma manual. Puede hacer estoespecificando el nombre completo o parte de él, nombres genéricos o parte del nombre de unaaplicación. GFI LanGuard examina de forma automática la lista de aplicaciones y detecta partes de


nombres. Consulte las secciones siguientes para obtener información sobre lo que se muestra acontinuación:

Configuración de una aplicación como no autorizada

Adición de nuevas aplicaciones a la lista no autorizada

Validación de aplicaciones no autorizadas para la desinstalación automática

Administración de exámenes programados aplicables

Configuración de una aplicación como no autorizada

1. Haga clic en la ficha Configuration y después en el nodo secundario Applications Inventory.

2. En la lista de aplicaciones detectadas a la derecha, haga doble clic en la aplicación para fijarlacomo no autorizada.

Captura de pantalla 72: Aplicación no autorizada

3. Seleccione el perfil de detección para el que esta aplicación se fijará como no autorizada y hagaclic en Next.

4.GFI LanGuard puede asociar partes de nombres con entradas que ya se encuentran en la lista.Como resultado, el sistema le solicitará confirmar si se deben aplicar los mismos cambios aaplicaciones que comparten parcialmente el mismo nombre.

5. Haga clic en Finish para finalizar la configuración.

Adición de nuevas aplicaciones a la lista no autorizada

1. Haga clic en la ficha Configuration y después en el nodo secundario Applications inventory.


2. En Common Tasks, haga clic en Add a new application.

3. En la pantalla de bienvenida, haga clic en Next.

Captura de pantalla 73: Asistente del inventario de aplicaciones

4. Especifique el nombre de la aplicación. Opcionalmente, proporcione el número de versión y elnombre del editor. Haga clic en Next.

5. Seleccione los perfiles de detección que detectarán aplicaciones no autorizadas (por ejemplo, FullScan) y haga clic en Next.

6. Especifique si los cambios realizados tendrán efecto en las aplicaciones con coincidencias denombre parciales o completas. Haga clic en Next para continuar.

7. Revise la información y haga clic en Finish.

Validación de aplicaciones no autorizadas para la desinstalación automática

La validación de desinstalación automática de aplicaciones le permite validar el procedimiento dedesinstalación para las aplicaciones que GFI LanGuard deba desinstalar de forma automática. Este esun requisito previo al proceso de desinstalación real y no se desinstalan aplicaciones durante losexámenes a menos que estas se verifiquen.

1. Haga clic en la ficha Configuration y después en Applications Inventory y Auto–UninstallValidation


Captura de pantalla 74: Validación de la desinstalación automática de aplicaciones

2. En el panel derecho, seleccione una aplicación que se validará y haga clic en Validate.

3. En el asistente Application Auto–Uninstall Validation, haga clic en Next.

4. Seleccione el equipo en el que se probará la desinstalación automática de aplicación y haga clic enNext.

5. Proporcione los detalles de autenticación para la operación de validación y haga clic en Next.

6. Revise la información del asistente de validación de desinstalación automática y haga clic en Start.

Administración de exámenes programados aplicables

El botón Manage applicable scheduled scans... le permite revisar o editar exámenes programados,con lo que se realizará la instalación automática de aplicaciones validadas. Para administrar unexamen programado:

1. En el panel Auto–Uninstall validation, haga clic en Manage applicable scheduled scans....

2. En el cuadro de diálogo Manage applicable scheduled scans..., haga clic en una de las opcionesdescritas a continuación:


Edit selectedscan…

Permite modificar el examen programado seleccionado. Para obtener más información, consulte Edi-ción de parámetros de exámenes programados (página 79).

Tabla 52: Manage applicable scheduled scans...



Create a newscheduledscan…

Permite agregar un examen programado nuevo utilizando el asistente de examen programado nuevo.Para obtener más información, consulte Creación de un examen programado (página 72).

View all sche-duled scans…

Permite administrar los exámenes programados. Para obtener más información, consulte Edición deparámetros de exámenes programados (página 79).

8.1.4 Configuración de opciones de corrección automática

Para editar las opciones generales de implementación:


2. En el árbol de equipos, haga clic con el botón secundario en un equipo o grupo de equipos yseleccione Properties.

Captura de pantalla 75: Propiedades de equipos

3. Seleccione la ficha Agent Status y, en Auto remediation settings, haga clic en Change settings...


Captura de pantalla 76: Configuración general de corrección automática

4. Seleccione la medida que se debe tomar después la recepción de los resultados de examen delagente. Haga clic en Configure auto-remediation options...


Captura de pantalla 77: Opciones previas a la implementación

5. Configure las opciones de Before Deployment descritas a continuación:


Wake up offlinecomputers

Permite encender equipos si se encuentran apagados. Para obtener más información, consulteConfiguración de Wake-on-LAN en destinos de examen (página 136).

Warn user beforedeployment (showmessage)

Muestra un mensaje en el equipo de destino para advertir al usuario antes de implementar elsoftware.

Wait for user’sapproval

Esta opción permite esperar la aprobación del usuario antes de la implementación del software.

Mensajes Haga clic en Messages para seleccionar el idioma del equipo del usuario final y definir el mensajede advertencia. Para obtener más información, consulte Configuración de mensajes de correcciónautomática (página 138).

Administrative sha-res

Permite realizar una copia del software en los recursos compartidos de red predeterminados.

Custom shares Permite realizar una copia del software en un recurso compartido personalizado. Escriba el nom-bre de la carpeta en el cuadro de texto.

Remember settings Guarda sus parámetros configurados y los utiliza durante la tarea de corrección siguiente.

Tabla 53: Antes de la implementación


Captura de pantalla 78: Opciones posteriores a la implementación

6. Haga clic en la ficha After Deployment. Configure las opciones de After Deployment descritas acontinuación:


Do not reboot/s-hutdown the com-puter

Seleccione esta opción para dejar los destinos de examen encendidos después de la correcciónde vulnerabilidades.

Reboot the targetcomputers

Reinicia los equipos después de la corrección de vulnerabilidades.

Shut down the tar-get computers

El equipo de destino se apagará después de la implementación del software.

Immediately afterdeployment

Reinicia o apaga los equipos de inmediato después de corregir las vulnerabilidades.

At the next occu-rrence of

Permite especificar la hora en que los equipos se reinician o se apagan.

When between Esta opción le permite especificar los valores de hora y día. Si la tarea de corrección se completaentre las horas especificadas (hora de inicio y finalización), los equipos se reiniciarán o apagaránde inmediato. De lo contrario, la operación de reinicio o apagado se pospondrá hasta el próximoingreso en el intervalo de tiempo especificado.

Tabla 54: Después de la implementación



Let the userdecide

Haga clic en Preview para ver una captura de pantalla del cuadro de diálogo en el manual delusuario. Este cuadro de diálogo se abre en el equipo del usuario final después de la corrección devulnerabilidades. Para obtener más información, consulte Configuración de opciones de reinicio yapagado de usuarios finales (página 138).

Show notificationbefore shut downfor

Muestra un mensaje personalizado en el equipo del usuario final durante un número de minutosespecífico antes del reinicio o del apagado.

Delete copied filesfrom remote com-puters after deplo-yment

Elimina las revisiones y los Service Pack descargados después la implementación de estos.

Remember settings Guarda sus parámetros configurados y los utiliza durante la tarea de corrección siguiente.

Captura de pantalla 79: Opciones avanzadas de implementación

7. (Opcional) Seleccione la ficha Advanced. Configure las opciones descritas a continuación:


Number ofdeploymentthreads

Permite especificar el número máximo de subprocesos de procesamiento cuyo inicio se permita alimplementar actualizaciones de software. El número de subprocesos determina el número deoperaciones de implementación simultáneas que un agente puede manejar.

Tabla 55: Opciones avanzadas de implementación



Deploymenttimeout(seconds)

Permite especificar el tiempo (en segundos) durante el que un agente intentará implementar unaactualización. Si se excede el tiempo especificado, el agente detiene la implementación que noresponda e inicia un nuevo subproceso de implementación.Esta característica le permite detener el subproceso de procesamiento, para que la operación decorrección continúe sin poner en riesgo lo demás cuando una actualización exceda el tiempo deimplementación normal.

Deploypatches underthe followingadministrativeaccount

Seleccione esta opción para utilizar una cuenta administrativa a fin de registrar e implementar revi-siones en equipos de destino. La cuenta seleccionada debe contar con la opción Log–on as service pri-vilege en los equipos de destino. Para obtener más información acerca de cómo configurar una cuentacon la opción Log–on as service privilege, consulte http://go.gfi.com/?pageid=LAN_LogonService.

8. Haga clic en OK para aplicar los cambios.

Configuración de Wake-on-LAN en destinos de examen

Wake-on-LAN permite que GFI LanGuard reactive equipos que estén en los siguientes estados:

Apagado

Suspensión

Hibernación.

La placa base y la tarjeta de interfaz de red del equipo en el que se ejecute GFI LanGuard deben sercompatibles con Wake-on-LAN. Para configurar Wake-on-LAN en Windows® 7:

1. Haga clic con el botón principal en Start, después con el secundario en Computer y seleccioneManage.

2. En el panel izquierdo, expanda System Tools y haga clic en Device Manager.

Captura de pantalla 80: Device Manager

3. Haga clic con el botón secundario en la tarjeta de interfaz de red y seleccione Properties.

http://go.gfi.com/?pageid=LAN_LogonService


Captura de pantalla 81: Power Management

4. En la ficha Power Management, configure las siguientes opciones:

Allow this device to wake up the computer

Only allow a magic packet to wake the computer

Nota

Magic Packet es la señal de reactivación enviada por GFI LanGuard a la tarjeta de reddel destino de examen.

5. Haga clic en OK.

Una vez que se configure la tarjeta de interfaz de red, ejecute un examen COMPLETO en el equipocliente. Esto permite a GFI LanGuard recopilar la información requerida del equipo cliente. Paraobtener más información, consulte Exámenes manuales (página 67).

IMPORTANTE

Si hay enrutadores entre el equipo cliente y el equipo con GFI LanGuard, el enrutador yel equipo con GFI LanGuard se deben configurar de modo que permitan paquetes detransmisión de Wake-on-LAN en el puerto UDP 9.


8.1.5 Configuración de opciones de reinicio y apagado de usuarios finales

Al configurar los parámetros de After Deployment, en Auto-remediation options, puede configurarGFI LanGuard para que muestre al usuario una notificación y le permita decidir cuándo reiniciar oapagar el equipo después de completar una tarea administrativa. El siguiente cuadro de diálogo seabre en el equipo del usuario y le permite seleccionar una de las siguientes opciones:

Captura de pantalla 82: Opciones de reinicio y apagado

En la siguiente tabla se describen las diferentes opciones disponibles:


Restart now Reinicia o apaga el equipo de inmediato después de completar una tarea administrativa.

Remind me in Permite especificar un intervalo de tiempo (en minutos) para mostrar al usuario final un recor-datorio.

Restart on Permite especificar la fecha y la hora en que el equipo se reinicia o se apaga.

Don’t bother meagain

El usuario no vuelve a recibir una solicitud nuevamente.

Tabla 56: Opciones avanzadas de implementación

8.1.6 Configuración de mensajes de corrección automática

GFI LanGuard le permite mostrar mensajes de advertencia de forma automática antes y después delas operaciones de corrección. Estos mensajes se muestran en los equipos de los usuarios finales y, enalgunos casos, les permiten seleccionar opciones posteriores a la implementación o notificarlosrespecto de las operaciones que se realizarán. Puede personalizar mensajes predefinidos y fijar elidioma según el que esté seleccionado en el equipo del destino de examen.

Para configurar mensajes de advertencia:


2. Haga clic en la ficha Remediate y después en Remediation Center.

3. En Remediation Center, seleccione una acción de corrección, como Deploy Software Updates.


Captura de pantalla 83: Remediation Center: Deploy Software Updates

4. Haga clic en Remediate.


Captura de pantalla 84: Cuadro de diálogo de opciones de implementación

5. Haga clic en Advanced options.


Captura de pantalla 85: Opciones de mensajes previos a la implementación

6. En el cuadro de diálogo Remediation options, haga clic en la ficha Before Deployment y despuésen Messages....


Captura de pantalla 86: Personalización de mensajes de advertencia

7. Personalice cualquiera de las siguientes opciones:


Idioma Permite seleccionar el idioma del mensaje.

When not waiting foruser approval

Utilice o personalice el mensaje predefinido que se mostrará en el equipo del usuario finalcuando GFI LanGuard no espere una aprobación.

When waiting for userapproval

Utilice o personalice el mensaje predefinido que se mostrará en el equipo del usuario finalcuando GFI LanGuard espere una aprobación.

Tabla 57: Mensajes de advertencia

8. Haga clic en Apply y en OK.

8.1.7 Configuración de la corrección automática de agentes

En un entorno basado en agente, se pueden fijar opciones de corrección automática para cada agenteimplementado. Esto le permite configurar cada agente con opciones de corrección automáticaespecíficas según sus requisitos.

Para configurar acciones de corrección automática de agentes:



3. En el panel derecho, haga clic en un agente con el botón secundario y seleccione Properties.


4. Seleccione la ficha Agent Status y, en la sección Auto remediation settings, haga clic en ChangeSettings.

Captura de pantalla 87: Corrección automática de agentes

5. Seleccione Download and deploy missing updates para habilitar la corrección automática pararevisiones faltantes.

6. Seleccione Download and deploy missing service packs and update rollups para habilitar lacorrección automática para Service Pack faltantes.

7. Seleccione Uninstall unauthorized applications para habilitar la corrección automática paraaplicaciones no autorizadas.

8. (Opcional) Haga clic en Configure auto–remediation options… para la personalización adicional deopciones de corrección. Para obtener más información, consulte Configuración de opciones decorrección automática (página 131).

9. Haga clic en OK.

8.1.8 Configuración de categorías de software

GFI LanGuard viene con una característica de categorías de software que le permite agregar yclasificar software según diferentes categorías. GFI LanGuard también admite la edición de detallesde software.

Adición de categorías de software nuevas

Adición de software nuevo a una categoría


Importación de software a una categoría

Personalización del software

Para configurar categorías de software:

1. Haga clic en la ficha Configuration y después en Software Categories.

8.1.9 Adición de categorías de software nuevas

Para agregar categorías de software nuevas:

1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, hagaclic en la lista desplegable de Add y seleccione New software category.

2. Escriba el nombre de la categoría de software nueva.

8.1.10 Adición de software nuevo a una categoría

Para agregar software nuevo a una categoría:


1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, hagaclic en la lista desplegable de Add y seleccione Add software to category.

2. Introduzca el nombre y el editor del software nuevo y seleccione la categoría para este último.

8.1.11 Importación de software a una categoría

Para importar software a una categoría:

1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, hagaclic en la lista desplegable de Add y seleccione Import.


2. Seleccione el archivo de texto que contenga el nombre del software y la categoría en la que deseeque se incluya el software.

8.1.12 Personalización del software

Para personalizar el software de una categoría:

1. Haga clic en la ficha Configuration, después en Software Categories y, en el panel derecho, hagaclic en Edit.


2. Cambie los detalles necesarios y haga clic en OK para guardar los cambios.


8.2 Corrección manual

Además de descargar de forma automática revisiones y Service Pack, GFI LanGuard puedeimplementar estas actualizaciones en toda la red y recuperar cualquier revisión implementada.

Las operaciones de implementación y reversión de revisiones se administran a través de un servicio deagente que gestiona todas las transferencias entre GFI LanGuard y los destinos remotos. Este serviciose instala de forma automática en el equipo de destino remoto durante el proceso de implementaciónde revisiones.

Tareas de corrección manual:

Repaso de las notas importantes acerca de la corrección manual

Obtención de más información acerca de Remediation Center

Implementación de actualizaciones de software

Desinstalación de actualizaciones de software

Implementación de software personalizado

Desinstalación de aplicaciones

Protección de malware

Conexión remota con un equipo que utilice GFI LanGuard.

8.2.1 Notas acerca de la corrección automática

1. Aunque ocurre con poca frecuencia, es posible que se recuperen revisiones a causa devulnerabilidades o problemas recientemente detectados debidos a la instalación de estasactualizaciones, como, por ejemplo, problemas de conflictos con el software o hardware actuales.Entre los ejemplos de actualizaciones recuperadas por el fabricante se incluyen las revisiones MS03–045 y MS03–047 para Exchange publicadas por Microsoft® el 15 de octubre de 2006.

2. Asegúrese de que el servicio NetBIOS esté habilitado en el equipo de destino remoto. Para obtenermás información, consulte Configuración de NetBIOS (página 255).

3. Una lista completa de productos de Microsoft para los que GFI LanGuard puede descargar eimplementar revisiones de implementación se encuentra disponible enhttp://go.gfi.com/?pageid=ms_app_fullreport

4. Las revisiones de actualizaciones de software que no pertenece a Microsoft y son compatibles conGFI LanGuard se encuentran disponibles en http://go.gfi.com/?pageid=3p_fullreport

5. GFI LanGuard se puede configurar para descargar de forma automática revisiones y Service Packfaltantes detectados durante un examen de seguridad de red. Para obtener más información,consulte Configuración de la implementación automática de actualizaciones faltantes (página 122).

8.2.2 Utilización de Remediation Center

Remediation Center le permite corregir problemas de seguridad hallados durante un examen de redimplementando o desinstalando aplicaciones de equipos de destino. Para acceder a RemediationCenter, seleccione la ficha Remediate y después Remediation Center.




Captura de pantalla 88: Remediation Center

En el panel izquierdo, expanda y localice un equipo o dominio para realizar acciones de corrección.Las acciones de corrección disponibles se describen a continuación:


Deploy SoftwareUpdates

Permite implementar revisiones faltantes detectadas al auditar equipos de destino. Para obtenermás información, consulte Implementación de actualizaciones de software (página 149).

Uninstall SoftwareUpdates

Permite desinstalar Service Pack de equipos de destino. Para obtener más información, consulteDesinstalación de actualizaciones de software (página 152).

Deploy CustomSoftware

Permite implementar aplicaciones y scripts personalizados en los equipos de destino. Para obte-ner más información, consulte Implementación de software personalizado (página 154).

Uninstall Appli-cations

Permite desinstalar aplicaciones de los equipos de destino. Para obtener más información, con-sulte Desinstalación de aplicaciones personalizadas.

Malware Pro-tection

Permite realizar acciones de protección de malware en equipos de destino. Para obtener másinformación, consulte Protección de malware (página 155).

Remote Supportvia Remote Desk-top Connection

Permite establecer una conexión con un equipo de destino y realizar tareas administrativas uti-lizando la conexión a escritorios remotos. Para obtener más información, consulte Utilización de laasistencia de escritorios remotos (página 157).

Tabla 58: Acciones de corrección

8.2.3 Implementación de actualizaciones de software

Utilice la característica Deploy Software Updates para implementar de forma manual:

Service Pack y paquetes acumulativos de actualizaciones faltantes

Actualizaciones de seguridad faltantes

Actualizaciones no de seguridad faltantes.


Esta característica le permite seleccionar de forma específica los elementos que desee implementar yle proporciona una descripción detallada para cada uno.

Nota

Para ver información adicional acerca de una actualización, haga clic con el botónsecundario en una actualización y seleccione More details y después Bulletin info...

Para implementar actualizaciones de software de forma manual:


2. Haga clic en la ficha Remediate y expanda Deploy Software Updates.

Captura de pantalla 89: Implementación de actualizaciones de software

3. En el ábol de equipos, seleccione el equipo o grupo en los que se implementarán las actualizacionesde software.

4. En la lista de actualizaciones faltantes, seleccione las actualizaciones que se implementarán.

Nota

Utilice la barra de búsqueda para buscar actualizaciones faltantes específicas, o bien lasopciones de filtrado para los encabezados de cada columna a fin de ver solo los datosrequeridos.



Captura de pantalla 90: Opciones de Deploy software updates

6. El cuadro de diálogo Deploy software updates le permite editar opciones de implementación antesde iniciar la operación de implementación. Revise las opciones descritas a continuación:


Deployimmediately

Opción seleccionada de forma predeterminada. Déjela seleccionada para implementar actualizacionesfaltantes de inmediato.

Deploy on Permite especificar la fecha y la hora en que se implementarán las actualizaciones faltantes.

Credentials Le proporciona la configuración de credenciales para las actualizaciones. Haga clic en Customize paracambiar la configuración.

Beforedeploymentoptions

Le proporciona las acciones que se aplican antes de implementar actualizaciones de software. Haga clicen Customize para editar el mensaje previo a la implementación y el tipo de recurso compartido creadopara transferir actualizaciones y archivos de detalles de examen.

After deplo-ymentoptions

Le proporciona las acciones que se aplican antes de implementar actualizaciones de software faltantes.Haga clic en Customize para determinar mediante configuración si los equipos se reiniciarán, se apagaráno mostrarán un mensaje al usuario final.

Advancedoptions

Haga clic en Advanced options para configurar lo siguiente:Número de subprocesos de implementación. Máximo = 10

Tiempo de espera de implementación

Credenciales alternativas.

Seleccione Remember settings para reutilizar la misma configuración al ejecutar la próxima tarea deimplementación. Para obtener más información, consulte Configuración de opciones de correcciónautomática (página 131).

Tabla 59: Opciones de Deploy software updates


7. Haga clic en OK para comenzar a implementar actualizaciones. Accederá de forma automática a laficha Remediation Jobs, en la que puede controlar el progreso de la operación de implementación.

8.2.4 Desinstalación de actualizaciones de software

La característica Uninstall Software Updates le permite quitar de forma manual:

Service Pack y paquetes acumulativos de actualizaciones instalados

Actualizaciones de seguridad instaladas

Actualizaciones no de seguridad instaladas.

Para desinstalar de forma manual actualizaciones de software:


2. Haga clic en la ficha Remediate y expanda Uninstall Software Updates.

Captura de pantalla 91: Desinstalación de actualizaciones de software

3. En el ábol de equipos, seleccione el equipo o grupo en los que se desinstalarán las actualizacionesde software.

4. En la lista de actualizaciones faltantes, seleccione las actualizaciones que desea desinstalar.

Nota

Utilice la barra de búsqueda para buscar actualizaciones instaladas específicas, o bienlas opciones de filtrado para los encabezados de cada columna a fin de ver solo los datosrequeridos.



Captura de pantalla 92: Opciones de Uninstall software updates

6. El cuadro de diálogo Uninstall software updates le permite editar opciones de desinstalación antesde iniciar la operación de desinstalación. Revise las opciones descritas a continuación:


Uninstallimmediately

Opción seleccionada de forma predeterminada. Déjela seleccionada si desea desinstalar actualizacionesde inmediato.

Uninstall on Permite especificar la fecha y la hora en que se desinstalarán las actualizaciones.

Credentials Le proporciona la configuración de credenciales utilizadas para desinstalar actualizaciones. Haga clic enCustomize para cambiar la configuración y utilizar credenciales alternativas.


Le proporciona las acciones que se aplican antes de desinstalar actualizaciones de software. Haga clic enCustomize para editar el mensaje previo a la implementación y el tipo de recurso compartido creadopara transferir actualizaciones.


Le proporciona las acciones que se aplican antes de desinstalar actualizaciones de software. Haga clic enCustomize para determinar mediante configuración si los equipos se reiniciarán, se apagarán o mostraránun mensaje al usuario final.

Advancedoptions

Haga clic en Advanced options para configurar lo siguiente:Número de subprocesos de implementación. Máximo = 10

Tiempo de espera de implementación

Credenciales alternativas.

Seleccione Remember settings para reutilizar la configuración al ejecutar la próxima operación deimplementación. Para obtener más información, consulte Configuración de opciones de correcciónautomática (página 131).

Tabla 60: Opciones de Uninstall software updates


7. Haga clic en OK para comenzar a desinstalar las actualizaciones seleccionadas. Accederá de formaautomática a la ficha Remediation Jobs, en la que puede controlar el progreso de la operación dedesinstalación.

8.2.5 Implementación de software personalizado

Además de ofrecer actualizaciones de seguridad y revisiones, GFI LanGuard también le permiteimplementar software de terceros o personalizado en toda la red. Entre las aplicaciones de softwareque se pueden implementar de forma remota se incluyen:

Aplicaciones de seguridad, como soluciones antivirus y antispyware y cortafuegos de software

Actualizaciones de software y revisiones de terceros, como las actualizaciones de archivos defirma de antivirus y antispyware

Códigos personalizados, como scripts y archivos de procesamiento por lotes

Aplicaciones de escritorio, como Microsoft® Office 2007 y más.

Para especificar el software que se implementará:

1. Haga clic en la ficha Remediate y después en Remediation Center.

2. En el ábol de equipos, seleccione los equipos en los que el software nuevo se implementará y hagaclic en Deploy Custom Software.

Captura de pantalla 93: Lista de software que se implementará

3. Utilice las opciones descritas a continuación para agregar las aplicaciones que se implementarán:



Add Haga clic en este botón para iniciar el cuadro de diálogo Add custom software. Este cuadro de diálogo le per-mite agregar una aplicación a la lista y, si es necesario, configurar parámetros.

Edit Seleccione una aplicación y haga clic en este botón para iniciar el cuadro de diálogo Add custom software.Este cuadro de diálogo le permite modificar los parámetros de instalación existentes.

Remove Seleccione una aplicación de la lista y haga clic en este botón para quitar la aplicación.

Import Haga clic en este botón para importar los parámetros de las aplicaciones desde un archivo XML.

Export Haga clic en este botón para exportar los parámetros de las aplicaciones a un archivo XML.

Tabla 61: Opciones disponibles en Deploy Custom Software

4. Haga clic en Deploy y configure las opciones descritas a continuación:


Deployimmediately

Implementa las aplicaciones seleccionadas de inmediato.

Deploy on Implementa las aplicaciones seleccionadas en una fecha y hora específicas. Determine mediante con-figuración cuándo implementar las aplicaciones.

Credentials Permite seleccionar el método de autenticación que se debe utilizar o especificar un nombre de usuarioy contraseña. Seleccione Use per computer credentials when available para utilizar las credencialesespecificadas en las propiedades del equipo. Para obtener más información, consulte Propiedades de losagentes (página 48).


Permite configurar las acciones que se deben realizar antes de implementar las aplicaciones selec-cionadas. Para obtener más información, consulte Configuración de opciones de corrección automática(página 131).


Permite configurar las acciones que se deben realizar después de implementar las aplicaciones selec-cionadas. Para obtener más información, consulte Configuración de opciones de corrección automática(página 131).

Advancedoptions

Configurar otras opciones relacionadas con el reinicio y el apagado, y eliminar archivos copiados de equi-pos remotos. Para obtener más información, consulte Configuración de opciones de corrección auto-mática (página 131).

Tabla 62: Opciones de implementación

5. Haga clic en OK.

6. Para ver el progreso de la implementación, haga clic en Remediation Jobs en el panel derecho.

8.2.6 Protección de malware

Utilice la sección Malware Protection para corregir vulnerabilidades relacionadas con la protecciónde malware identificado en equipos de destino. Entre otras posibilidades, esta sección le permiteexaminar equipos de destino en busca de spyware y virus y habilitar el cortafuegos local.

Nota

Para examinar un equipo en busca de virus y spyware, el equipo de destino debe contarcon antivirus y antispyware instalados.


Captura de pantalla 94: Protección de malware

Para corregir vulnerabilidades en la protección de malware:

1. Seleccione la ficha Remediate, Remediation Center y haga clic en Malware Protection.

2. Localice y expanda la vulnerabilidad de malware y seleccione los equipos que se someterán acorrección.

Nota

Escriba un criterio y haga clic en Find para buscar una vulnerabilidad. Haga clic en Clearpara borrar resultados de búsqueda previos.

3. Haga clic en Remediate y configure las opciones descritas a continuación:


Deployimmediately

Implementa las aplicaciones seleccionadas de inmediato.

Deploy on Implementa las aplicaciones seleccionadas en una fecha y hora específicas. Determine mediante con-figuración cuándo implementar las aplicaciones.

Credentials Permite seleccionar el método de autenticación que se debe utilizar o especificar un nombre de usuarioy contraseña. Seleccione Use per computer credentials when available para utilizar las credencialesespecificadas en las propiedades del equipo. Para obtener más información, consulte Propiedades de losagentes (página 48).

Tabla 63: Opciones de implementación




Permite configurar las acciones que se deben realizar antes de implementar las aplicaciones selec-cionadas. Para obtener más información, consulte Configuración de opciones de corrección automática(página 131).


Permite configurar las acciones que se deben realizar después de implementar las aplicaciones selec-cionadas. Para obtener más información, consulte Configuración de opciones de corrección automática(página 131).

Advancedoptions

Configurar otras opciones relacionadas con el reinicio y el apagado, y eliminar archivos copiados de equi-pos remotos. Para obtener más información, consulte Configuración de opciones de corrección auto-mática (página 131).

4. Haga clic en OK.

5. Para visualizar el progreso de la acción, haga clic en Remediation Jobs en el panel derecho.

8.2.7 Utilización de la asistencia de escritorios remotos

A través de la asistencia remota, puede controlar equipos remotos utilizando servicios de terminal yprotocolo de escritorio remoto. La asistencia remota le permite instalar revisiones, Service Pack ysoftware personalizado faltantes a través de una conexión remota.

Captura de pantalla 95: Conexión a un escritorio remoto

Para establecer una conexión remota con un equipo de destino:

1. Haga clic en la ficha Remediate y, en el panel izquierdo, seleccione un equipo, un dominio o ungrupo de trabajo.

2. Expanda Remote Support via Remote Desktop Connection en el panel derecho.

3. Según su selección, la lista contiene los equipos disponibles que permiten la conexión a escritoriosremotos.


4. Haga doble clic en una máquina de la lista para establecer la conexión.

Nota

Para desconectar una máquina, seleccione Remediation Center, Remote Support via…,haga con el botón secundario en un equipo de la lista y seleccione Disconnect.

Nota

Para deshabilitar la conexión remota, haga clic con el botón secundario en un equipo yseleccione Disable Remote Connection.

GFI LanGuard 9 Supervisión de actividad | 159

9 Supervisión de actividad

La supervisión de actividades le permite obtener más información sobre cómoGFI LanGuard sedesempeña en su infraestructura. La ficha Activity Monitor de GFI LanGuard le permite controlarexámenes de seguridad, tareas de corrección y operaciones de descarga de actualizaciones faltantesy definiciones e seguridad.


9.1 Supervisión de los exámenes de seguridad 159

9.2 Supervisión de la descarga de actualizaciones de software 161

9.3 Supervisión de operaciones de corrección 163

9.4 Supervisión de actualizaciones de productos 166

9.1 Supervisión de los exámenes de seguridad

La sección Security Scans permite el control de todos los exámenes de seguridad en progreso.

Para monitorizar los exámenes de seguridad activos:


2. Haga clic en la ficha Activity Monitor y, en el panel izquierdo, en Security Scans.

Captura de pantalla 96: Supervisión de los exámenes de seguridad


Nota

Para detener un examen de seguridad, haga clic con el botón secundario en este yseleccione Stop selected scans.

Nota


9.1.1 Filtrado de exámenes de seguridad

La sección Security Scan le permite configurar el tipo de exámenes que se controlarán. Paraconfigurar los tipos de exámenes que se mostrarán:


2. Haga clic en la ficha Activity Monitor y, dentro de Common Tasks, en Filter security scans.

Captura de pantalla 97: Cuadro de diálogo de filtrado de exámenes de seguridad




All scans Muestra todos los exámenes.

Only last X scans Muestra únicamente los últimos X exámenes.

Only scans performedin the last X days

Muestra únicamente los exámenes realizados en los últimos X días.

Interactive scans Muestra únicamente los exámenes manuales. Para obtener más información, consulte Exá-menes manuales (página 67).

Scheduled scans Muestra únicamente exámenes programados. Para obtener más información, consulte Exá-menes programados (página 71).

Agent scans Muestra únicamente exámenes realizados en equipos de agentes. Para obtener más infor-mación, consulte Inicio manual de un exámenes de agentes (página 83).

Tabla 64: Cuadro de diálogo de filtrado de exámenes de seguridad

4. Haga clic en OK.

9.2 Supervisión de la descarga de actualizaciones de software

La pantalla Software Updates Download le permite supervisar, pausar y cancelar todas las descargasde revisiones programadas, y también o cambiar la prioridad de estas.

Captura de pantalla 98: Descarga de actualizaciones de seguridad

El icono de la primera columna indica el estado de la descarga. En la siguiente tabla se describen losdiferentes estados:


Icono Descripción

DescargadaActualización descargada con éxito.

Descarga en cursoLa actualización se está descargando.

Error en la descargaSe produjo un error durante la descarga de la actualización. Consulte la columna Error para obtener másinformación relacionada con el error hallado.

PendienteLa actualización se encuentra en cola para su descarga.

CanceladaEl usuario canceló la descarga de la actualización.

Tabla 65: Estado de las descargas de actualizaciones

Haga clic con el botón secundario en una entrada y seleccione una de las opciones descritas acontinuación:


ConfigurePatch Auto–Download

Habilita o deshabilita la descarga automática de revisiones y se utiliza para configurar el punto dealmacenamiento de las revisiones. Para obtener más información, consulte Configuración de la descargaautomática de revisiones.

Edit proxysettings…

Permite configurar los parámetros de proxy que utiliza GFI LanGuard para conectarse a Internet. Paraobtener más información, consulte Configuración de actualizaciones del programa (página 193).

Change down-load prio-rity…

Permite cambiar la prioridad de las descargas. Seleccione los valores de prioridad alta, normal o baja.

Cancel selec-ted down-loads

Permite detener y quitar las descargas seleccionadas.

Pause alldownloads

Permite pausar temporalmente todas las descargas.

Tabla 66: Descarga de actualizaciones de seguridad

9.2.1 Solución de problemas de actualizaciones de software fallidas

En esta sección se le proporciona información acerca de tres errores de actualización de softwareque pueden hacer que las actualizaciones de software no se descarguen o se instalen.

En la siguiente tabla se le proporciona el mensaje de error real que recibirá si uno de los errores seproduce, además de una posible causa y una solución en cada caso:


Mensaje de error Causa Solución

The file URLpoints to a diffe-rent file thanexpected. Tryre-scanning withthe latest pro-gram updates

El proveedor independiente reemplazarevisiones anteriores por revisiones actua-lizadas utilizando la misma URL. GFI notiene control sobre la manera en que losproveedores independientes reemplazanlas actualizaciones y las URL.

Descargue las actualizaciones del producto más recien-tes de forma manual y examine nuevamente sus des-tinos. Para obtener más información, consulteConfiguración de actualizaciones del programa (página193).

NotaExiste una demora de 12 a 24 horas entre tercerosque publican nuevas actualizaciones y GFILanGuard agregan compatibilidad para ellas.Durante este tiempo continuará recibiendo elmensaje de error aunque descargue y examinesus destinos utilizando las actualizaciones delproducto más recientes.

The repositoryfolder is notaccessible. SeeConfiguration -Patch Auto-down-load

La carpeta de repositorio es la ubicaciónen la cual las actualizaciones sedescargan. GFI LanGuard Le permiteespecificar ubicaciones de repositorioalternativas a la predeterminada.Este error se produce generalmentedespués de especificar una ruta deacceso de repositorio inválida oinaccesible (por ejemplo, la rutaproporcionada hace referencia a unaubicación de un equipo apagado).

1. Compruebe manualmente que pueda acceder a laruta de acceso de la carpeta utilizando las mismascredenciales de inicio de sesión.2. Asegúrese de que la ruta especificada sea válida:

Ruta de acceso local; ejemplo: C:\Compartir oC:\Carpeta

Ruta de acceso UNC; ejemplo: \\Com-partirRed\Carpeta

3. Asegúrese de que la ruta de acceso especificada seescriba correctamente.

NotaPara obtener más información, consulteConfiguración de los parámetros de descargaautomática de revisiones en Configurar laimplementación automática de actualizacionesfaltantes.

Internet con-nection not avai-lable

El equipo en el que GFI LanGuard estáinstalado no cuenta con acceso aInternet.Existen muchas causas posibles para esteproblema.

Establezca una conexión a Internet e intente descargarlas actualizaciones fallidas.

Tabla 67: Solución de problemas de actualizaciones de software fallidas

9.3 Supervisión de operaciones de corrección

Las operaciones de corrección se puede controlar desde los siguientes puntos:

Subficha Remediation Jobs

Vista Remediation Jobs

9.3.1 Subficha Remediation Jobs

La sección Remediation Jobs le permite supervisar las acciones de corrección en curso.

Para ver las tareas de corrección en progreso:


2. Haga clic en la ficha Remediate y después en la subficha Remediation Jobs.


Captura de pantalla 99: Supervisión de tareas desde la subficha Remediation Jobs

3. Desde el árbol de equipos, seleccione Entire Network para ver todo el funcionamiento además delas operaciones completadas. Seleccione equipos o grupos específicos para visualizar el historial detareas de corrección o el progreso de la corrección para los elementos seleccionados.

Nota

Haga clic con el botón secundario en una tarea de corrección y seleccione Cancelselected deployment para detener la operación.

Nota

Haga clic en una tarea de corrección y seleccione Go to associated schedule scan parsver el examen preconfigurado que desencadenó la corrección.

Nota

En la sección Remediation job details se le proporciona información de progreso muydetallada que indica el número total de archivos que se deben descargar, el progreso dela descarga de cada archivo y la operación que se ejecuta en el momento como parte dela tarea de corrección.


9.3.2 Vista Remediation Operations

La pantalla Remediation Operations le permite supervisar y cancelar todas las características decorrección programadas dentro de GFI LanGuard.

Para ver la actividad de las tareas de corrección:


2. Haga clic en Activity Monitor y después en Remediation Operations.

Captura de pantalla 100: Supervisión de tareas desde la vista Remediation Operations

3. Utilice la vista para supervisar el estado y el historial de todo el funcionamiento, y para completarlas tareas de corrección.

Nota

Haga clic con el botón secundario en una tarea de corrección y seleccione Cancelselected deployment para detener la operación.

Nota

Haga clic en una tarea de corrección y seleccione Go to associated schedule scan parsver el examen preconfigurado que desencadenó la corrección.


Nota

En la sección Remediation job details se le proporciona información de progreso muydetallada que indica el número total de archivos que se deben descargar, el progreso dela descarga de cada archivo y la operación que se ejecuta en el momento como parte dela tarea de corrección.

9.4 Supervisión de actualizaciones de productos

La pantalla Product Updates Activity le permite visualizar un historial de las actualizaciones delproducto realizadas por GFI LanGuard. Para obtener más información, consulte Configuración deactualizaciones del programa (página 193).

Captura de pantalla 101: Actividad de las actualizaciones del producto

GFI LanGuard 10 Reporting | 167

10 Reporting

GFI LanGuard incluye un módulo de generación de informes que le permite crear informes textuales ygráficos a partir de información obtenida en exámenes de seguridad de red. En este capítulo se leproporciona información general sobre los informes disponibles y sobre cómo crear sus propiosinformes para una solución a medida. A través de la ficha Reports, puede generar informes deactividad técnicos para personal de TI y también informes ejecutivos que normalmente contienenmenos detalles técnicos y se centran más en estadísticas generales.


10.1 Informes disponibles 167

10.2 Generación de informes 174

10.3 Programación de informes 176

10.4 Personalización de informes predeterminados 179

10.5 Búsqueda de texto completo 183

10.1 Informes disponibles

En esta sección se le brinda información acerca de los informes que se encuentran disponibles deforma predeterminada en la ficha Reports de GFI LanGuard. Existen dos tipos de informes principales:

Informes generales: proporcionan informes técnicos detallados e informes de resumen ejecutivoacerca de la seguridad de LAN y la actividad de administración de revisiones

Informes de cumplimiento legal: proporcionan información de auditoría de sistemas y redes quele permite cumplir con estándares, leyes y normativas que se relacionan con convenciones de uti-lización y administración de redes corporativas.

Consulte las secciones siguientes para obtener información sobre:

Informes generales disponibles

Informes de cumplimiento legal disponibles

10.1.1 Informes generales

Para ver informes Generales:

1. Haga clic en la ficha Reports.

2. En la lista de informes, expanda General y seleccione cualquiera de los siguientes informes:


Título delinforme

Descripción

NetworkSecurity Over-view

Informe de resumen ejecutivo en el que se muestra lo siguiente:Nivel de vulnerabilidad de la red

Equipos más vulnerables

Estado de agentes


Tentendencias de vulnerabilidad con el tiempo

Información sobre sistemas operativos

Servidores y estaciones de trabajo.

ComputerSecurity Over-view

Informe de resumen ejecutivo en el que se muestra lo siguiente:Nivel de vulnerabilidad del equipo

Estado de agentes


Tentendencias de vulnerabilidad con el tiempo

Resumen y detalles de equipos.

VulnerabilityStatus

Muestra información estadística relacionada con vulnerabilidades detectadas en equipos de destino.Las vulnerabilidades se pueden agrupar por:

Nombre de equipo

Gravedad de las vulnerabilidades

Marca hora

Categoría.

Patching Sta-tus

Muestra información estadística relacionada con actualizaciones faltantes e instaladas detectadas ensus equipos de destino. Las actualizaciones se pueden agrupar por nombre, gravedad, marca de hora,proveedor y categoría. Utilice este informe para obtener:

Comparaciones entre actualizaciones faltantes e instaladas

Tablas y gráficos en los que se muestra la distribución de actualizaciones faltantes para cada ele-mento del primer y segundo criterio de agrupación

Tablas y gráficos en los que se muestra la distribución de actualizaciones instaladas para cada ele-mento del primer y segundo criterio de agrupación

Detalles de aplicación de revisiones para revisiones faltantes e instaladas.

Missing Micro-soft® Secu-rity Updates

Muestra información estadística relacionada con actualizaciones de seguridad de Microsoft® faltantesdetectadas en sus equipos de destino. Seleccione los elementos que incluirá en su informe:

Gráfico de distribución de actualizaciones generales faltantes

Tabla de distribución

Lista de vulnerabilidades.

Missing Non-Microsoft®

SecurityUpdates

Muestra información estadística relacionada con actualizaciones de seguridad faltantes que nopertenecen a Microsoft® detectadas en sus equipos de destino. Seleccione los elementos que incluiráen su informe:

Gráfico de distribución de actualizaciones generales faltantes

Tabla de distribución

Lista de vulnerabilidades.

Missing Secu-rity Updates

Enumera información estadística relacionada con actualizaciones de seguridad faltantes halladas enequipos examinados.

Tabla 68: Informes generales disponibles


Título delinforme

Descripción

Full Audit Informe técnico en el que se muestra información recuperada durante una auditoría. Entre otrosaspectos, el informe contiene información sobre:

Vulnerabilidades

Puertos abiertos

Hardware y software.

ComputerSummary

Resumen de información de destinos de examen que incluye lo siguiente:Información del sistema operativo

Estado de agentes

Gravedad de las vulnerabilidades.

HardwareAudit

Muestra información relacionada con el hardware hallado durante una auditoría.

Detalles deequipos

Proporciona una lista detallada de propiedades de equipos, entre las que se incluye lo siguiente:Dirección MAC

Periodo de vida

Rol de red

Dominio

Administrador de LAN

Es un agente de retransmisión

Utiliza un agente de retransmisión

Atributos

Sistema operativo

Dirección IP.

Open Shares Enumera todas las carpetas de recursos compartidos halladas durante una auditoría. Los resultados seagrupan por nombre de equipo.

Open Ports Enumera todos los puertos abiertos hallados durante una auditoría. Los resultados se agrupan por tipode puerto (TCP y UDP).

Scan Based –Full Audit

Informe técnico en el que se muestra información recuperada durante un examen especificado. Elinforme contiene detalles completos de los equipos examinados y también sobre correcciones auto-máticas realizadas después del examen.

Last ScanSummary

Informe técnico que contiene el resumen de la información recuperada durante el último examen.

Last ScanDetails

Informe técnico que contiene toda la información obtenida durante el último examen. El informe con-tiene detalles completos del destino examinado.

Last Auto–remediation

Informe técnico que contiene toda la información relacionada con correcciones automáticas realizadasdespués del último examen.

Last ScanSecurity Chan-ges

Muestra todos los cambios detectados durante el último examen.

SoftwareAudit

Muestra todas las aplicaciones no autorizadas instaladas en equipos de destino halladas durante unaauditoría. Entre otros aspectos, el informe incluye información sobre lo siguiente:

Antivirus

Antispyware

Inventario de aplicaciones.

UnauthorizedApplications

Enumera todas las aplicaciones no autorizadas instaladas en destinos de examen.


Título delinforme

Descripción

AntivirusApplications

Muestra información relacionada con el antivirus instalado en destinos de examen.

Scan History Información general de las auditorías de seguridad de la red realizadas con el tiempo. Entre otrosaspectos, el informe incluye información sobre lo siguiente:

Equipos más examinados

Equipos menos examinados

Estado de auditoría

Listado del historial.

RemediationHistory

Muestra información relacionada con acciones de corrección realizadas en equipos de destino. Entreotros aspectos, el informe incluye información sobre lo siguiente:

Acciones de corrección por día

Distribución de correcciones por catgoría

Lista de correcciones agrupadas por equipos.

NetworkSecurity His-tory

Muestra los cambios realizados en destinos de examen entre auditorías. Entre otros aspectos, elinforme incluye cambios relacionados con lo siguiente:

El nivel de vulnerabilidad

Cuentas de usuario

Grupos

Puertos

Recursos compartidos

Entradas de registro.

Baseline Com-parison

Le permite comparar los resultados de todos los destinos de examen con un equipo base. En la listadesplegable, seleccione los equipos base y haga clic en Generate. Los resultados se agrupan pornombre de equipo y, entre otros aspectos, se incluye información sobre lo siguiente:

Registry

Service Pack y paquetes acumulativos de actualizaciones instalados

Actualizaciones de seguridad y no de seguridad faltantes

Nivel de vulnerabilidad.

10.1.2 Informes de cumplimiento legal

Para ver informes de cumplimiento legal:


2. En la lista de informes, expanda cualquiera de los conjuntos de informes de cumplimientosiguientes y seleccione el que desee generar:


Título delconjunto deinformes

Descripción

Informes decumplimientode PCI DSS

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar deseguridad de la información para organizaciones que administran información de titulares de tarjetaspara las tarjetas de débito, crédito, prepagas, de “monedero electrónico”, de ATM y POS másimportantes. GFI LanGuard Le proporciona varios informes que tienen en cuenta el cumplimiento dePCI DSS, entre los que se incluyen los siguientes:

Requisito de 1.4 del PCI DSS: Aplicaciones de cortafuegos instaladas

Requisito 2.2.3 del PCI DSS: Aplicaciones de cifrado de discos

Requisito de 5.2 del PCI DSS: Aplicaciones Antivirus

Requisito de 6.1 del PCI DSS: Historial de correcciones por fecha

Requisito de 12.12 del PCI DSS: Puertos de troyanos abiertos por host.

Informes decumplimientode la HIPAA

La Ley Health Insurance Portability and Accountability Act (HIPAA) es un requisito de los proveedoresde atención sanitaria que regula el intercambio de datos de pacientes privados. Esto permite evitar ladivulgación o publicación ilegal de información médica. Para que cumpla con las normativas HIPAAregulations de la HIPPA, GFI LanGuard le proporciona un conjunto de informes de cumplimiento de laHIPAA, entre los que se incluyen los siguientes:

HIPAA, 164.308(a)(1)(ii)(A): Actualizaciones de seguridad faltantes por host

HIPAA, 164.308(a)(1)(ii)(A): Distribución de vulnerabilidades por host

HIPAA, 164.308(a)(4)(ii)(A): Puertos abiertos

HIPAA, 164.308(a)(5)(ii)(D): Directiva de auditorías

HIPAA, 164.308(a)(8): Comparación de cambios de línea de base.

Informes decumplimientode la SOX

La Ley Sarbanes-Oxley (SOX) es una normativa creada en respuesta a escándalos financieros de grannotoriedad y a modo de protección de accionistas y del público en general contra errores decontabilidad y prácticas fraudulentas en la empresa. GFI LanGuard proporciona una lista de informes decumplimiento de la Ley SOX, entre los que se inccluyen los siguientes:

SOX, 302.a: Resumen de vulnerabilidades de la red

SOX, 302.a: Historial de correcciones por host

SOX, 302.a: Historial de exámenes de seguridad

SOX, 404: Listado de vulnerabilidades por categoría

SOX, 404: Actualizaciones de seguridad faltantes por host.

Informes decumplimientode la LeyGLBA

La Gramm–Leach–Bliley Act (GLBA) es una ley que permite la consolidación entre bancos y empresasaseguradoras. Parte de la ley se centra en el cumplimiento de las redes de TI para dichas empresas.GFI LanGuard Ofrece una lista de informes de cumplimiento de la GLBA, entre los que de inluyen lossiguientes:

GLBA, 501.b: Comparación de cambios de línea de base

GLBA, 501.b: Estado de aplicación de revisiones de red

GLBA, 501.b: Puertos de troyanos abiertos por host

GLBA, 501.b: Hosts vulnerables en base a puertos abiertos

GLBA, 501.b: Hosts vulnerables por nivel de vulnerabilidad.

Tabla 69: Informes de cumplimiento legal disponibles



Descripción

Informes decumplimientodel CoCo dela PSN

El Código de Conexión de la Red Pública de Servicios (PSN CoCo) es simplemente una lista decondiciones que se deben cumplir antes de la conexión de una red acreditada a otra. GFI LanGuard lepermite controlar el estado de estas conexiones mediante la lista de informes de cumplimiento delCoCo de la PSN, entre los que se incluyen los siguientes:

PSNCoCo, RIS. 1: Comparación de cambios de línea de base

PSNCoCo, MAL. 1: Aplicaciones de cifrado de discos

PSNCoCo, MAL. 1: Aplicaciones de cortafuegos instaladas

PSNCoCo, PAT. 1: Actualizaciones de seguridad instaladas por host

PSNCoCo, PAT. 1: Actualizaciones de seguridad instaladas en orden de gravedad.

Informes decumplimientode la FERPA

La Ley del Derecho de la Familia a la Confidencialidad de Información Educativa (FERPA) es una leyfederal que protege la privacidad de los registros de educación de los estudiantes. La ley se aplica atodas las escuelas que reciben fondos de acuerdo con un programa aplicable del Departamento deEducación de EE. UU. GFI LanGuard proporciona una lista de informes de cumplimiento de la FERPA,entre los que se incluyen los siguientes:

FERPA, 20 USC 1232g (b): Estado de aplicación de revisiones de red

FERPA, 20 USC 1232g (b): Registro de seguridad de red por host

FERPA 20, USC 1232g (b): Historial de correcciones por fecha

FERPA 20, USC 1232g (b): Distribución de vulnerabilidades por host

FERPA 20, USC 1232g (b): Hosts vulnerables en base a puertos abiertos.

Informes decumplimientoISO/IEC 27001y 27002

El estándar de tecnología de la información, técnicas de seguridad y sistemas de administración deseguridad de la información (ISO/IEC) especifica formalmente un sistema de administración pensadopara brindar seguridad de la información bajo un control de administración explícito. GFI LanGuardofrece una lista exhaustiva de informes de cumplimiento ISO/IEC, entre los que se incluyen lossiguientes:

ISO/IEC 27001, A. 10.4: Aplicaciones antivirus

ISO/IEC 27001, A. 10.7.2: Alicaciones de cifrado de discos

ISO/IEC 27001, A. 10.6.2: Recursos compartidos abiertos

ISO/IEC 27001, A. 10.6.2: Servicios

ISO/IEC 27001, A. 10.6.2: Información del sistema.

Informes decumplimientode la FISMA

The Ley Federal de Administración de Seguridad de la Información (FISMA) asigna responsabilidadesespecíficas a agencias federales, al Instituto Nacional de Estándares y Tecnología (NIST) y a la Oficina deAdministración y Presupuesto (OMB) para fortalecer la seguridad del sistema de información. Enparticular, la FISMA exige que los directores de cada agencia implementen directivas y procedimientospara reducir de forma rentable los riesgos de seguridad de tecnología de la información hasta un nivelaceptable. GFI LanGuard le permite cumplir con los estándares de la FISMA a través de los informesproporcionados, entre los que se incluyen los siguientes:

FISMA, NIST SP 800-53 AC-2: Grupos y usuarios

FISMA, NIST SP 800-53 PM-5: Detalles de equipos

FISMA, NIST SP 800-53 PM-5: Resumen de equipos

FISMA, NIST SP 800-53 SI-5: Actualizaciones de seguridad faltantes por host

FISMA, NIST SP 800-53 SI-7: Aplicaciones antivirus.



Descripción

Informes decumplimientode las CAG

El documento Directrices de Auditoría de Consenso (CAG) es una publicación de directrices de prácticasrecomendadas para la seguridad de equipos. El proyecto se inició en respuesta a las enormes pérdidasde datos experimentadas por organizaciones de la base industrial de defensa de EE. UU. GFI LanGuardofrece una lista de informes de cumplimiento de las CAG, entre los que se incluyen los siguientes:

CAG, CC1: Auditoría de hardware

CAG, CC1: Historial de exámenes

CAG, CC3: Directiva de auditorías

CAG, CC3: Vulnerabilidades de seguridad baja

CAG, CC11 - Open Ports.

Informes decumplimientode CIP de laNERC

La North American Electric Reliability Corporation (NERC) desarrolla estándares para el funcionamientode sistemas eléctricos, supervisar y exige el cumplimiento de dichos estándares, evalúa la adecuaciónde los recursos y proporciona recursos educativos y de capacitación como parte de un programa deacreditacón para garantizar que los operadores de sistemas eléctricos estén calificados y seancompetentes. GFI LanGuard proporciona una lista de informes de cumplimiento de CIP de la FERPA,entre los que se incluyen los siguientes:

NERC CIP-005 R2: Aplicaciones de cortafuegos instaladas

NERC CIP-005 R2: Puertos abiertos

NERC CIP-007 R2: Recursos compartidos abiertos

NERC CIP-007 R2: Servicios

NERC CIP-007 R2: Información del sistema.


10.2 Generación de informes

GFI LanGuard incluye una lista exhaustiva de informes predeterminados. Estos se pueden utilizarcomo están o se pueden modificar para proporcionar información de forma precisa según susrequisitos.

Nota

Para obtener más información, consulte Personalización de informes predeterminados(página 179).

Para generar un informe:


2. En el ábol de equipos, seleccione el equipo o grupo sobre los que desee realizar un informe.

Nota

Seleccione Entire Network para realizar un informe sobre todos los equipos enumeradosen el árbol de equipos.

3. En la lista de informes, seleccione el que desee generar.

4. (Opcional) En el panel derecho, haga clic en Customize report si se requieren cambios en loselementos de informe.

5. Haga clic en Generate report.

Captura de pantalla 102: Muestra de informe: Parte 1





10.3 Programación de informes

A fin de automatizar tareas de creación de informes, GFI LanGuard le permite generar y, de maneraopcional, enviar informes de acuerdo con una programación. Puede configurar programaciones parainformes existentes o personalizados.

Esta sección contiene información acerca de lo siguiente:

Creación de informes programados nuevos

Configuración de opciones de informes programados

Administración de informes programados

10.3.1 Creación de informes programados nuevos

Para crear un informe programado nuevo:


2. En Actions, seleccione New scheduled report.

Captura de pantalla 105: Selección de una plantilla de informe programado

3. En la sección Report Template, configure las siguientes opciones:


Schedule ReportTemplate

Permite seleccionar un informe existente en el menú desplegable. Esto le permite crear un nuevoinforme a partir de la configuración de uno existente.

Schedule ReportName

Permite escribir un nombre único para el nuevo informe.

Schedule ReportDescription

De forma opcional, puede escribir datos sobre el informe, como elementos de informe, o pará-metros de programación.

Tabla 70: Opciones de plantillas de informes programados

Captura de pantalla 106: Adición o eliminación de dominios o equipos de destino

4. En la sección Target Domains & Computers, configure las siguientes opciones:



1. En el árbol de equipos, seleccione un dominio o grupo de trabajo y haga clic en Add Domain. Los dominios ogrupos de trabajo seleccionados se agregan al informe.

Haga clic en Agregar IP para abrir el cuadro de diálogo Add IP address range. En el cuadro de diálogo Add IPaddress range, escriba un intervalo de direcciones IP o una subred y haga clic en OK.

Seleccione el dominio, grupo de trabajo o intervalo de IP que desee quitar y haga clic en Remove Domain/IP.

Tabla 71: Opciones de dominios y equipos de destino

5. En el menú desplegable Filter, seleccione un filtro que desee aplicar al nuevo informe programado.Esto le permite generar informes a partir de datos que pertenecen a destinos de examen incluidos enel filtro.

Nota

Solo se pueden aplicar filtros personalizados a los informes programados. Para obtenermás información, consulte Utilización del panel (página 85).

6. En Scheduling Settings, configure las siguientes opciones:


Enable Sche-dule

Seleccione esta opción para activar la programación de informes y generar el informe según la con-figuración de programación.

One timeonly, on

Permite especificar la fecha y la hora en que se generará el informe. Esta opción genera el informeuna vez, en la fecha especificada.

Recurrencepattern

Permite seleccionar la frecuencia de recursividad y especifique la hora en que el informe programadose generará.

Tabla 72: Opciones de programación


7. En Alerting & Saving Settings, configure las siguientes opciones:


Export to file Seleccione esta opción para guardar el informe en una carpeta.

Export Settings Haga clic en Export Settings y, en el cuadro de diálogo Scheduled Reports Storage Options,especifique la carpeta en la cual el informe se guardará y el formato con el cual se guardará.

Send by email Seleccione esta opción para enviar un informe por correo electrónico. El informe se envía a losdestinatarios configurados en Alerting Options.

Alerting Options Haga clic en Alerting Options y configure las alertas para los destinatarios y los parámetros delos servidores de correo. Para obtener más información, consulte Configuración de opcionesde alerta (página 186).

Override general aler-ting options, and sendemail to

Seleccione esta opción para utilizar destinatarios de correo electrónico que no sean los con-figurados en Alerting Options.

Tabla 73: Alerting & Saving Settings

8. Haga clic en Add Schedule para guardar el informe.

Nota

10.3.2 Configuración de opciones de informes programados

Para configurar parámetros de informes programados adicionales:

1. En la sección Scheduled Reports, haga clic en Scheduled Reports Options.

2. Haga clic en Alerting Options para configurar parámetros de correo electrónico que se utilizaránpara enviar informes. Para obtener más información, consulte Configuración de opciones de alerta(página 186).

3. Haga clic en Storage Options para especificar el formato y la ubicación que se utilizarán paraguardar informes generados.

Nota

De forma predeterminada, todos los informes generados se almacenan en formato PDFen: <Directorio de instalación de GFI LanGuard>\Reports.

10.3.3 Administración de informes programados

Para administrar informes programados:



2. En Scheduled Reports, haga clic en Scheduled Reports List.

Captura de pantalla 107: Edición de opciones de informes programados

3. Haga doble clic en un informe del panel derecho para editar parámetros de informes programados.

Captura de pantalla 108: Control de la actividad de los informes programados

4. Controle la actividad de los informes programados desde la sección Scheduled Reports ActivityLogs, en la parte inferior del panel derecho.

10.4 Personalización de informes predeterminados

GFI LanGuard le permite crear nuevos informes basados en la configuración de un informe existente.Esto le permite ahorrar tiempo y ajustar informes existentes, de modo que el conjunto de datosutilizado para preparar el informe se adecue de forma precisa a sus requisitos.


Creación de informes personalizados

Personalización de logotipos de informes

Personalización del formato de informes de correo electrónico

10.4.1 Creación de informes personalizados

Para crear un informe personalizado:



2. En la lista Reports, seleccione un informe existente en el que se basa la configuración de los nuevosinformes.

Nota

No todos los informes se pueden editar.

Captura de pantalla 109: Edición de parámetros de informes desde la vista previa de la muestra de informe

3. En el panel derecho, haga clic en Customize report para que se muestren opciones avanzadas deinformes.

Captura de pantalla 110: Configuración de elementos de informes

4. Haga clic en la ficha Report Items y seleccione los elementos relacionados que desea incluir en elinforme.


Captura de pantalla 111: Configuración de las opciones de filtrado de informes

5. Haga clic en la ficha Filters y configure los filtros disponibles que se relacionan con el informe.

Captura de pantalla 112: Configure las opciones de agrupamiento y clasificación de informes

6. Haga clic en la ficha Grouping & Sorting y configure lo siguiente:

Agrupamiento de la primera categoría: los datos de informes se agrupan de acuerdo con elcampo seleccionado

Agrupamiento de la segunda categoría: los datos agrupados se disponen en grupos secundariosde acuerdo con el campo seleccionado

Ordenamiento adicional: los datos de informes se ordenan de acuerdo con el campo selec-cionado.

7. Haga clic en Save as new report...

8. En el cuadro de diálogo Add report, escriba un nombre y una descripción opcional para el nuevoinforme personalizado. Haga clic en OK.


10.4.2 Personalización de logotipos de informes

GFI LanGuard le permite utilizar el logotipo de su empresa o su logotipo personalizado en los informesincorporados incluidos en el producto. Los logotipos se pueden disponer en las secciones deencabezado o pie de página del informe.

Personalización del logotipo del encabezado de un informe

1. Cree o seleccione su imagen.

2. Cambie el tamaño de la imagen a las siguientes medidas: Ancho = 624, alto = 25.

3. Cambie el nombre de la imagen a headerlogo.png.

4. Copie y pegue la imagen en <Directorio de instalación de GFILanGuard>\Graphics\Logo.

Personalización del logotipo del pie de página del informe

1. Cree o seleccione su imagen.

2. Cambie el tamaño de la imagen a las siguientes medidas: Ancho = 109, alto = 41.

3. Cambie el nombre de la imagen a footerlogo.png.

4. Copie y pegue la imagen en <Directorio de instalación de GFILanGuard>\Graphics\Logo.

10.4.3 Personalización del formato de informes de correo electrónico

Para cada tipo de informe de correo electrónico programado, existe un archivo de formato HTML queincluye marcadores delimitados con el símbolo “%” (por ejemplo, %TITLE% y %NAME%). Puede editar elformato y el estilo HTML, y mover y eliminar marcadores para la personalización adicional del cuerpodel correo electrónico de los informes generados. La ubicación de plantillas predeterminada es:<Directorio de instalación de GFI LanGuard>\LanGuard11\Templates\template_mailbody.xml.

Tenga en cuenta que GFI LanGuard solo puede administrar marcadores conocidos (mencionados acontinuación) con su rol predefinido. Los marcadores se pueden utilizar en todos los tipos de informesprogramados. En la siguiente tabla se describen los marcadores personalizables:

Marcador Descripción

%TITLE% Título de correo electrónico para el informe generado.

%NAME% Nombre del informe programado.

%DESCRIPTION%: Descripción del informe programado.

%TARGET% Objetivos (equipos, dominios) representados en el informe programado.

%LAST_RUN% Fecha y hora de la última ejecución para el informe programado.

%NEXT_RUN% Fecha y hora de la ejecución siguiente para el informe programado.

NotaEste marcador se utiliza únicamente para informes de resumen diario.

%PROFILE% Perfil de detección utilizado durante la ejecución del examen programado.

NotaEste marcador se utiliza únicamente para informes de examen programadosposteriormente.

Tabla 74: Marcadores de informes


Marcador Descripción

%DURATION% Duración del examen programado.


%ITEMS_COUNT% Conteo de elementos recopilados.


%AUTOREMED_MISSINGPATCHES%

Se utiliza en el informe si la opción Auto–remediate Missing Patches se encuentra habilitadapara el examen programado.


%AUTOREMED_MISSINGSPS%

Se utiliza en el informe si la opción Auto–remediate Missing Service Packs se encuentrahabilitada para el examen programado.


%AUTOREMED_UNINSTAPPS%

Se utiliza en el informe si la opción Auto–remediate Uninstall Applications se encuentrahabilitada para el examen programado.

NotaEste marcador se utiliza únicamente en informes de examen programadosposteriormente.

10.5 Búsqueda de texto completo

La búsqueda de texto completo devuelve resultados de forma estructurada y configurable. En losresultados se ofrecen enlaces seleccionables para obtener más detalles.

Para utilizar la característica de búsqueda de texto completo:

1. Haga clic en la ficha Reports y en la subficha Search

Nota

El acceso también es posible seleccionando Search en el árbol de equipos.

2. Introduzca su elemento de búsqueda y haga clic en Search.


Captura de pantalla 113: Personalización de parámetros de informes

3. (Opcional) Haga clic en Advanced search para configurar filtros de modo que los resultados debúsqueda se reduzcan a algo más específico.

4. Analice los resultados de búsqueda en la sección de resultados de la parte inferior.

El resultado contiene enlaces que le permiten navegar entre equipos, productos de software yvulnerabilidades. Por ejemplo, puede hacer clic en un Service Pack faltante para abrir las revisionesfaltantes para un equipo específico.


Captura de pantalla 114: Navegación a través de enlaces de informes

GFI LanGuard 11 Personalización deGFI LanGuard | 186

11 Personalización de GFI LanGuard

GFI LanGuard le permite realizar exámenes de vulnerabilidades de forma inmediata utilizandoparámetros configurados antes del envío. Si es necesario, también puede personalizar estosparámetros para cumplir con cualquier requisito de administración de vulnerabilidades específico alcual su organización debiera adaptarse. Puede personalizar y configurar varios aspectos de GFILanGuard, entre los que se incluyen programaciones de exámenes, comprobaciones devulnerabilidades, filtros de examen y perfiles de examen.


11.1 Configuración de opciones de alerta 186

11.2 Configuración de opciones de mantenimiento de bases de datos 187

11.3 Configuración de actualizaciones del programa 193

11.1 Configuración de opciones de alerta

Para configurar opciones de alerta:

1. Haga clic en la ficha Configuration tab y en Alerting options.

2. Haga clic en el panel derecho.

Captura de pantalla 115: Configuración de opciones de alerta


3. Escriba los parámetros descritos a continuación:


To La dirección de correo electrónico del destinatario. Los mensajes de correo electrónico enviados porGFI LanGuard se reciben en esta dirección de correo electrónico.

CC Escriba otra dirección de correo electrónico en este campo si necesita enviar una copia a otra direc-ción de correo electrónico.

From La dirección de correo electrónico del remitente. GFI LanGuard Esta cuenta de correo electrónico seutilizará para enviar los mensajes de correo electrónico requeridos.

Server Define el servidor a través del cual se envían los mensajes de correo electrónico. Puede ser un FQDN(nombre de dominio completo) o una dirección IP.

Port Define el puerto IP a través del cual se envían los mensajes de correo electrónico. El valor pre-determinado es 25

Use SSL/TLSencrypted con-nection

Seleccione esta opción si cuenta con conexión cifrada SSL (protocolo de capa de sockets seguros) oTLS (protocolo de seguridad de capa de transporte) para enviar los mensajes de correo electrónicorequeridos.

SMTP Serverrequires login

Seleccione esta opción si el servidor SMTP requiere un nombre de usuario y una contraseña para laautenticación.

Tabla 75: Parámetros de configuración de correo

4. Haga clic en el botón Verify Settings para verificar la configuración del correo electrónico.

5. Seleccione Notifications y configure las siguientes opciones:


Enable daily digest Permite recibir un informe diario con todos los cambios realizados en toda la red. Configurela hora de recepción del resumen diario.

Report format Especifique el formato de los informes recibidos por correo electrónico.

Send an email on newproduct news

Permite recibir un mensaje de correo electrónico con noticias sobre productos nuevos.

Tabla 76: Opciones de notificaciones

6. Haga clic en OK.

11.2 Configuración de opciones de mantenimiento de bases de datos

GFI LanGuard incluye un conjunto de opciones de mantenimiento de bases de datos mediante el cualusted puede mantener su back-end de base de datos de resultados de examen en buenas condiciones.

Por ejemplo, puede mejorar el rendimiento del producto y evitar que su back-end de base de datos deresultados de examen cobre un tamaño excesivamente grande mediante la eliminación automática deresultados de exámenes con una antigüedad que supere una cantidad de meses específica.

Si utiliza un back-end de base de datos de Access™, también puede programar la compactación debases de datos. La compactación le permite reparar cualquier dato dañado y eliminar registros debases de datos marcados para su eliminación en su back-end de base de datos, lo cual garantiza laintegridad de su base de datos de resultados. En las secciones siguientes se le proporcionainformación acerca de lo que se muestra a continuación:

Utilización de Access™ como back-end de base de datos

Utilización de SQL Server® como back-end de base de datos

Administración de resultados de exámenes

Enumeración de equipos examinados


Configuración de opciones avanzadas de mantenimiento de bases de datos

Configuración de opciones de conservación de bases de datos

11.2.1 Utilización de Access™ como back-end de base de datos

GFI LanGuard admite back-end de bases de datos basados en Access™ y SQL Server® (2000 oposterior).

Para almacenar resultados de exámenes en una base de datos de Access™:

1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Databasebackend settings.

Captura de pantalla 116: Cuadro de diálogo de propiedades de mantenimiento de bases de datos

2. Seleccione la opción MS Access y especifique la ruta de acceso completa (incluido el nombre delarchivo) de su back-end de base de datos de Access™.

Nota

El archivo de base de datos se crea si no existe.


Nota

Si el archivo de base de datos ya existe y pertenece a una versión anterior de GFILanGuard, se le solicitará sobrescribir la información existente.

3. Haga clic en OK.

11.2.2 Utilización de SQL Server® como back-end de base de datos

Para almacenar resultados de exámenes en una base de datos de SQL Server®:

1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Databasebackend settings.

Captura de pantalla 117: Opciones de back-end de base de datos de SQL Server®

2. Seleccione la opción MS SQL Server y elija el SQL Server que alojará la base de datos de la listaproporcionada de servidores detectados en su red.

3. Especifique las credenciales de SQL Server o seleccione la opción Use NT authority credentialspara la autenticación en el SQL Server utilizando detalles de la cuenta.

4. Haga clic en OK para finalizar su configuración.


Nota

Si las credenciales y el servidor especificados son correctos, GFI LanGuard iniciarásesión de forma automática en su SQL Server y creará las tablas de bases de datosnecesarias. Si las tablas de bases de datos ya existen, las utilizará nuevamente.

Nota

Cuando utilice credenciales de autoridad NT, asegúrese de que los servicios de GFILanGuard funcionen en una cuenta que tenga acceso y privilegios administrativos en lasbases de datos de SQL Server.

5. Haga clic en Yes para detener todos los exámenes en curso.

6. Si la base de datos actual de Access™ contiene datos, haga clic en OK para transferir todos losdatos de exámenes a la base de datos de SQL Server®.

11.2.3 Administración de resultados de exámenes guardados

Utilice la ficha Saved Scan Results para conservar su back-end de base de datos y eliminar resultadosde exámenes que ya no sean necesarios. La eliminación de resultados de exámenes guardados nonecesarios se puede realizar manual y automáticamente a través del mantenimiento programado debases de datos.

Durante el mantenimiento programado de bases de datos GFI LanGuard elimina automáticamente losresultados de exámenes guardados con una antigüedad superior a una cantidad de días, semanas omeses específica. También puede configurar el mantenimiento de bases de datos para que conservesolo una cantidad específica de resultados de exámenes recientes por cada destino y perfil deexamen.


Captura de pantalla 118: Propiedades de mantenimiento de bases de datos: ficha Saved Scan Results administrada

Para administrar resultados de exámenes guardados:

1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Manage savedscan results.

2. Para borrar resultados de exámenes guardados, seleccione los resultados en cuestión y haga clic enDelete Scan(s).

3. Para dejar que GFI LanGuard administre el mantenimiento de bases de datos en lugar de usted,seleccione Scans generated during the last para eliminar los resultados que tengan una antigüedadsuperior a una cantidad de días, semanas o meses específica, o bien Scans per scan target per profilein number of para conservar solo una cantidad específica de resultados de exámenes recientes.

11.2.4 Enumerar equipos examinados

GFI LanGuard conserva una lista global de equipos examinados por razones de licenciamiento. Losequipos que formen parte de un excedente respecto del valor especificado en la información delicenciamiento no se examinarán.

GFI LanGuard permite a los administradores de sistemas eliminar equipos examinados para liberarlicencias previamente utilizadas.

Para eliminar equipos previamente examinados:


1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Manage list ofscanned computers.

2. Seleccione los equipos que se borrarán y haga clic en Delete selected computer(s).

IMPORTANTE

La eliminación de equipos de la base de datos es una operación irreversible que tambiéneliminará todos los datos relacionados con equipos de la base de datos. Una vezborrados, estos datos dejan de estar disponibles.

11.2.5 Configuración de opciones avanzadas de mantenimiento de bases de datos

GFI LanGuard le permite reparar y compactar el back-end de base de datos de Access™ de formaautomática para mejorar el rendimiento.

Durante la compactación, los archivos de bases de datos se reorganizan y los registros que se hanmarcado para su eliminación se borran. De esta manera, puede recuperar espacio dealmacenamiento. Durante este proceso, GFI LanGuard también repara archivos de back-end de basede datos dañados. Los daños se pueden producir por varias razones. En la mayoría de los casos, unabase de datos de Access™ se daña cuando se cierra inesperadamente antes de que se guardenregistros (por ejemplo, debido a fallas de energía, reinicios forzados por operaciones que noresponden, etc.).

Captura de pantalla 119: Propiedades de mantenimiento de bases de datos: ficha Advanced


Para compactar y reparar un back-end de base de datos de Access™:

1. Haga clic en la ficha Configuration y después en Database Maintenance Options y Databasemaintenance plan.

2. Para iniciar manualmente un proceso de reparación y compactación en un back-end de base dedatos de Access™, haga clic en Compact Now.

3. Para automatizar el proceso de reparación y compactación en el back-end de base de datos deAccess™, seleccione lo siguiente:

One time only: para programar una reparación y compactación de base de datos de Access™ porúnica vez

Every para ejecutar un proceso de reparación y compactación como parte de una programaciónregular.

Especifique la fecha, la hora y la frecuencia en días, semanas o meses que se emplearán para lasoperaciones de reparación y compactación en su back-end de base de datos.

11.2.6 Configurar opciones de conservación de bases de datos

Las opciones de conservación de bases de datos le permiten mantener su base de datos limpia yuniforme mediante la configuración de GFI LanGuard para que elimine de forma automáticaresultados de exámenes e información del historial de exámenes que no se deseen y, al mismotiempo, mantenga lo importante.

Para configurar ajustes de conservación:

1. Haga clic en la ficha Configuration y después en Database Maintenance Options, en Databasebackend settings y en la ficha Retention.

2. Configure las opiones descritas a continuación:


Keep scans generated duringthe last

Permite conservar resultados de exámenes generados durante el número de días,semanas o meses especificado.

Keep scans per scan target perprofile number of

Permite especificar el número de resultados de exámenes que se conservarán paracada destino de examen por cada perfil de examen.

Never delete history Seleccione esta opción si desea conservar todo el historial de exámenes.

Keep history for the last Conserve el historial de exámenes generados durante el número de días, semanas omeses especificado.

Tabla 77: Opciones de conservación de bases de datos

3. Haga clic en OK.

11.3 Configuración de actualizaciones del programa

Esta herramienta permite a GFI LanGuard detectar las vulnerabilidades más recientes y mantener surendimiento de examen. Configure GFI LanGuardpara que descargue de forma automáticaactualizaciones publicadas por GFI para mejorar las funcionalidades de GFI LanGuard. Estasactualizaciones también incluyen la búsqueda de actualizaciones más nuevas en el sitio web de GFI.Las actualizaciones se pueden habilitar o deshabilitar seleccionando la casilla de verificación de lacolumna Auto–download.

GFI LanGuard puede descargar todos los idiomas para Unicode. Entre estos se incluyen (sinlimitaciones) el inglés, alemán, francés, italiano, español, árabe, danés, checo, finlandés, hebreo,húngaro, japonés, coreano, holandés, noruego, polaco, portugués, portugués brasileño, ruso, sueco,chino, chino de Taiwán, griego y turco.


En las secciones siguientes se le proporciona información acerca de lo que se muestra a continuación:

Configuración de parámetros proxy

Configuración de opciones de actualización automática

Instalación manual de actualizaciones del programa

11.3.1 Configuración de parámetros proxy

Para configurar manualmente parámetros de servidores proxy para actualizaciones a través deInternet:

1. Haga clic en la ficha Configuration y después en Program Updates.

2. En Common Tasks, seleccione Edit proxy settings.

Captura de pantalla 120: Configuración de parámetros de servidores proxy

3. Seleccione Override automatic proxy detection; configure las opciones descritas a continuación:


Connect directly tothe Internet

Se encuentra disponible una conexión directa a Internet.

Connect via a proxyserver

El acceso a Internet es posible a través de un servidor proxy. Permite actualizar el nombre delservidor y el número de puerto utilizando este formato<server>:<port>

Proxy server requi-res authentication

(Opcional) Permite introducir el nombre de usuario y la contraseña si los requiere el servidorproxy.

Tabla 78: Configuración de proxy


4. Haga clic en OK.

11.3.2 Configuración de opciones de actualización automática

GFI LanGuard puede realizar comprobaciones para determinar la disponibilidad de actualizaciones desoftware cada vez que se inicia. Para deshabilitar o habilitar esta característica:

1. Haga clic en la ficha Configuration y después en Program Updates. En Common Tasks, seleccioneEdit program updates options.

Captura de pantalla 121: Configuración de actualizaciones al iniciarse la aplicación

2. Seleccione o desactive Check for updates at application startup para habilitar o deshabilitar lascomprobaciones de actualizaciones automáticas al iniciarse la aplicación.

3. Seleccione o desactive la habilitación de actualizaciones programadas para configurar la frecuenciade comprobación de actualizaciones.

4. Especifique si GFI LanGuard descargará actualizaciones del sitio web de GFI o desde una ubicaciónalternativa.

5. Haga clic en OK.

11.3.3 Instalación manual de actualizaciones del programa

Para iniciar las actualizaciones del programa de GFI LanGuard manualmente:

1. Haga clic en la ficha Configuration y después en Program Updates.

2. En Common Tasks, haga clic en Check for updates.


Captura de pantalla 122: Asistente de comprobación de actualizaciones

3. Especifique la ubicación desde la cual se descargarán los archivos de actualización requeridos.

4. (Opcional) Cambie la ruta de descarga predeterminada; seleccione Download all update files fromGFI web site to this path para proporcionar un destino de descarga alternativa para almacenar todaslas descargas de GFI LanGuard.

5. Haga clic en Next para continuar con la actualización.

6. Seleccione las actualizaciones y haga clic en Next.

7. Haga clic en Start para iniciar el proceso de actualización.

GFI LanGuard 12 Scanning Profile Editor | 197

12 Scanning Profile Editor

Los perfiles de detección incluidos en GFI LanGuard vienen preestablecidos para la ejecución devarias comprobaciones de vulnerabilidades en los destinos seleccionados. No obstante, puededeshabilitar la detección de vulnerabilidades y personalizar la lista de comprobaciones devulnerabilidades ejecutadas durante un examen. Los exámenes se pueden modificar a través deScanning Profile Editor.


12.1 Creación de un nuevo perfil de detección 197

12.2 Configuración de vulnerabilidades 198

12.3 Configuración de revisiones 208

12.4 Configuración de opciones de auditoría de redes y software 211

12.5 Configuración de opciones de detección de seguridad 219

12.1 Creación de un nuevo perfil de detección

Scanning Profiles Editor le permite crear nuevos perfiles de detección. Para crear un nuevo perfil dedetección personalizado:


2. Haga clic en el botón GFI LanGuard y seleccione Configuration > Scanning Profile Editor. Comoalternativa, presione Ctrl + P para iniciar Scanning Profiles Editor.

3. En Scanning Profiles Editor, en Common Tasks, haga clic en New scanning profile....


Captura de pantalla 123: Scanning Profiles Editor

4. Especifique el nombre del nuevo perfil y seleccione de forma opcional Copy all settings from anexisting profile para clonar la configuración de un perfil existente.

5. Haga clic en OK para guardar la configuración. El nuevo perfil de detección se agrega en Profiles,en el panel izquierdo.

12.2 Configuración de vulnerabilidades

La ficha Vulnerability Assessment Options le permite configurar las actualizaciones de seguridad y node seguridad que pertenecen a Microsoft® y no pertenecen a Microsoft® que se verificarán al detectardestinos con el perfil seleccionado.

En las secciones siguientes se le proporciona información acerca de lo que se muestra a continuación:

Habilitación de exámenes de vulnerabilidades

Personalización de la lista de vulnerabilidades que se deben examinar

Personalización de propiedades de comprobaciones de vulnerabilidades

Configuración de condiciones de comprobación de vulnerabilidades

12.2.1 Habilitación de exámenes de vulnerabilidades

Para habilitar los exámenes de vulnerabilidades:




Captura de pantalla 124: Habilitación de exámenes de vulnerabilidades para el perfil de detección seleccionado

3. En la ficha Vulnerability Assessment Options tab, haga clic en la subficha Vulnerabilities.

4. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles.

5. En el panel derecho, seleccione Enable Vulnerability Scanning.

Nota

Los exámenes de vulnerabilidades se configuran por perfil de examen. Si en un perfil enparticular esta opción no se selecciona, no se realizarán pruebas de vulnerabilidad enlas auditorías de seguridad llevadas a cabo por este perfil de detección.

12.2.2 Personalización de la lista de vulnerabilidades que se deben examinar

Para especificar las vulnerabilidades que se enumerarán y procesarán mediante un perfil de deteccióndurante una auditoría de seguridad:

1. En la ficha Vulnerability Assessment Options, seleccione el perfil de detección que personalizaráen el panel izquierdo, en Profiles.


Captura de pantalla 125: Seleccione las comprobaciones de vulnerabilidades que se deben ejecutar a través de este perfil de detección

2. En el panel derecho, seleccione las comprobaciones de vulnerabilidades que se ejecutarán a travésde este perfil de detección.

12.2.3 Personalización de propiedades de comprobaciones de vulnerabilidades

Todas las comprobaciones enumeradas en la ficha Vulnerabilities tienen propiedades específicas quedeterminan cuándo se desencadena la comprobación y qué detalles se enumerarán durante unexamen.


Captura de pantalla 126: Cuadro de diálogo de propiedades de vulnerabilidades: ficha General

Para cambiar las propiedades de una comprobación de vulnerabilidades:

1. Haga clic con el botón secundario sobre la vulnerabilidad que personalizará y seleccioneProperties.

2. Personalice la comprobación de vulnerabilidades seleccionada en las fichas descritas acontinuación:

Ficha Descripción

General Utilice esta ficha para personalizar los detalles generales de una comprobación de vulnerabilidades,incluidos el nombre de la comprobación de vulnerabilidades, el tipo de vulnerabilidad, la familia del SO,la versión del SO, el producto, la marca de hora y la gravedad.

Conditions Utilice esta ficha para configurar los parámetros de operación de esta comprobación de vulnerabilidades.Estos parámetros definirán si una comprobación de vulnerabilidades tiene éxito o no.

Descripción Utilice esta ficha para personalizar la descripciónb de la comprobación de vulnerabilidades.

References Utilice esta ficha para personalizar referencias y enlaces que conduzcan a información relevante en losinformes de OVAL, CVE, MS Security, Security Focus y de las 20 directrices principales del SANS.

Tabla 79: Cuadro de diálogo de propiedades de vulnerabilidades


12.2.4 Configuración de condiciones de comprobación de vulnerabilidades

La ficha Conditions le permite agregar o personalizar condiciones que determinan si el equipo o lared examinados son vulnerables o no. Por consiguiente, es fundamental que cualquier comprobación


personalizada definida en esta sección sea configurada por personal calificado que tengaconocimiento de las consecuencias de sus acciones.

Captura de pantalla 127: Ficha de configuración de condiciones de vulnerabilidad

Para agregar una condición de comprobación de vulnerabilidades:

1. En la ficha Vulnerability Assessment Options, subficha Vulnerabilities, haga clic con el botónsecundario en una vulnerabilidad de la lista de vulnerabilidades y seleccione Properties.

2. En el cuadro de diálogo Edit vulnerability, haga clic en la ficha Conditions y después en Add.


Captura de pantalla 128: Asistente Check properties: selección del tipo de comprobación

3. Seleccione el tipo de comprobación que se configurará y haga clic en Next.


Captura de pantalla 129: Asistente Check properties: definición del objeto que se examinará

4. Defina el objeto que examinará y haga clic en Next.


Captura de pantalla 130: Asistente Check properties: determinación de las opciones requeridas

5. Especifique las condiciones requeridas y haga clic en Finish para finalizar su configuración.


Captura de pantalla 131: Asistente Check properties: definición de operadores condicionales

6. Si se configura más de una condición, defina los operadores condicionales y haga clic en OK paraterminar con sus parámetros de configuración.


Captura de pantalla 132: Opciones avanzadas de vulnerabilidades

7. (Opcional) Haga clic en Advanced en la ficha Vulnerabilities para iniciar las opciones de examende vulnerabilidades.


Captura de pantalla 133: Cuadros de diálogo avanzados de examen de vulnerabilidades

Las opciones de Advanced Vulnerabilities Options se utilizan para:

Configurar características de examen de vulnerabilidades extendidas que verifiquen sus equiposde destino en busca de contraseñas vulnerables, acceso anónimo a FTP y cuentas de usuarios noutilizadas.

Configurar la manera en que GFI LanGuard manipule comprobaciones de vulnerabilidades creadasrecientemente.

Configurar GFI LanGuard de modo que envíe solicitudes de CGI a través de un servidor proxy espe-cífico. Esto es obligatorio cuando se envían solicitudes de CGI de un equipo que se encuentradetrás de un cortafuegos a un servidor web de destino que se encuentra detrás del cortafuegos.Por ejemplo, servidores web en un DMZ.

El cortafuegos generalmente bloqueará todas las solicitudes de CGI enviadas de forma directa por GFILanGuard a un equipo de destino que se encuentre frente al cortafuegos. Para evitar esto, modifiquela opción Send CGI requests through proxy de modo que el valor sea “Yes” y especifique el nombre yla dirección IP de su servidor proxy además del puerto de comunicaciones que se utilizará para quetransmita la solicitud de CGI al destino.

12.3 Configuración de revisiones

En la ficha Patches se especifican las vulnerabilidades de seguridad verificadas durante la detecciónde vulnerabilidades. Las revisiones verificadas se seleccionan en la lista completa de actualizaciones


de software compatible, incluidas en esta ficha. Esta lista se configura de forma automática cuandoGFI publica un archivo de definición de revisiones faltantes de GFI LanGuard.

Las secciones siguientes contienen información sobre lo que se muestra a continuación:

Habilitación y deshabilitación de comprobaciones de detección de revisiones faltantes

Personalización de la lista de revisiones de software que se deben examinar

Búsqueda de información de boletines

12.3.1 Habilitación y deshabilitación de comprobaciones de detección de revisiones faltantes

Captura de pantalla 134: Propiedades de perfiles de detección: Opciones de la ficha Patches

Para habilitar las comprobaciones de detección de revisiones faltantes en un perfil de detección enparticular:



3. En la ficha Vulnerability Assessment Options, haga clic en la subficha Patches.

4. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles.

5. En el panel derecho, seleccione la opción Detect installed and missing service packs/patches.


Nota

Los parámetros de detección de revisiones faltantes se pueden configurar por perfil deexamen. Asegúrese de habilitar la detección de revisiones faltantes en todos los perfilesen los que se requiera.

12.3.2 Personalización de la lista de revisiones de software que se deben examinar

Para especificar las actualizaciones de seguridad faltantes que se enumerarán y procesarán medianteun perfil de detección:

1. En la ficha Vulnerability Assessment Options, haga clic en la subficha Patches.

2. Seleccione el perfil de detección que personalizará en el panel izquierdo, en Profiles.

Captura de pantalla 135: Selección de las revisiones faltantes que se enumerarán

3. En el panel derecho, seleccione o desactive las revisiones faltantes que se enumerarán a través deeste perfil de detección.

12.3.3 Búsqueda de información de boletines

Captura de pantalla 136: Búsqueda de información de boletines

Para buscar un boletín en particular:

1. En Vulnerability Assessment Options > Vulnerabilities > Find bulletin, especifique el nombre deboletín (por ejemplo, MS02–017) o QNumber (por ejemplo, Q311987) en la casilla de entrada de laherramienta de búsqueda incluida en la parte inferior del panel derecho.

2. Haga clic en Find para buscar su entrada.


Captura de pantalla 137: Información de boletín extendida

12.4 Configuración de opciones de auditoría de redes y software

Los perfiles de detección incluidos en GFI LanGuard vienen preestablecidos para la ejecución devarias comprobaciones de auditorías de redes y software en los destinos seleccionados. No obstante,puede deshabilitar los exámenes y personalizar la lista de auditorías de redes y software ejecutadasdurante un examen.


Configuración de opciones de examen de puertos TCP y UDP

Configuración de opciones de información del sistema

Configuración de opciones de examen de dispositivos

Configuración de opciones de examen de aplicaciones

12.4.1 Configuración de opciones de examen de puertos TCP y UDP


Captura de pantalla 138: Propiedades de perfiles de detección: Opciones de la ficha TCP Ports


Habilitación/deshabilitación de puertosTCP

Para habilitar el examen de puertos TCP en un perfil de detección enparticular:1. En la ficha Network & Security Audit Options, haga clic en lasubficha TCP Ports.2. Seleccione el perfil de detección que desee personalizar en el panelizquierdo, en Profiles.3. Seleccione la opción Enable TCP Port Scanning.

Configuración de la lista de puertos TCPque se examinar

Para configurar los puertos TCP que se procesarán a través de un perfilde detección:1. En la ficha Network & Security Audit Options, haga clic en lasubficha TCP Ports.2. Seleccione el perfil de detección que personalizará en el panelizquierdo, en Profiles.3. Seleccione los puertos TCP que se analizarán con este perfil dedetección.

Personalización de la lista de puertos TCP 1. En la ficha Network & Security Audit Options, haga clic en lasubficha TCP Ports.2. Seleccione el perfil de detección que desee personalizar en el panelizquierdo, en Profiles.3. Personalice la lista de puertos TCP mediante Add..., Edit... oRemove.

Tabla 80: Opciones examen de puertos TCP


Nota

La lista de puertos TCP/UDP compatibles es común a todos los perfiles. La eliminaciónde un puerto de la lista hará que deje de estar disponible para todos los perfiles dedetección.

12.4.2 Configuración de opciones de información del sistema

Captura de pantalla 139: Propiedades de perfiles de detección: Opciones de la fucha System Information

Para especificar la información del sistema que se enumerará a través de un perfil de detección enparticular:

1. En la ficha Network & Security Audit Options, haga clic en la subficha System Information.

2. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, en Profiles.

3. En el panel derecho, expanda el grupo Windows System Information o Linux System Informationsegún corresponda.

4. Seleccione la información del SO Windows o Linux que se recuperará de los destinos examinados através del examen de seguridad.

Por ejemplo, para que se enumeren recursos compartidos administrativos en los resultados deexamen, expanda la opción Enumerate shares y configure la opción Display admin shares de modoque el valor sea “Yes”.

12.4.3 Configuración de opciones de examen de dispositivos


Utilice la ficha Devices para que se enumeren dispositivos de red. Además de determinar laenumeración de dispositivos, puede configurar GFI LanGuard de modo que genere alertas devulnerabilidades de seguridad altas cuando se detecte un dispositivo USB o de red.

Esto se logra compilando una lista de dispositivos USB o de red no autorizados o incluidos en la listanegra para los que desee que se emitan alertas.

Captura de pantalla 140: Página de configuración de dispositivos de red

GFI LanGuard también puede excluir del proceso de detección dispositivos USB específicos que ustedconsidere seguros. Estos dispositivos pueden ser un mouse o teclado USB. Esto se logra a través deuna lista segura o blanca de dispositivos USB que se ignorarán durante la detección.

Asimismo, puede crear un perfil de detección aparte que enumere únicamente llaves Bluetooth ytarjetas NIC inalámbricas conectadas a sus equipos de destino. En este caso, no obstante, debeespecificar “Bluetooth” y “Wireless” o “WiFi” en las listas de dispositivos de red y USB no autorizadosde su perfil de detección.

El acceso a todas las opciones de configuración de examen de dispositivos es posible a través de lasdos subfichas de la página de configuración de dispositivos. Estas son Network Devices y USB Devices.

Utilice la subficha Network Devices para configurar las opciones de examen de dispositivos de redconectados y las listas de dispositivos incluidos en la lista negra (no autorizados) o en la lista blanca(seguros).

Utilice la subficha USB Devices para configurar las opciones de examen de dispositivos USBconectados y las listas de dispositivos no autorizados o seguros.



Habilitación/deshabilitaciónde comprobaciones enbusca de dispositivos dered instalados

Para habilitar la detección de dispositivos de red (incluidos los dispositivos USB) en unperfil de detección en particular:1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices.2. Haga clic en la ficha Network Devices.3. Seleccione el perfil de detección que personalizará en el panel izquierdo, enProfiles.4. En el panel derecho, seleccione Enable scanning for hardware devices on targetcomputer(s).

NotaLa detección de dispositivos de red se puede configurar por perfil de examen.Asegúrese de habilitar la detección de dispositivos de red en todos los perfiles enlos que esto se requiera.

Compilación de una listanegra/blanca de dis-positivos de red

Para compilar una lista negra o blanca de dispositivos de red para un perfil de detección:1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices.2. Haga clic en la ficha Network Devices.3. Seleccione el perfil de detección que personalizará en el panel izquierdo, enProfiles.4. Panel derecho: para crear una lista negra de dispositivos de red, especifique losdispositivos que desee clasificar como vulnerabilidades de seguridad altas en el espacioproporcionado en Create a high security vulnerability for network devices whichname contains:.Por ejemplo, si introduce la palabra “wireless”, recibirá una notificación a través de unaalerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyonombre contenga la palabra “wireless”. Para crear una lista blanca de dispositivos dered, especifique los dispositivos que desee ignorar durante el examen devulnerabilidades de red en el espacio proporcionado en Ignore (Do not list/save to db)devices which name contains:.

NotaIncluya únicamente un nombre de dispositivo de red por línea.

Configuración de las opcio-nes avanzadas de examende dispositivos de red

En la ficha Network Devices, también puede especificar el tipo de dispositivos de redverificados por este perfil de detección y presentados en los resultados de examen.Entre estos se incluyen “dispositivos de red cableados”, “dispositivos de redinalámbricos”, “dispositivos de red enumerados por software” y “dispositivos de redesvirtuales”. Para especificar los dispositives de red que se enumerarán en los resultadosde examen:1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices.2. Haga clic en la ficha Network Devices (se abre de forma predeterminada).3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, enProfiles.4. Haga clic en Advanced en la parte inferior de la página.5. Fije las opciones requeridas en Yes. Haga clic en OK para finalizar la configuración.

Tabla 81: Opciones de examen de dispositivos



Detección de dispositivosUSB

Para compilar una lista de dispositivos USB no autorizados o inseguros:1. En la ficha Network & Security Audit Options, haga clic en la subficha Devices.2. Haga clic en la ficha USB Devices.3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, enProfiles.4. En el panel derecho, especifique los dispositivos que desee clasificar comovulnerabilidades de seguridad altas en el espacio proporcionado en Create a highsecurity vulnerability for network devices which name contains:.Por ejemplo, si introduce la palabra “iPod”, recibirá una notificación a través de unaalerta de vulnerabilidad de seguridad alta cuando se detecte un dispositivo cuyonombre contenga la palabra “iPod”.Para crear una lista blanca de dispositivos de red, especifique los dispositivos que deseeignorar durante el examen de vulnerabilidades de red en el espacio proporcionado enIgnore (Do not list/save to db) devices which name contains:.

NotaIncluya únicamente un nombre de dispositivo USB por línea.

12.4.4 Configuración de opciones de examen de aplicaciones

La ficha Applications le permite especificar las aplicaciones que activarán una alerta durante unexamen.

Captura de pantalla 141: Página de configuración de aplicaciones


Mediante esta ficha, también puede configurar GFI LanGuard para que detecte y presenteaplicaciones de software no autorizadas instaladas en los dispositivos examinados y generar alertasde vulnerabilidades de seguridad altas cuando se detecta este software.


Examen de aplicaciones ins-taladas

De forma predeterminada,GFI LanGuard también admite la integración con aplicacionesde seguridad en particular. Entre ellas se incluyen varias aplicaciones de softwareantivirus y antispyware.Durante la detección de seguridad, GFI LanGuard verifica que los detectores de virus oel software antispyware estén configurados de forma correcta y que los archivos dedefinición correspondientes estén actualizados.La detección de dispositivos de red se puede configurar por perfil de examen y elacceso a todas las opciones de configuración es posible a través de las dos subfichas dela ficha Applications. Estas son Unauthorized Applications y Advanced Options.

Habilitación/deshabilitaciónde comprobaciones en buscade aplicaciones instaladas

Para habilitar la detección de aplicaciones instaladas en un perfil de detección enparticular:1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications.2. Haga clic en la subficha Unauthorized Applications.3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, enProfiles.4. Marque la casilla de verificación Enable scanning for installed applications ontarget computer(s).

NotaLa detección de aplicaciones instaladas se puede configurar por perfil de examen.Asegúrese de habilitar la detección de aplicaciones instaladas en todos losperfiles en los que se requiera.

Compilación de la listanegra/blanca de aplicacionesinstaladas

Para compilar la lista negra y blanca de aplicaciones instaldas:1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications.2. Seleccione la subficha Unauthorized Applications.3. Seleccione el perfil de detección que personalizará en el panel izquierdo, enProfiles.4. En el panel derecho, marque la casilla de verificación Enable scanning for installedapplications on target computer(s).5. Especifique las aplicaciones cuya instalación se autoriza. Elija una de las siguientesopciones:

Only the applications in the list below: especifique nombres de aplicacionescuya instalación se autoriza. Estas aplicaciones se ignorarán durante un examende seguridad

All applications except the ones in the list below: especifique los nombres delas aplicaciones cuya instalación no se autoriza. Las aplicaciones que no estén enesta lista se ignorarán durante un examen de seguridad.

6. En las opciones de Ignore (Do not list/save to db) applications from the list below,escriba aplicaciones después de hacer clic en Add. Cualquier aplicación enumerada seincluye en la lista blanca.

NotaIncluya únicamente un nombre de aplicación por línea.

Tabla 82: Opciones de examen de aplicaciones



Opciones avanzadas de exa-men de aplicaciones

GFI LanGuard incluye una lista predeterminada de aplicaciones antivirus y antispywareque se pueden verificar durante la detección de seguridad.La ficha Advanced Options le permite determinar mediante configuración cuándo GFILanGuard generará alertas de vulnerabilidades de seguridad altas si detectadeterminadas configuraciones de una aplicación de seguridad.Se generan alertas cuando:

No se detectan antivirus, antispyware ni cortafuegos

Se detecta un antivirus o antispyware falsos

Las definiciones de antivirus o antispyware no están actualizadas

El control de antivirus o antispyware en tiempo real se desactiva

Un producto antivirus o antispyware caduca

Un producto antivirus o antispyware detecta malware en los equipos examinados

El cortafuegos se deshabilita

Se cumple el tiempo de espera de HTTP/FTP cuando se realizan comprobacionesen busca de actualización del producto en sitios remotos. Esta opción genera unaalerta si el número de segundos definido para el tiempo de espera se excede.



Habilitación/deshabilitaciónde comprobaciones en buscade aplicaciones de seguridad

Para habilitar la verificación en busca de aplicaciones de seguridad instaladas en unperfil de detección en particular:1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications.2. Haga clic en la subficha Advanced Options.3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, enProfiles.4. Marque la casilla de verificación Enable scanning for installed applications ontarget computer(s).5. (Exámenes sin agente) Marque la casilla de verificación Enable full securityapplications audit for agent–less scans.

Nota1. Los exámenes sin agente ejecutan de forma temporal un servicio dedimensiones reducidas en los equipos remotos para recuperar la informacióncorrespondiente.2. La detección de aplicaciones de seguridad se puede configurar por perfil deexamen. Asegúrese de habilitar la detección de aplicaciones de seguridad entodos los perfiles en los que se requiera.3. El número de aplicaciones de seguridad compatibles se actualiza de formaconstante. Haga clic en el enlace disponible para obtener la versión más recientede la lista. Configuración de aplicaciones de seguridad: opciones avanzadas.

Para configurar los desencadenadores de alertas para aplicaciones de seguridadinstaladas en un perfil de detección en particular:1. En la ficha Network & Security Audit Options, haga clic en la subficha Applications.2. Haga clic en la ficha Advanced Options.3. Seleccione el perfil de detección que desee personalizar en el panel izquierdo, enProfiles.4. Marque la casilla de verificación Enable scanning for installed applications ontarget computer(s).5. (Exámenes sin agente) Marque la casilla de verificación Enable full securityapplications audit for agent–less scans.6. En el panel inferior derecho, seleccione el desencadenador que desee configurar yseleccione Yes o No en el menú desplegable junto al desencadenador de altertacorrespondiente.

NotaLa detección de aplicaciones de seguridad se puede configurar por perfil deexamen. Asegúrese de habilitar la detección de aplicaciones de seguridad entodos los perfiles en los que se requiera.

12.5 Configuración de opciones de detección de seguridad

Utilice la ficha Scanner Options para configurar los parámetros de operación del motor de detecciónde seguridad. Estos parámetros se pueden configurar por perfil de examen y se puede definir lamanera en que el motor de examen realizará detecciones de destinos y consultas de datos delsistema operativo.


Captura de pantalla 142: Propiedades de perfiles de detección: Ficha Scanner Options

Entre las opciones configurables se incluyen los tiempos de espera, los tipos de solicitudes que seejecutarán durante la detección de objetivos, el conteo de números de subprocesos de detección, elalcance de las solicitudes de SNMP y más.

Importante

¡Configure estos parámetros con extremo cuidado! Una configuración incorrecta puedeafectar el rendimiento de detección de seguridad de GFI LanGuard.

Para configurar las opciones del detector:

1. En Scanning Profile Editor > Profile categories, seleccione la categoría que contiene el perfil dedetección que desee editar (por ejemplo, Complete/Combination Scans).

2. En la sección Profiles, seleccione el perfil de detección que desee editar (por ejemplo, FullVulnerability Assessment).

3. En el panel derecho, haga clic en Scanner Options.

4. Configure los siguientes parámetros que determinan el comportamiento de detección de GFILanGuard:

Parámetro Descripción

Network Discovery Methods

Tabla 83: Scanner Options



NetBIOS queries Permite habilitar o deshabilitar la utilización de solicitudes de NetBios para detectar dispositivosde red.

SNMP queries Permite habilitar o deshabilitar la utilización de solicitudes de SNMP para detectar dispositivos dered.

Ping sweep Permite habilitar o deshabilitar la utilización de barridos de Ping para detectar dispositivos de red.

Custom TCP dis-covery

Permite detectar equipos en línea solicitando los puertos TCP abiertos especificados.

Network Discovery Options

Scanning delay Escriba el intervalo de tiempo (en milisegundos) entre un examen y otro.

Network discoveryquery responsestimeout

Tiempo en milisegundos que el examen de seguridad dejará transcurrir antes de finalizar cuandose realice una solicitud de detección de equipos (NetBIOS, SNMP o Ping).

Number of retries Número de veces que un examen de seguridad intentará de nuevo establecer de nuevo la cone-xión con un equipo que no responde antes de omitirlo.

Include non-res-ponsive computers

Permite ejecutar exámenes en todos los equipos sin importar si se detectan como equipos en líneao no.

Perform a TCP portprobing in order todetect mobile devi-ces

Permite realizar un sondeo de puertos TCP para detectar dispositivos a través de puertos cono-cidos.

Network Scanner Options

Scanning threadscount

Permite escribir el número de subprocesos que pueden funcionar de forma simultánea.

NetBIOS Query Options

Scope ID Se utiliza para entornos de NetBIOS en los que se requiera una ID de alcance específica para per-mitir solicitudes.

SNMP Query Options

Load SNMP enter-prise numbers

Especifica si en el examen de seguridad se debe utilizar la OID (base de datos de identificadoresde objetos) que contiene el mapa de ID a proveedores para identificar los diferentes tipos de dis-positivos.

Community strings Permite especificar si el examen de seguridad debe utilizar la cadena de comunidad especificadapara la detección y la obtención de información de servidores SNMP.

Global Port Query Options

TCP port scanquery timeout

Tiempo en milisegundos que el examen de seguridad dejará transcurrir durante un examen depuertos TCP antes de finalizar y de continuar con el puerto siguiente.

UDP port scanquery timeout

Tiempo en milisegundos que el examen de seguridad dejará transcurrir durante un examen depuertos UDP antes de finalizar y de continuar con el puerto siguiente.

WMI Options

WMI timeout Tiempo en milisegundos que el examen de seguridad dejará transcurrir para la recepción de unarespuesta del servidor WMI remoto antes de finalizar y de continuar con el elemento de examensiguiente.

SSH Options

SSH timeout Tiempo en milisegundos que el examen de seguridad dejará transcurrir para el regreso de unscript de SSH antes de finalizar y de continuar con el elemento de examen siguiente.

Alternative SSHport

Puertos alternativos de SSH que se deben utilizar cuando el acceso al puerto 22 predeterminadono sea posible.

Scanner activity window

Type of scanneractivity output

Modos de progreso de actividad: simple (progreso básico; inicio y finalización de operaciones), odetallado (información más detallada sobre el flujo de proceso).

Display receivedpackets

Permite obtener paquetes de TCP en formato sin procesar como se recibieron a través del examende seguridad.



Display sentpackets

Permite obtener paquetes de TCP en formato sin procesar como se enviaron a través del examende seguridad.

OS Information Retrieval Options

Create customshare if admi-nistrative pri-vileges aredisabled

Si los recursos compartidos administrativos se deshabilitan, el detector creará de forma temporalun recurso compartido personalizado oculto con la forma <random GUID>$. El recurso compartidose utiliza para recuperar datos que ayudan a identificar vulnerabilidades y revisiones faltantes.

Start remote regis-try

Si el servicio de registro remoto se interrumpe en el equipo examinado, habilite esta opción paraabrirlo de forma temporal durante la detección de seguridad.

GFI LanGuard 13 Utilidades | 223

13 Utilidades

GFI LanGuard le proporciona un conjunto de utilidades de red que le permiten controlar la actividadde red, reunir información de red y auditrar dispositivos de red.


13.1 Búsqueda de DNS 223

13.2 Traceroute 225

13.3 Whois 227

13.4 Enumeración de equipos 228

13.5 Enumeración de usuarios 230

13.6 Auditorías de SNMP 231

13.7 SNMP Walk 232

13.8 Auditoría de SQL Server® 233

13.9 Herramientas de línea de comandos 234

13.1 Búsqueda de DNS

La búsqueda de DNS convierte nombres de dominio en la dirección IP correspondiente y recuperainformación en particular del dominio de destino (por ejemplo, registro MX, etc.)

Para convertir un dominio o nombre de host:


2. Haga clic en la ficha Utilities y seleccione DNS Lookup en el panel izquierdo, en Tools.

3. Especifique el nombre de host que se convertirá en Hostname/IP to resolve.


Captura de pantalla 143: Herramienta DNS Lookup

4. En Common Tasks, en el panel izquierdo, haga clic en Edit DNS Lookup options, o bien en Optionsen el panel derecho, y especifique la información descrita a continuación:


Basic Infor-mation

Permite recuperar el nombre de host y la dirección IP relativa.

Host Infor-mation

Permite recuperar detalles de HINFO. La información de host (conocida como “HINFO”) generalmenteincluye información de equipos de destino, como especificaciones de hardware y detalles de SO.

Aliases Recupere información sobre los “registros A” configurados en el dominio de objetivo.

MX Records Permite enumerar todos los servidores de correo y el orden (es decir, la prioridad) con que reciben y pro-cesan mensajes de correo electrónico para el dominio de destino.

NS Records Permite especificar los “servidores de nombres” autoritarios respecto de un dominio o subdominio en par-ticular.

Tabla 84: Opciones de búsqueda de DNS

Nota

Algunas entradas de DNS no contienen determinada información por razones deseguridad.


Captura de pantalla 144: Opciones de la herramienta DNS Lookup

5. (Opcional) Especifique el servidor DNS alternativo al que se enviarán consultas a través de laherramienta de búsqueda de DNS de forma predeterminada para utilizar el servidor DNSpredeterminado.

6. Haga clic en Retrieve para iniciar el proceso.

13.2 Traceroute

Traceroute identifica la ruta de acceso que GFI LanGuard utiliza para alcanzar un equipo de destino.


Captura de pantalla 145: Herramienta Traceroute

Para utilizar la herramienta Traceroute:


2. Haga clic en la ficha Utilities y seleccione Traceroute en el panel izquierdo, en Tools.

3. En el menú Trace (domain/IP/name), especifique el nombre, la IP o el dominio que se debenalcanzar.

4. (Opcional) En Common Tasks, en el panel izquierdo, haga clic en Edit traceroute options o enOptions en el panel derecho para cambiar las opciones predeterminadas.

5. Haga clic en el botón Traceroute para iniciar el proceso de traza.

Traceroute fraccionará la ruta de acceso utilizada para alcanzar un equipo de destino en “saltos”. Unsalto indica una etapa y representa un equipo recorrido durante el proceso.

Entre la información que se menciona en esta herramienta se incluyen la IP de los equipos recorridos,el número de ocasiones en que un equipo se recorrió y el tiempo empleado para alcanzar el equiporespectivo. También se incluye un ícono junto a cada salto. Este ícono indica el estado de este saltoen particular. Entre los íconos utilizados en esta herramienta se incluyen los siguientes:

Icono Descripción

Indica un salto exitoso realizado dentro de parámetros normales.

Indica que el salto fue exitoso, pero que el tiempo requerido fue prolongado.

Indica que el salto fue exitoso, pero que el tiempo requerido fue demasiado prolongado.

Indica que el tiempo de espera del salto se ha vencido (> 1000 ms).

Tabla 85: Íconos de Traceroute


13.3 Whois

Whois busca información en un dominio o una dirección IP en particular.

Captura de pantalla 146: Herramienta Whois


2. Haga clic en la ficha Utilities y seleccione Whois en el panel izquierdo, en Tools.

3. En el menú Query (domain/IP/name), especifique el nombre, la IP o el dominio que se debenalcanzar.

4. (Opcional) En Common Tasks, en el panel izquierdo, haga clic en Edit whois options o en Optionsen el panel derecho para cambiar las opciones predeterminadas.



13.4 Enumeración de equipos

Captura de pantalla 147: Herramienta Enumerate Computers

La utilidad para enumerar equipos identifica dominios y grupos de trabajo en una red. Durante laejecución, esta herramienta también examinará cada dominio o grupo de trabajo para enumerar susrespectivos equipos.

Entre la información que esta herramienta enumera se encuentra la siguiente:

El nombre del dominio o grupo de trabajo

La lista de equipos del dominio o grupo de trabajo

El sistema operativo instalado en los equipos detectados

Cualquier detalle adicional que se podría recopilar a través de NetBIOS.

Los equipos se enumeran mediante uno de los siguientes pasos:


From ActiveDirectory®

Este método es mucho más rápido e incluye equipos que en el momento estén apagados.

From WindowsExplorer

Este método enumera equipos a través de una red en tiempo real y, por lo tanto, es más lento y noincluirá equipos que estén apagados.

Tabla 86: Opciones de enumeración de equipos

Para enumerar equipos:


2. Haga clic en la ficha Utilities y seleccione Enumerate Computers en el panel izquierdo, en Tools.

3. En el menú Enumerate computers in domain, seleccione el dominio deseado.


4. En Common Tasks, en el panel izquierdo, haga clic en Edit enumerate computers options o enOptions en el panel derecho.

5. Elija si desea enumerar equipos desde Active Directory® o desde el Explorador de Windows.


Nota

Para un examen de Active Directory® deberá ejecutar la herramienta en una cuenta conderechos de acceso a Active Directory®.

13.4.1 Inicio de un examen de seguridad

Para iniciar un examen de seguridad directamente desde la herramienta Enumerate Computers, hagaclic con el botón secundario en cualquiera de los equipos enumerados y seleccione Scan.

También puede iniciar un examen de seguridad y al mismo tiempo continuar utilizando la herramientaEnumerate Computers. Esto se logra haciendo clic con el botón secundario en cualquiera de losequipos enumerados y seleccionando Scan in background.

13.4.2 Implementación de revisiones personalizadas

Puede utilizar la herramienta Enumerate Computers para implementar revisiones personalizadas ysoftware de terceros en los equipos enumerados. Para iniciar el proceso de implementacióndirectamente desde esta herramienta:

1. Seleccione los equipos que requieren implementación.

2. Haga clic con el botón secundario en cualquiera de los equipos elegidos y seleccione DeployCustom Patches.

13.4.3 Habilitación de directivas de auditoría

La herramienta Enumerate Computers también le permite configurar directivas de auditoría enequipos en particular. Esto se realiza de la siguiente manera:

1. Seleccione los equipos en los que desee habilitar directivas de auditoría.

2. Haga clic con el botón secundario en cualquiera de los equipos elegidos y seleccione EnableAuditing Policies. Esto iniciará Asistente Auditing Policies configuration, que lo guiará en el procesode configuración.


13.5 Enumeración de usuarios

Captura de pantalla 148: Cuadro de diálogo de la herramienta Enumerate Users

Para examinar Active Directory® y recuperar la lista de todos los usuarios y contactos incluidos enesta base de datos:


2. Haga clic en la ficha Utilities y seleccione Enumerate Users en el panel izquierdo, en Tools.

3. En el menú Enumerate users in domain, seleccione el dominio deseado.

4. En Common Tasks, en el panel izquierdo, haga clic en Edit enumerate users options o en Optionsen el panel derecho para filtrar la información que se extraerá y para que aparezcan solo los detallesde los usuarios o contactos. A su vez, puede configurar de forma opcional esta herramienta pararesaltar cuentas deshabilitadas o bloqueadas.


Nota

Esta herramienta puede habilitar o deshabilitar las cuentas de usuario enumeradas.Haga clic con el botón secundario en la cuenta y seleccione Enable/Disable accountsegún corresponda.


13.6 Auditorías de SNMP

Captura de pantalla 149: Herramienta SNMP Audit

Esta herramienta identifica e informa cadenas de comunidad de SNMP vulnerables mediante unataque por diccionario con los valores almacenados en su archivo de diccionario predeterminado(“snmp–pass.txt”).

Puede agregar nuevas cadenas de comunidad al archivo de diccionario predeterminado utilizando uneditor de texto (por ejemplo, “notepad.exe”).

También puede indicar a la herramienta SNMP Audit que utilice otros archivos de diccionario. Paralograr esto, especifique la ruta de acceso al archivo de diccionario que desee utilizar desde lasopciones de la herramienta, a la derecha de la consola de administración.

Para realizar auditorias de SNMP en destinos de red e identificar cadenas de comunidad vulnerables:


2. Haga clic en la ficha Utilities y seleccione SNMP Audit en el panel izquierdo, en Tools.

3. En el menú IP or range of IP addresses for computer(s) running SNMP, especifique la IP que sedeberá alcanzar.

4. En Common Tasks, en el panel izquierdo, haga clic en Edit SNMP Audit options o en Options en elpanel derecho para editar las opciones predeterminadas.



13.7 SNMP Walk

Captura de pantalla 150: Herramienta SNMP Walk

Para sondear sus nodos de red y recuperar información de SNMP (por ejemplo, OID):


2. Haga clic en la ficha Utilities y seleccione SNMP Walk en el panel izquierdo, en Tools.

3. En el menú IP address, especifique la dirección IP del equipo que desea examinar en busca deinformación de SNMP.

4. En Common Tasks, en el panel izquierdo, haga clic en Edit SNMP walk options o en Options en elpanel derecho para editar las opciones predeterminadas, como el suministro de cadenas decomunidad alternativas.


IMPORTANTE

La actividad de SNMP normalmente se bloquea en el enrutador o el cortafuegos para quelos usuarios de Internet no puedan realizar un examen de SNMP de su red. Los usuariosmalintencionados pueden utilizar información enumerada mediante detección de SNMPpara ingresar de forma no autorizada en su red o sus sistemas. A menos que esteservicio sea necesario, se recomienda deshabilitarlo.


13.8 Auditoría de SQL Server®

Esta herramienta le permite probar la vulnerabilidad de la contraseña de la cuenta de “sa” (es decir,administrador raíz) y de cualquier otra cuenta de usuarios de SQL configurada en SQL Server®.Durante el proceso de auditoría, esta herramienta realizará ataques por diccionario en cuentas deSQL Server® utilizando las credenciales especificadas en el archivo de diccionario “passwords.txt”. Noobstante, también puede indicar a la herramienta SQL Server® Audit que utilice otros archivos dediccionario. También puede personalizar su diccionario agregando nuevas contraseñas a la listapredeterminada.

Para realizar una auditoría de seguridad en una instalación de SQL Server® en particular:


2. Haga clic en la ficha Utilities y seleccione SQL Server Audit en el panel izquierdo, en Tools.

Captura de pantalla 151: SQL Server® Audit

3. En el menú Audit MS SQL Server, especifique la dirección IP del SQL Server® que desea someter aauditoría.

4. En Common Tasks, en el panel izquierdo, haga clic enEdit SQL server audit options o en Optionsen el panel derecho para editar las opciones predeterminadas, como los ataques por diccionario entodas las demás cuentas de usuarios de SQL.

5. Haga clic en Audit para iniciar el proceso.


13.9 Herramientas de línea de comandos

Las herramientas de línea de comandos le permiten iniciar exámenes de vulnerabilidad de la red ysesiones de implementación de revisiones, además de importar y exportar perfiles y vulnerabilidadessin cargar la consola de administración de GFI LanGuard. Utilice la información de esta sección parasaber cómo ejecutar funciones de administración de revisiones utilizando las siguientes herramientasCMD:

Lnsscmd.exe

Deploycmd.exe

Impex.exe

13.9.1 Utilización de Insscmd.exe

La herramienta de detección de destinos de línea de comando “lnsscmd.exe” le permite ejecutarcomprobaciones de vulnerabilidades en destinos de red directamente desde la línea de comandos o através de aplicaciones de terceros, archivos de procesamiento por lotes y scripts. La herramienta delínea de comandos “lnsscmd.exe” admite los siguientes conmutadores:

lnsscmd <Target> [/profile=nombredePerfil] [/report=rutadeaccesodeInforme][/reportname=nombredeInforme] [/output=rutadeAccesoaArchivoXml][/user=nombredeUsuario /password=contraseña] [/Email[/EmailAddress=DireccióndeCorreoElectrónico]] [/DontShowStatus][/UseComputerProfiles] [/Wake] [/Shutdown[/ShutdownIntervalStart=<hh:mm:ss>] [/ShutdownIntervalEnd=<hh:mm:ss>]][/?]

Conmutadores de comandos de lnsscmd

Conmutador Descripción

Target Permite especificar la IP o el intervalo de IP o los nombres de host que se examinarán.

/Profile (Opcional) Permite especificar el perfil de detección que se utilizará durante un examen deseguridad. Si este parámetro no se especifica, se utilizará el perfil de detección activo en GFILanGuard.

NotaEn la consola de administración, el perfil de detección predeterminado (es decir, activo)se distingue por la presencia de la palabra “(Active)” junto a su nombre. Para ver elperfil activo, en la ficha Configuration expanda el nodo Scanning Profiles.

/Output (Opcional) Permite especificar la ruta de acceso completa (incluido el nombre de archivo) delarchivo XML en el que se guardarán los resultados de examen.

/Report (Opcional) Nombre del directorio o archivo completo para el informe de examen de salida.

/ReportName (Opcional) Nombre del informe que se generará. Si no se especifica, el informe se guarda conun nombre predeterminado.

/User y /Password (Opcional) Permiten especificar las credenciales alternativas que el motor de examen uti-lizará para la autenticación en un equipo de destino durante una detección de seguridad.Como alternativa, puede utilizar el connmutador /UseComputerProfiles para emplear las cre-denciales de autenticación ya configuradas en Dashboard.

/Email (Opcional) Permite enviar el informe generado por correo electrónico. Se utilizarán la direc-ción de correo electrónico y el servidor de correo especificados en Configuration > AlertingOptions.

/EmailAddress (Opcional) Depende de /Email. Invalida las opciones de alterta generales y utiliza la direcciónde correo electrónico especificada.

Tabla 87: Conmutadores de comandos de lnsscmd



/DontShowStatus (Opcional) Incluya este conmutador si desea realizar una detección silenciosa. De estamanera, los detalles del progreso de los exámenes no se mostrarán.

/UseComputerProfiles (Opcional) Use per computer credentials when available.

/Wake (Opcional) Wake up offline computers.

/Shutdown (Opcional) Permite apagar los equipos después del examen.

/ShutdownIntervalStart (Opcional) Depende de /Shutdown. Hora de inicio del intervalo cuando se permite el apagado.Utilice el formato hh:mm:ss.

/ShutdownIntervalEnd (Opcional) Depende de /Shutdown. Hora de finalización del intervalo cuando se permite elapagado. Utilice el formato hh:mm:ss.

/? (Opcional) Utilice este conmutador para que aparezcan las instrucciones de utilización de laherramienta de línea de comandos.

Nota

Agregue siempre las rutas de acceso y los nombres de perfiles completos entre comillas.Por ejemplo, “[ruta de acceso o nombre de ruta de acceso]” o“C:\temp\test.xml”.

La herramienta de detección de destinos de línea de comandos le permite hacer pasar parámetrospor variables espcíficas. Estas variables se reemplazarán de forma automática por su valor respectivodurante la ejecución. En la siguiente tabla se describen las variables admitidas:

Variables admitidas

Variable Descripción

%INSTALLDIR% Durante la detección, esta variable se reemplazará por la ruta de acceso al directorio de instalación deGFI LanGuard.

%TARGET% Durante la detección, esta variable se reemplazará por el nombre del equipo de destino.

%SCANDATE% Durante la detección, esta variable se reemplazará por la fecha del examen.

%SCANTIME% Durante la detección, esta variable se reemplazará por la hora del examen.

Tabla 88: Variables admitidas en lnssmcd

Ejemplo

1. Para realizar un examen de seguridad en un equipo de destino con la dirección IP “130.16.130.1”.

2. Guarde los resultados de examen en “c:\out.xml” (es decir, un archivo XML).

3. Genere un informe en formato PDF y guárdelo en “c:\result.odf”.

4. Envíe el informe en formato PDF por correo electrónico a “[email protected]”

El comando debe ser el siguiente:

lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml"/Report="c:\result.pdf" /Email /emailAddress="[email protected]"

13.9.2 Utilización de deploycmd.exe

La herramienta de implementación de revisiones de línea de comandos “deploycmd.exe” le permiteimplementar revisiones de Microsoft® y software de terceros en destinos remotos de forma directadesde la línea de comandos a través de aplicaciones, archivos de procesamiento por lotes o scripts deterceros. La herramienta de línea de comandos “deploycmd.exe” admite los siguientesconmutadores:


deploycmd <target> </file=FileName> [/switches=Conmutadores][/username=NombredeUsuario /password=Contraseña] [/warnuser][/userapproval] [/stopservices][/customshare=NombredeRecursoCompartidoPersonalizado] [/reboot][/rebootuserdecides] [/wake] [/shutdown] [/deletefiles][/timeout=TiempodeEspera(seg)] [/usecomputerprofiles][/RebootCountdown=Tiempo(seg)][/RebootCountdownMessage="MensajePersonalizado"][/RebootAtFirstOccurenceOf=Tiempo(formato "hh:mm:ss")][/ShutDownAtFirstOccurenceOf=Tiempo(formato "hh:mm:ss")][/RebootInInterval] [/ShutDownInInterval] [/RebootIntervalStart=Tiempo(formato "hh:mm:ss")] [/RebootIntervalEnd=Tiempo(formato "hh:mm:ss")] [/?]

Conmutadores de comandos de deploycmd


Target Permite especificar los nombres, las IP o los intervalos de IP de los equipos de destinoen los que se implementarán las revisiones.

/File Permite especificar el archivo que desea implementar en los destinos especificados.

/User y /Password (Opcional) Permiten especificar las credenciales alternativas que el motor de examenutilizará para la autenticación en un equipo de destino durante la implementación derevisiones. Como alternativa, puede utilizar el connmutador /UseComputerProfilespara emplear las credenciales de autenticación ya configuradas en Dashboard.

/warnuser (Opcional) Incluya este conmutador si desea informar al usuario del equipo de destinoque la instalación de un archivo o una revisión se encuentra en curso. Los usuarios reci-birán la notificación a través de un cuadro de diálogo de mensaje que se mostrará enla pantalla inmediatamente antes del inicio de la sesion de implementación.

/useraproval (Opcional) Incluya este conmutador para solicitar la aprobación del usuario antes deiniciar el proceso de instalación del archivo o de la revisión. Esto permite a los usuariosposponer el proceso de instalación del archivo o de la revisión para otro momento (porejemplo, hasta que un proceso que ya esté en ejecución se complete en el equipo dedestino).

/stopservice (Opcional) Incluya este conmutador si desea detener servicios específicos en el equipode destino antes de instalar el archivo o la revisión.

NotaNo podrá especificar los servicios que se detendrán de forma directa desde laherramienta de línea de comandos. Solo es posible agregar o quitar servicios através de la consola de administración.

/customshare (Opcional) Permite especificar el recurso compartido de destino al que desea trans-ferir el archivo antes de su instalación.

/reboot (Parámetro opcional) Incluya este conmutador si desea reiniciar el equipo de destinodespués de la implementación del archivo o de la revisión.

/rebootuserdecides (Parámetro opcional) Incluya este conmutador para permitir al usuario del equipo dedestino actual decidir cuándo reiniciar este equipo (después de la instalación de larevisión).

/wake Reactiva equipos fuera de línea.

/shutdown (Parámetro opcional) Incluya este conmutador si desea apagar el equipo de destinodespués de la instalación del archivo o de la revisión.

/deletefiles (Parámetro opcional) Incluya este conmutador si desea eliminar el archivo de origenuna vez que se ha instalado de forma correcta.

/timeout (Parámetro opcional) Permite especificar el tiempo de espera de la operación deimplementación. Este valor define el tiempo de ejecución que se permitirá para unproceso de implementación antes de que se interrumpa la instalación del archivo o dela revisión.

Tabla 89: Conmutadores de comandos de deploycmd



/usecomputerprofiles (Opcional) Permite utilizar datos de perfiles de equipos.

/RebootCountdown (Opcional) Permite hacer que se muestre una ventana de cuenta regresiva de reiniciodurante varios segundos para el usuario remoto antes del reinicio.

/RebootCountdownMessage (Opcional) Se utiliza junto con /RebootCountdown. Muestra un mensaje personalizadoal usuario remoto antes del reinicio del equipo.

/RebootAtFirstOccurenceOf (Opcional) Permite reiniciar un equipo al transcurrir por primera vez un tiempo deter-minado. El tiempo debe respetar el formato de 24 horas “hh:mm:s s”. Por ejemplo,“18:30:00”.

/ShutDownAtFirstOccurenceOf (Opcional) Permite apagar un equipo al transcurrir por primera vez un tiempo deter-minado. El tiempo debe respetar el formato de 24 horas “hh:mm:s s”. Por ejemplo,“18:30:00”.

/RebootInInterval (Opcional) Permite reiniciar el equipo después de la implementación si esta se com-pleta en el intervalo de tiempo especificado. De lo contrario, espere para especificarel intervalo de forma manual. Requiere parámetros /RebootIntervalStart y /Re-bootIntervalEnd.

/ShutdownIntervalStart (Opcional) Depende de /Shutdown. Hora de inicio del intervalo cuando se permite elapagado. Utilice el formato hh:mm:ss.

/ShutdownIntervalEnd (Opcional) Depende de /Shutdown. Hora de finalización del intervalo cuando se per-mite el apagado. Utilice el formato hh:mm:ss.

/ShutDownInInterval (Opcional) Permite apagar el equipo después de la implementación si esta se com-pleta en el intervalo de tiempo especificado. De lo contrario, espere para especificarel intervalo de forma manual.

/? (Opcional) Utilice este conmutador para que aparezcan las instrucciones de utilizaciónde la herramienta de línea de comandos.

Ejemplo

1. Implemente un archivo llamado “patchA001002.XXX”.

2. En el equipo de destino “TMJuanPérez”.

3. Reinicie el equipo de destino después de la implementación correcta del archivo.

El comando debe ser el siguiente:

deploycmd TMJohnDoe /file=”revisiónA001002.XXX” /reboot

13.9.3 Utilización de impex.exe

Impex es una herramienta de línea de comandos que se puede utilizar para importar y exportarperfiles y vulnerabilidades del examen de seguridad de red de GFI LanGuard. Los parámetrosadmitidos por esta herramienta son los siguientes:

impex [[/H] | [/?]] | [/XML:xmlfile [/DB:dbfile] [[/EX] [/MERGE]] | [/IM[/ONLYNEWER]] [/PROFILES | /VULNS | /PORTS | /PROFILE:name | /VULNCAT:cat[/VULN:name] | /PORTTYPE:type [/PORT:number]] [/SKIP | /OVERWRITE |/RENAME:value]]

Conmutadores de comandos de impex


/H/?Run impex withoutparameters

Muestra información de ayuda.

Tabla 90: Conmutadores de comandos de impex



/XML:<xmlfile> Este parámetro especifica el nombre del archivo XML importado o exportado. <xmlfile> se debereemplazar por el nombre del archivo al que el perfil se exportará.

NotaEste parámetro es obligatorio para la importación o exportación de alertas.

/DB:<dbfile> Donde <dbfile> es el archivo de base de datos que se debe utilizar durante la operación deimportación o exportación. Si esto no se especifica, se utilizará el archivo “ope-rationsprofiles.mdb” predeterminado.

/EX Permite exportar datos de la base de datos al archivo XML (opción predeterminada)

/MERGE Si se especifica esto cuando el XML de destino para la exportación ya exista, el archivo se abriráy los datos se combinarán; de lo contrario, el archivo XML se eliminará en primer lugar.

/IM Permite importar datos del archivo XML a la base de datos

/ONLYNEWER Cuando se especifique esto, solo se importarán las vulnerabilidades más recientes que la vul-nerabilidad más reciente de la base de datos.

/PROFILES Permite exportar o importar todos los perfiles de detección.

/VULNS Permite exportar o importar todas las vulnerabilidades.

/PORTS Permite exportar o importar todos los puertos.

/PROFILE:<name> Permite exportar o importar el perfil de detección especificado.

/VULNCAT:<category> Permite exportar o importar todas las vulnerabilidades de la categoría especificada.

/VULN:<name> Permite exportar o importar la vulnerabilidad especificada (se debe especificar “/VULNCAT”).

/PORTTYPE:<type> Permite exportar o importar todos los del tipo especificado.

/PORT:<number> Permite exportar o importar el puerto especificado (se debe especificar “/PORTTYPE”).

/SKIP Si un elemento ya existe en el archivo XML o la base de datos de destino, dicho elemento seomitirá

/OVERWRITE Si un elemento ya existe en el archivo XML o la base de datos de destino, dicho elemento sesobrescribirá.

/RENAME:<value> Si un elemento ya existe en el archivo XML o la base de datos de destino, el nombre de dichoelemento se cambiará a <value>. Si se especifican “/PROFILE” o “/VULN”, la información depuertos combinada con el elemento se vinculará con un puerto o su nombre se cambiará con laadición del prefijo <value> en cualquier otro caso.

Ejemplo 1:

Para importar entradas específicas de un archivo XML:

impex /xml:regcheck.xml /vuln:"Blaster Worm" /vulncat:"RegistryVulnerabilities"

Ejemplo 2:

Para importar un archivo XML completo:

impex /xml:regcheck.xml /im

Nota

El ejecutable Impex se puede localizar en la carpeta de instalación de GFI LanGuard.


Nota

Si el <xmlfile>, el <dbfile>, el <nombre>, la <categoría> o el <valor>especificados contienen caracteres de espacio, el valor completo se debe poner entrecomillas dobles. Ejemplo:

<xmlfile> con espacio = "Definiciones de comprobación de vul-nerabilidades.xml"

<xmlfile> sin espacio = Defi-nicionesdeComprobacióndeVulnerabilidades.xml

Nota

Si las vulnerabilidades se importan a otra instalación de GFI LanGuard, se recomiendaque dicha instalación tenga el mismo número de compilación que aquel del cual se haexportado de la base de datos.

IMPORTANTE

Se recomienda encarecidamente no utilizar la herramienta Impex si se encuentran enejecución la aplicación de GFI LanGuard (LanGuard.exe) o perfiles de detección deLanGuard (scanprofiles.exe).

GFI LanGuard 14 Depurador de scripts | 240

14 Depurador de scripts

Se pueden crear scripts que identifiquen vulnerabilidades personalizadas utilizando cualquierlenguaje de scripting compatible con VBScript. De forma predeterminada, GFI LanGuard incluye uneditor de script que usted puede utilizar para crear sus scripts personalizados.

Se deben incluir nuevas comprobaciones en la lista de comprobaciones compatibles con GFI LanGuard.Utilice la ficha Vulnerability Assessmente para agregar nuevas comprobaciones a la listapredeterminada de comprobaciones de vulnerabilidades por perfil de examen.GFI LanGuard tambiénadmite scripting Python.


14.1 Creación de scripts personalizados a través de VBscript 240

14.2 Creación de scripts personalizados a través de scripting Python 245

14.3 Módulo SSH 249

14.1 Creación de scripts personalizados a través de VBscript

GFI LanGuard admite y ejecuta scrips escritos en idiomas compatibles con VBscript. Utilice lenguajescompatibles con VBscript para crear scripts personalizados que se puedan ejecutar en sus destinos dered.

Se pueden desarrollar scripts de auditorías de seguridad utilizando el editor de scripts que se incluyeen GFI LanGuard. Este editor de scripts incorporado incluye capacidades de resalte de sintaxis ycaracterísticas de depuración que le proporcionan asistencia durante el desarrollo de scripts. Abra eleditor de scripts en Inicio > Programas > GFI LanGuard > LanGuard Script Debugger.

Nota

1. Para obtener más información sobre cómo desarrollar scripts utilizando el editor descripts incorporado, consulte el archivo de ayuda de Documentación de scriptingincluido en Inicio > Programas > GFI LanGuard > LanGuard Scripting documentation.

Nota

GFI no admite solicitudes de asistencia técnica relacionadas con problemas en scriptspersonalizados. Puede publicar cualquier solicitud que pueda tener acerca de foros deGFI LanGuard en http://forums.gfi.com/. A través de este foro, puede compartirscripts, problemas e ideas con otros usuarios de GFI LanGuard.

14.1.1 Adición de una comprobación de vulnerabilidades que utilice un VBScript (.vbs) per-sonalizado

Para crear nuevas comprobaciones de vulnerabilidades que utilicen VBScripts, siga los pasos descritosen esta sección:

Paso 1: Cree el script

Paso 2: Agregue comprobaciones de vulnerabilidades

http://forums.gfi.com/


Paso 3: Pruebe la comprobación de vulnerabilidades y el script

Paso 1: Creación del script

1. Inicie el depurador de scripts en Start (inicio) > Programs (programas) GFI LanGuard > LanGuardScript Debugger.

2. Acceda a File > New.

3. Cree un script. Para este ejemplo, utilice el siguiente código de script de muestra.

Function Main

echo "Script has run successfully"

Main = true

End Function

4. Guarde el script en <Ruta de la carpeta de instalación de LanGuard>\Data\Scripts\myscript.vbs.

Paso 2: Adición de comprobaciones de vulnerabilidades



3. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en la lista devulnerabilidades.


Captura de pantalla 152: Cuadro de diálogo Add vulnerability

4. Acceda a las fichas General, Description y References y especifique detalles básicos, como elnombre de la vulnerabilidad, una descripción breve, el nivel de seguridad y la Id. OVAL (sicorresponde).

5. Haga clic en la ficha Conditions y en el botón Add. Esto activará el asistente Check properties.


Captura de pantalla 153: Adición de comprobaciones de vulnerabilidades: selección del tipo de comprobación

6. Seleccione el nodo Independent checks > VBScript y haga clic en Next.


Captura de pantalla 154: Adición de comprobaciones de vulnerabilidades: selección del archivo de VBScript

7. Haga clic en Choose file y seleccione el tipo de archivo de VBScript personalizado que estacomprobación ejecutará. Haga clic en Next.


Captura de pantalla 155: Adición de comprobaciones de vulnerabilidades: definición de condiciones

8. Seleccione la configuración de condiciones relativas en el asistente para finalizar la selección descript. Haga clic en Finish para cerrar el asistente.

9. Haga clic en OK para guardar la nueva comprobación de vulnerabilidades.

Paso 3: Prueba de la comprobación de vulnerabilidades y del script

Examine su equipo localhost utilizando el perfil de detección en el que se agregó la nuevacomprobación.

En la ficha Scan, Results, se mostrará una advertencia de vulnerabilidad en el nodo VulnerabilityAssessment de los resultados de examen.

14.2 Creación de scripts personalizados a través de scripting Python

GFI LanGuard también es compatible un nuevo tipo de comprobaciones de vulnerabilidades: la pruebade script Python. Este tipo de comprobación se encuentra disponible en el tipo Independent checks.

Importante

Para obtener información sobre scripting Python, consulte la GFI LanGuarddocumentación de scripting de Inicio > Programas > GFI LanGuard 2012 > GFILanGuard Scripting Documentation.

Para agregar una nueva comprobación de script Python:




3. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en la lista devulnerabilidades.



5. Haga clic en la ficha Conditions y en el botón Add. Esto activará el asistente Check properties.



6. Seleccione el nodo Independent checks > Independent Python Script Test y haga clic en Next.


Captura de pantalla 158: Adición de comprobaciones de vulnerabilidades: selección del archivo de script Python

7. Haga clic en Choose file y seleccione el tipo de archivo de script Python que esta comprobaciónejecutará. Haga clic en Next.





14.3 Módulo SSH

GFI LanGuard incluye un módulo SSH que administra la ejecución de scripts de vulnerabilidades ensistemas basados en Linux o UNIX.

El módulo SSH determina el resultado de las comprobaciones de vulnerabilidades a través de los datos(texto) de la consola producidos por un script ejecutado. Esto significa que puede crearcomprobaciones de vulnerabilidades de Linux o UNIX personalizadas utilizando cualquier método descripting compatible con el sistema operativo de destino.

14.3.1 Palabras claves

El módulo SSH puede ejecutar scripst de detección de seguridad a través de su ventana de terminal.Cuando se inicia un examen de seguridad en equipos de destino basados en Linux/UNIX, se copianscripts de comprobación de vulnerabilidades al equipo de destino respectivo a través de una conexiónSSH y se ejecutan de nivel local.

La conexión SSH se establece utilizando las credenciales de inicio de sesión (es decir, nombre deusuario y contraseña/archivo de clave privada SSH) especificadas antes del inicio del examen deseguridad.

El módulo SSH puede determinar el estado de una comprobación de vulnerabilidades a través depalabras claves específicas presentes en los resultados de texto del script ejecutado. Estas palabras


claves se procesan a través del módulo y se interpretan como instrucción para GFI LanGuard. Entrelas palabra claves identificadas por el módulo SSH se incluyen las siguientes:

Palabra clave Descripción

TRUE: / FALSE Estas cadenas indican el resultado de la comprobación de vulnerabilidades o del script ejecutados.Cuando el módulo SSH detecta “TRUE”, significa que la comprobación fue exitosa; “FALSE:” indica quela comprobación de vulnerabilidades ha fallado.

AddListItem Esta cadena desencadena una función interna que agrega resultados al informe de comprobación devulnerabilidades (es decir, resultados de examen). Estos resultados se muestran en la consola deadministración de GFI LanGuard una vez finalizado un examen. El formato de esta cadena es elsiguiente:AddListItem([[[[nodo principal]]]],[[[[cadena real]]]])

[[[[nodo prin-cipal]]]]

Incluye el nombre del nodo de resultados de examen al que se puede agregar el resultado.

[[[[cadenareal]]]]

Permite incluir el valor que se agregará al nodo de resultados de examen.

NotaCada comprobación de vulnerabilidades se vincula a un nodo de resultados de examen asociado.Esto significa que los resultados de “AddListItem” se incluyen de forma predeterminada en unnodo de vulnerabilidades asociado o predeterminado. De esta manera, si el parámetro del nodoprincipal se deja vacío, la función agregará la cadena especificada al nodo predeterminado.

SetDescription Esta cadena desencadena una función interna que sobescribirá la descripción predeterminada de unacomprobación de vulnerabilidades con una nueva descripción. El formato de esta cadena es elsiguiente: SetDescription([nueva descripción])

!!SCRIPT_FINISHED!!

Esta cadena marca el final de la ejecución de cada script. El módulo SSH continuará buscando estacadena hasta que se encuentre hasta que se venza un tiempo de espera. Si se produce unvencimiento de tiempo de espera antes de que se genere la cadena “!!SCRIPT_FINISHED!!” , el móduloSSH clasificará la comprobación de vulnerabilidades respectiva como fallida.

NotaEs imprescindible que cada script personalizado produzca la cadena “!!SCRIPT_FINISHED!!” al finalde su proceso de comprobación.

Tabla 91: Palabras claves para vulnerabilidades

14.3.2 Adición de una comprobación de vulnerabilidades que utilice un script shell personalizado

En el siguiente ejemplo se crea una comprobación de vulnerabilidades (para destinos basados enLinux) que utiliza un script escrito en Bash. La comprobación de vulnerabilidades de este ejemplorealizará una prueba en busca de un archivo ficticio llamado “test.file”

Paso 1: Creación del script

1. Inicie su editor de archivos de texto favorito.

2. Cree un nuevo script utilizando el siguiente código:

#!/bin/bash

if [ –e test.file ]

then

echo "TRUE:"

else

echo "FALSE:"

fi

echo "!!SCRIPT_FINISHED!!"


3. Guarde el archivo en <Ruta de la carpeta de instalación de GFI LanGuard 2011>..\Data\Scripts\myscript.sh

Paso 2: Adición de la nueva comprobación de vulnerabilidades



3. En el panel intermedio, seleccione la categoría en la que se incluirá la nueva comprobación devulnerabilidades (por ejemplo, High Security Vulnerabilities...).

4. En la ventana nueva, agregue una nueva vulnerabilidad haciendo clic en Add en el panelintermedio.




6. Elija la ficha Conditions y haga clic en el botón Add. Esto activará el asistente Check properties.


7. Seleccione el nodo Unix checks > SSH Script Test y haga clic en el botón Next para continuar conla configuración.


Captura de pantalla 162: Adición de comprobaciones de vulnerabilidades: selección del archivo SSH

8. Haga clic en Choose file y seleccione el archivo de script SSH personalizado que se ejecutarádurante esta comprobación. Haga clic en Siguiente para continuar.





Paso 3: Prueba de la comprobación de vulnerabilidades y del script utilizados en elejemplo

Examine su equipo localhost utilizando el perfil de detección en el que se agregó la nuevacomprobación.

1. Inicie sesión en un equipo de destino con Linux y cree un archivo con el nombre “test.file”. Estacomprobación generará una alerta de vulnerabilidades si se encuentra un archivo con el “test.file”.

2. Inicie un examen en el destino con Linux en el que creó el archivo.

3. Verifique sus resultados de examen.

GFI LanGuard 15Miscelánea | 255

15 Miscelánea

Este capítulo contiene información sobre cómo configurar NetBIOS en sus equipos y cómodesinstalarGFI LanGuard.


15.1 Configuración de NetBIOS 255

15.2 Desinstalación de GFI LanGuard 256

15.1 Configuración de NetBIOS

Para comprobar si sus destinos de examen utilizan NetBIOS:

1. Navegue hasta Control Panel > Network and Internet > Network and Sharing Center > Changeadapter settings.

Nota

En Windows® XP, haga clic en Control Panel > Network Connections.

2. Haga clic con el botón secundario en Local Area Connection y seleccione Properties.

3. Haga clic en Internet Protocol (TCP/IP) y seleccione Properties.

4. Haga clic en Advanced > WINS.

GFI LanGuard 15Miscelánea | 256

Captura de pantalla 164: Propiedades de conexiones de área local: ficha WINS

5. En el área NetBIOS setting, asegúrese de que se seleccionen Default o Enable NetBIOS overTCP/IP.

6. Haga clic en OK y cierre el cuadro de diálogo Local Area Properties.

Nota

Si se utiliza una IP estática o el servidor DHCP no proporciona una configuración deNetBIOS, seleccione la opción Enable NetBIOS over TCP/IP.

15.2 Desinstalación de GFI LanGuard

Para desinstalar GFI LanGuard:

1. Haga clic en Start (inicio) > Control Panel (panel de control) > Add or Remove Programs (agregaro quitar programas).

2. Seleccione GFI LanGuard en la lista y haga clic en Remove.

3. En el asistente de desinstalación, haga clic en Next.

4. Seleccione los archivos de datos de configuración que se quitarán durante la desinstalación y hagaclic en Next.

5. Una vez completado el proceso, haga clic Finish.

GFI LanGuard 16 Solución de problemasyasistencia técnica | 257

16 Solución de problemas y asistencia técnica

En este capítulo se explica cómo solucionar problemas que se pueden encontrar durante la utilizaciónde GFI LanGuard. Estos problemas se pueden resolver recurriendo al contenido de esta Guía deladministrador. Si quedan problemas sin resolver después de revisar el manual, verifique si suproblema se enumera a continuación.

Consulte las secciones siguientes para obtener información sobre cómo resolver problemas comunes ycontactar al equipo de asistencia técnica.


16.1 Resolución de problemas comunes 257

16.2 Utilización del asistente para el solucionador de problemas 259

16.3 GFI SkyNet 261

16.4 Foro web 261

16.5 Solicitud de asistencia técnica 261

16.1 Resolución de problemas comunes

En la siguiente tabla se le proporcionan soluciones para los problemas más comunes que puedeencontrar al utilizar GFI LanGuard:

Problema hallado Solución/Descripción

Se encuentra el error Failed to con-nect to database al intentar con-figurar el back-end de base de datos.

DescripciónEste problema se puede producir cuando se cumplen las dos condicionessiguientes:1. GFI LanGuard se instala en Windows 2000 SP4 con MDAC 2.5 SP 32. El back-end de base de datos es SQL Server® y tiene un nombre de instanciade base de datos que difiere del nombre del equipo con SQL Server®.SoluciónInstale Microsoft® Data Access Components (MDAC, 2.6 o posterior) en elequipo con GFI LanGuard y realice un nuevo intento.MDAC se puede descargar desde: http://go.gfi.com/?pageid=download_mdac

The database structure is incorrect.Do you want to delete and recreatethe database? Esta advertencia seencuentra al intentar configurar elback-end de base de datos.

DescripciónEste problema se produce cuando la estructura de la base de datos está dañada.O bienLa base de datos devuelve un vencimiento de tiempo de espera debido a que laconexión no se puede establecer.SoluciónCuando aparezca este mensaje: Verifique que todas las credenciales de SQLsean correctas y que no existan problemas de conectividad entre el equipo conGFI LanGuard y SQL Server. Es importante tener en cuenta que cuando se haceclic en OK todos los exámenes guardados se pierden.

Tabla 92: Problemas comunes de GFI LanGuard

http://go.gfi.com/?pageid=download_mdac



Se encuentra el error Failed to con-nect to database al intentar accedera la ficha Change database mientrasse configura la base de datos SQL.

DescripciónEste problema se puede producir cuando se cumplen las dos condicionessiguientes:

GFI LanGuard se instala en Windows 2000 SP4 con MDAC 2.5 SP 3

El back-end de base de datos es SQL Server® y tiene un nombre de ins-tancia de base de datos que difiere del nombre del equipo con SQLServer®.

SoluciónInstale Microsoft® Data Access Components (MDAC, 2.6 o posterior) en el equipocon GFI LanGuard y realice un nuevo intento.

NotaMDAC se puede descargar desde: http://go.gfi.com/?pageid=download_mdac

Resultados incompletos y errores alexaminar equipos remotos

DescripciónSe pueden encontrar errores similares a los siguientes:

Failed to open test key to remote registry

The scan will not continue

Access Denied

Could not connect to remote SMB server.

Estos errores se pueden encontrar debido a que:El equipo remoto tiene una cuenta similar a la utilizada por GFI LanGuardpara iniciar sesión como administrador.

La cuenta de usuario utilizada por GFI LanGuard no tiene privilegios admi-nistrativos.

SoluciónPara resolver este problema, realice una de las siguientes acciones:

Inicie sesión en el equipo con GFI LanGuard y configure GFI LanGuard parautilizar una cuenta de administrador de dominio alternativa.

Borre la cuenta de usuario local del equipo remoto.

Inicie GFI LanGuard ejecutándolo con “Run As” a través de una cuenta deadministrador de dominio.

NotaPara obtener más información, consulte http://go.gfi.com/?pageid=LAN_ProbScanningRM

Las actualizaciones de programa deGFI LanGuard no funcionan

DescripciónLas actualizaciones no funcionarán si el equipo con GFI LanGuard no tiene unaconexión directa a Internet.SoluciónPara resolver este problema, realice una de las siguientes acciones:

Configure el equipo con GFI LanGuard para que tenga acceso directo aInternet.

Instale otro GFI LanGuard en un equipo con acceso a Internet y configureGFI LanGuard para que busque actualizaciones en la nueva instalación.

NotaPara obtener más información, consulte http://go.gfi.com/?pageid=LAN_CheckAltUpdates

http://go.gfi.com/?pageid=download_mdac

http://go.gfi.com/?pageid=LAN_ProbScanningRM

http://go.gfi.com/?pageid=LAN_CheckAltUpdates



El cortafuegos instalado en GFILanGuard bloquea la conexión con losequipos de destino.

DescripciónLa detección podría perder velocidad o bloquearse si se instala un cortafuegosen el equipo con GFI LanGuard.SoluciónConfigure el cortafuegos para que permita los siguientes componentes enconexiones salientes:

<..\Program Files\GFI\LanGuard>\*.exe

<..\Program Files\GFI\LanGuard Agent>\*.exe

NotaPara obtener más información, consulte http://go.gfi.com/?pageid=LAN_SetBestPerformance

GFI LanGuard no puede recuperar losequipos del grupo de trabajo cuandose utiliza Enumerate Computers

DescripciónGFI LanGuard utiliza el mecanismo de Windows para recuperar equipos dentrode un grupo de trabajo. En este mecanismo, un equipo examinador principalcreará y almacenará una lista de todos los equipos. En algunos casos, el rol deexaminador principal puede exhibir errores que pueden hacer que GFILanGuard no obtenga la información de los equipos.

NotaPara solucionar este problema, consulte http://go.gfi.com/?pageid=LAN_CannotEnumerate

GFI LanGuard encontró puertos abier-tos que otro detector encontró cerra-dos

DescripciónGFI LanGuard utiliza un enfoque diferente del de otros detectores de puertospara detectar puertos abiertos.SoluciónPara ver el estado de un puerto y determinar si está cerrado o abierto:1. Haga clic en Inicio > Programas > Accesorios > Símbolo del sistema.2. Escriba netstat –an y presione Entrar.3. En la lista que se genera se muestran todas las conexiones activas de equipos.

16.2 Utilización del asistente para el solucionador de problemas

El asistente para el solucionador de problemas de GFI LanGuard es una herramienta diseñada parabrindarle asistencia cuando encuentre problemas técnicos relacionados con GFI LanGuard. A travésde este asistente, puede detectar y solucionar de forma automática problemas comunes y recopilarinformación y registros para enviarlos a nuestro equipo de asistencia técnica.

Para utilizar el asistente para el solucionador de problemas:

1. Inicie el asistente de solución de problemas en Inicio > Programas > GFI LanGuard 2012 > GFILanGuard 2012 Troubleshooter.

2. Haga clic en Next en la página de introducción.

http://go.gfi.com/?pageid=LAN_SetBestPerformance

http://go.gfi.com/?pageid=LAN_CannotEnumerate


Captura de pantalla 165: Asistente para el solucionador de problemas: detalles de información

3. En la página Information Details seleccione una de las siguientes opciones descritas a continuación:


Automatically detect and fix known issues(Recommended)

Permite configurar GFI LanGuard para que detecte y solucione pro-blemas de forma automática.

Gather only application information andlogs

Permite recopilar registros para enviarlos al servicio de asistencia deGFI.

Tabla 93: Opciones de recopilación de información

4. Haga clic en Next para continuar.


Captura de pantalla 166: Asistente para el solucionador de problemas: recopilación de información sobre problemas conocidos

5. El asistente para el solucionador de problemas recuperará toda la información requerida pararesolver problemas comunes. Haga clic en Next para continuar.

6. El solucionador de problemas solucionará cualquier problema conocido que encuentre. SeleccioneYes si su problema se ha resuelto o No si esto ha sucedido para buscar información en la KnowledgeBase de GFI Knowledge.

16.3 GFI SkyNet

GFI mantiene un exhaustivo repositorio de su base de conocimientos, que incluye respuestas a losproblemas más habituales. GFI SkyNet tiene siempre la lista más actualizada de preguntas yrevisiones de asistencia técnica. Si la información de esta guía no soluciona sus problemas, consulteGFI SkyNet visitando: http://kb.gfi.com/.

16.4 Foro web

La asistencia técnica técnica de usuario a usuario está disponible a través del foro de la red de GFI.Acceda al foro web visitando: http://forums.gfi.com

16.5 Solicitud de asistencia técnica

Si ninguno de los recursos especificados anteriormente le permite solucionar los problemas, póngaseen contacto con el equipo de asistencia técnica de GFI completando un formulario de solicitud deasistencia técnica en línea, o bien por vía telefónica.

En línea: complete el formulario de solicitud de asistencia técnica y siga las instrucciones de estapágina con atención para enviar su solicitud de asistencia técnica en: http://-support.gfi.com/supportrequestform.asp.

Por teléfono: para obtener el número de teléfono de asistencia técnica correcto de su área,visite: http://www.gfi.com/company/contact.htm.

http://kb.gfi.com/

http://forums.gfi.com/

http://support.gfi.com/supportrequestform.asp

http://www.gfi.com/company/contact.htm


Nota

Antes de ponerse en contacto con el servicio de asistencia técnica, tenga su ID decliente a mano. Su ID de cliente es el número de cuenta en línea que se le asigna cuandoregistra sus claves de licencia en el área de clientes de GFI en:http://customers.gfi.com.

Enviaremos una respuesta a su solicitud en 24 horas o antes, según su zona horaria.

Documentación

Si este manual no cumple sus expectativas o si cree que esta documentación se puede mejorar,indíquenoslo enviando un correo electrónico a: [email protected].

http://customers.gfi.com/

mailto:[email protected]

GFI LanGuard 17 Apéndice 1: Datosprocesados | 263

17 Apéndice 1: Datos procesados

Al auditar redes, GFI LanGuard enumera y procesa la siguiente información. Esta información serecopila de destinos de examen utilizando los puertos y protocolos descritos en las siguientessecciones.


17.1 Estado de la aplicación de revisiones del sistema 263

17.2 Puertos 264

17.3 Hardware 264

17.4 Software 266

17.5 Información del sistema 268

17.1 Estado de la aplicación de revisiones del sistema

Datos Descripción Puertos Protocolo

Missing Service Packsand Update Rollups

Detecta Service Pack que pertenecen y no per-tenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB

Uso compartidode archivos eimpresoras

Registro remoto

Agente de Win-dows Update.

Missing Security Updates Detecta revisiones faltantes que pertenecen yno pertenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registro remoto


Missing Non-SecurityUpdates

Enumera Service Pack instalados que per-tenecen y no pertenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registro remoto


Installed Service Packsand Update Rollups

Enumera revisiones instaladas que perteneceny no pertenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registro remoto




Installed SecurityUpdates

Enumera Service Pack instalados que per-tenecen y no pertenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB

Uso compartidode archivos esimpresoras

Registro remoto


Installed Non-SecurityUpdates

Enumera revisiones instaladas que perteneceny no pertenecen a Microsoft®.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registro remoto


17.2 Puertos


Open TCPports

Realiza una comprobación en busca de puer-tos TCP abiertos.

Todos los puertos habilitados en el per-fil de examen.

Sockets de Win-dows.

Open UDPports

Realiza una comprobación en busca de puer-tos UDP abiertos.

Todos los puertos habilitados en el per-fil de examen.

Sockets de Win-dows.

17.3 Hardware


Network devi-ces

Enumera adaptadores de red físicos y virtuales. TCP 139

TCP 445

DCOM 135

DCOMdynamic.

SMB

Uso com-partido dearchivos eimpresoras

Registroremoto

WMI.

Local drives Enumera unidades detectadas en los destinos examinados.Entre las unidades locales se incluyen:

Discos duros

Unidades de CD/DVD

Unidades de disquete

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.



Processors Enumera los procesadores detectados durante un examen. TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

Motherboards Enumera las placas base detectadas durante un examen. TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

Memorydetails

Proporciona información de la memoria de los destinosexaminados, incluido lo siguiente:

Memoria física total

Memoria física libre

Memoria virtual total

Memoria virtual libre.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

Storagedetails

Enumera cada dispositivo de almacenamiento detectadodurante un examen. Entre los dispositivos de almacenamientose incluyen:

Discos duros

Discos duros virtuales

Discos extraíbles

Unidades de disquete

Unidades de CD/DVD.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

Display adap-ters

Enumera las tarjetas de video detectadas durante un examen. TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

USB Devices Enumera todos los dispositivos USB conectados a la red o a losdestinos del examen.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.



Other devi-ces

Enumera los dispositivos genéricos detectados durante unexamen, incluidos los siguientes:

Dispositivos o controladores de sistema

Dispositivos de interfaz humana (HID)

Mouse y teclado

Puertos de comunicaciones (de serie y paralelos)

Controladores de disquete

Controladores de discos duros.

TCP 139

TCP 445

DCOM 135

DCOM diná-micos.

SMB


Registroremoto

WMI.

17.4 Software


General applications Enumera cada aplicación instalada en los des-tinos del examen.

TCP139

TCP445

SMB

Uso compartido dearchivos e impre-soras

Registro remoto

Antiphishing applications Enumera aplicaciones contra la suplantaciónde identidad.

TCP139

TCP445

SMB


Registro remoto

Antispyware applications Enumera aplicaciones antispyware. TCP139

TCP445

SMB


Registro remoto

Antivirus applications Enumera aplicaciones antivirus. TCP139

TCP445

SMB


Registro remoto

Backup applications Enumera aplicaciones de copia de seguridad. TCP139

TCP445

SMB


Registro remoto

Data Loss Prevention Enumera aplicaciones de prevención contrapérdida de datos.

TCP139

TCP445

SMB


Registro remoto



Device Access Control Enumera aplicaciones de control de acceso adispositivos.

TCP139

TCP445

SMB


Registro remoto

Disk Encryption Enumera aplicaciones de cifrado de discos. TCP139

TCP445

SMB


Registro remoto

Firewall applications Enumera aplicaciones cortafuegos. TCP139

TCP445

SMB


Registro remoto

Health Agent Enumera aplicaciones de control del estadodel sistema.

TCP139

TCP445

SMB


Registro remoto

Instant Messenger Enumera aplicaciones de mensajería ins-tantánea.

TCP139

TCP445

SMB


Registro remoto

Patch management appli-cations

Enumera aplicaciones de administración derevisiones.

TCP139

TCP445

SMB


Registro remoto

Peer To Peer Enumera aplicaciones entre pares (P2P). TCP139

TCP445

SMB


Registro remoto

URL Filtering Enumera aplicaciones de filtrado web. TCP139

TCP445

SMB


Registro remoto

Virtual Machine Software Enumera productos de software de vir-tualización detectados en su red.

TCP139

TCP445

SMB


Registro remoto



Virtual Private Network (VPN)Client applications

Enumera aplicaciones cliente de VPN. TCP139

TCP445

SMB


Registro remoto

Web Browser applications Enumera exploradores web. TCP139

TCP445

SMB


Registro remoto

Nota

Para acceder a una lista completa de aplicaciones de seguridad compatibles que incluyaproveedores y productos, consulte http://go.gfi.com/?pageid=security_app_fullreport

17.5 Información del sistema


Shares Enumera todos los recursos compartidos detectados durante unexamen. La información de recursos compartidos incluye lo siguiente:

Nombre del recurso compartido

Nota del recurso compartido

Ruta del recurso compartido

Permisos del recurso compartido.

TCP139

TCP445.

SMB


Registroremoto

Passwordpolicy

Enumera la configuración de directivas de contraseñas. TCP139

TCP445.

SMB


Registroremoto.

Securityaudit policy

Configuración de directivas de auditorías de seguridad. TCP139

TCP445.

SMB


Registroremoto.

http://go.gfi.com/?pageid=security_app_fullreport



Registry Enumera información seleccionada del registro del sistema. Entreotros detalles, la información enumerada incluye los siguientes:

Propietario del registro

Número de compilación actual

Tipo actual

Versión actual

Identificador de proveedor

Tipo de software.

TCP139

TCP445.

SMB


Registroremoto.

NetBIOSnames

Enumera nombres de NetBIOS de los destinos examinados. Este nodoincluye lo siguiente:

Servicio de estación de trabajo

Nombre de dominio

Servicios de servidores de archivos

Elecciones de servicio de exploradores.

TCP139

TCP445.

SMB


Registroremoto.

Computer Enumera identificadores de equipos, incluidos los siguientes:Dirección MAC

Periodo de vida

Rol de red

Número de serie del SO

Idioma

Tipo de equipo (físico o virtual).

TCP139

TCP445.

SMB


Registroremoto.

Groups Enumera grupos locales o de dominio o grupo de trabajo. TCP139

TCP445.

SMB


Registroremoto.

Users Enumera usuarios locales o de dominio o grupo de trabajo. TCP139

TCP445.

SMB


Registroremoto.

Logged onusers

Enumera usuarios de la sesión actual a nivel local o remoto. TCP139

TCP445.

SMB


Registroremoto.



Sessions Enumera las sesiones activas en el momento del examen. TCP139

TCP445.

SMB


Registroremoto.

Services Enumera cada sevicio detectado durante un examen. TCP139

TCP445.

SMB


Registroremoto.

Processes Enumera cada proceso activo detectado durante un examen. TCP139

TCP445

SMB


Registroremoto.

Remote TOD(time of day)

Enumera le hora actual y el tiempo de actividad de los destinos exa-minados.

TCP139

TCP445.

SMB


Registroremoto.

GFI LanGuard 18 Apénice 2: Certificaciones | 271

18 Apénice 2: Certificaciones

GFI LanGuard cuenta con certificaciones de OVAL y CVE. En las siguientes secciones se describe cadacertificación y se explica cómo estas se utilizan en GFI LanGuard.


18.1 Lenguaje abierto de vulnerabilidad y evaluación (OVAL) 271

18.2 Vulnerabilidades y exposiciones comunes (CVE) 272

18.1 Lenguaje abierto de vulnerabilidad y evaluación (OVAL)

El Lenguaje abierto de vulnerabilidad y evaluación (OVAL™) es un estándar internacional de seguridadde la información comunitario pensado para promocionar contenido de seguridad abierto ypúblicamente disponible, y para estandarizar la transferencia de esta información en todo el espectrode herramientas y servicios de seguridad. OVAL incluye un lenguaje utilizado para codificar detallesde sistema y una variedad de repositorios de contenido compartidos en la comunidad OVAL. Ellenguaje estandariza los tres pasos principales del proceso de evaluación:

Representación de la información de configuración de sistemas para pruebas

Análisis del sistema para determinar la presencia del estado del equipo especificado (vul-nerabilidad, configuración, estado de las revisiones, etc.)

Informe de los resultados de esta evaluación.

Los repositorios son recopilaciones de contenido disponible públicamente y abierto que utilizan ellenguaje.

La comunidad OVAL ha desarrollado tres esquemas XML para que funcionen como la estructura y elvocabulario del lenguaje OVAL. Estos esquemas corresponden a los tres pasos del proceso deevaluación:

Un esquema de características de sistema OVAL para representar información del sistema

Un esquema definición OVAL para expresar un estado específico del equipo

Un esquema de resultados OVAL para informar los resultados de una evaluación

Existe contenido escrito en lenguaje OVAL en uno de los numerosos respositorios de la comunidad.Uno de estos repositorios, conocido como Repositorio OVAL, se encuentra alojado en MITRECorporation. Es el punto de encuentro central para que la comunidad OVAL debata, analice,almacene y difunda definiciones OVAL. Cada definición del Repositorio OVAL determina si unavulnerabilidad de software, un problema de configuración, un programa o una revisión en particularse encuentran en un sistema.

La comunidad de seguridad de la información contribuye al desarrollo del OVAL participando de lacreación del Lenguaje OVAL en el Foro de Desarrolladores del OVAL y redactando definiciones para elRepositorio OVAL a través del Foro de la Comunidad OVAL. Un Consejo de OVAL, integrado porrepresentantes de un amplio espectro de organizaciones industriales, académicas y gubernamentalesde todo el mundo, supervisa y aprueba el lenguaje OVAL, y controla la publicación de definicionesalojadas en el sitio web del OVAL. Esto significa que el OVAL, financiado por el US–CERT delDepartamento de Seguridad Nacional de EE.UU. para el beneficio de la comunidad, refleja laperspectiva y la experiencia combinada del grupo más amplio posible de profesionales de la seguridady la administración de sistemas de todo el mundo.


18.1.1 GFI LanGuardCompatibilidad con OVAL

GFI LanGuard admite todas las comprobaciones definidas en el archivo XML emitido por OVAL, aexcepción de las comprobaciones HP–UX.

GFI LanGuard no admite equipos basados en HP–UX; por ello, la inclusión de estas comprobacionesdentro de la base de datos de definiciones de este producto se encuentra más allá de su alcance.

18.1.2 Acerca de la compatibilidad con OVAL

El de compatibilidad con OVAL es un programa establecido para un desarrollo coherente dentro de lacomunidad de seguridad respecto de la utilización e implementación del OVAL. La meta principal delprograma de compatibilidad es crear un conjunto de pautas que permitirán imponer unaimplementación estándar. Una derivación de esto consiste en que los usuarios puedan distinguirentre, y confiar en, productos compatibles sabiendo que la implementación del OVAL coincide con elestándar establecido.

Para que un producto o servicio alcancen la compatibilidad con OVAL, deben cumplir con losRequirements and Recommendations for OVAL Compatibility y completar el proceso formal decompatibilidad con OVAL.

La compatibilidad con OVAL implica que GFI LanGuard incorpora el OVAL de forma predefinida yestándar para la comunicación de información detallada sobre vulnerabilidades, revisiones,parámetros de configuración y otros estados de los equipos.

18.1.3 Envío de informes de errores de la lista del OVAL

Cualquier problema con GFI LanGuard o con la lista de comprobaciones del OVAL que se incluyan enGFI LanGuard se debe notificar a GFI a través de sus líneas de asistencia oficiales.

GFI Software Ltd realizará los esfuerzos necesarios para investigar cualquier problema notificado, y sise descubre cualquier incoherencia o error, emitirá actualizaciones para solucionar el problema encuestión. En general se publican mensualmente actualizaciones de comprobación de vulnerabilidades.

18.2 Vulnerabilidades y exposiciones comunes (CVE)

CVE (Vulnerabilidades y exposiciones comunes) comprende una lista de nombres estandarizados paravulnerabilidades y otras exposiciones de seguridad de la información. Su propósito es estandarizar losnombres para todas las vulnerabilidades y exposiciones de serguridad de conocimiento público.

CVE es un diccionario cuyo propósito es propiciar la distribución de datos en bases de datos devulnerabilidades y herramientas de seguridad separadas. CVE facilita la búsqueda de información enotras bases de datos y no se debe considerar como una base de datos de vulnerabilidades por sí sola.

CVE se mantiene a través de un esfuerzo de colaboración comunitario conocido como ConsejoEditorial de CVE. El Consejo Editorial incluye representantes de numerosas organizacionesrelacionadas con la seguridad, como proveedores de herramientas de seguridad, institucionesacadémicas y gobiernos, además de otros expertos en seguridad. La MITRE Corporation preserva CVEy modera debates del Consejo Editorial.

18.2.1 Acerca de la compatibilidad con CVE

"Compatible con CVE" significa que una herramienta, un sitio web, una base de datos o un servicioutilizan nombres CVE de una manera que permite a este sistema establecer vínculos cruzados conotros repositorios que utilizan nombres CVE. Los productos y servicios compatibles con CVE debecumplir con los cuatro requisitos:


Compatibilidad Descripción

Posibilidad debúsquedas a tra-vés de CVE

Un usuario debe poder buscar vulnerabilidades e información relacionada utilizando el nombre CVE.

Salida CVE La información proporcionada debe incluir los nombres CVE relacionados.

Asignación El propietario del repositorio debe proporcionar una asignación relacionada con una versión específicade CVE y realizar un esfuerzo de buena fe para garantizar la precisión de dicha asignación.

Documentación En la documentación estándar de la organización se debe incluir una descripción de CVE, la com-patibilidad con CVE y la información detallada sobre cómo sus clientes pueden utilizar la fun-cionalidad relacionada con CVE de su producto o servicio.

Tabla 94: Compatibilidad con CVE

Nota

Para una comprensión en profundidad de la compatibilidad con CVE, consulte la listacompleta de requisitos de CVE disponible en http://go.gfi.com/?pageid=LAN_CVE_Requirements

18.2.2 Acerca de CVE y CAN

Los nombres CVE (también denominados "números CVE", "Id. CVE" y "CVE") son identificadoresexclusivos y comunes para vulnerabilidades de seguridad de la información de conocimiento público.Los nombres CVE tienen estado de "entrada" o "candidato". El estado de entrada indica que el nombreCVE se ha aceptado en la lista de CVE, mientras que el estado de candidato (también denominado"candidatos", "números de candidatos" o "CAN") indica que el nombre se encuentra en proceso derevisión para su inclusión en la lista.

Cada nombre CVE incluye lo siguiente:

Número de identificador CVE (es decir, "CVE–1999–0067").

Indicio de estado de "entrada" o "candidato".

Breve descripción de la vulnerabilidad o exposición de seguridad.

Cualquier referencia pertinente (es decir, informes y boletines de vulnerabilidad, o Id. OVAL).

Nota

Para comprender en profundidad los nombres CVE y los CAN, consulte lo siguiente:http://go.gfi.com/?pageid=cvecert

18.2.3 Búsqueda de entradas de CVE

Las entradas de CVE se pueden buscar desde el nodo Scanning profiles, dentro de la fichaConfiguration.

Captura de pantalla 167: Búsqueda de información de CVE

Para buscar un boletín de CVE en particular:

http://go.gfi.com/?pageid=LAN_CVE_Requirements

http://go.gfi.com/?pageid=cvecert


1. Especifique el nombre del boletín (por ejemplo, CVE–2005–2126) en el cuadro de entrada de laherramienta de búsqueda incluido en la parte inferior del panel derecho.

2. Haga clic en Find para comenzar a buscar su entrada.

18.2.4 Obtención de nombres CVE

Se pueden obtener nombres de entradas de CVE a través de la interfaz de usuario de GFI LanGuarddel nodo Scanning profiles, dentro de la ficha Configuration. De forma predeterminada, el Id. CVE semuestra para todas las vulnerabilidades que cuenten con Id. CVE.

18.2.5 Importación y exportación de datos de CVE

Se pueden exportar datos de CVE a través de la herramienta de línea de comandos de impex. Paraobtener más información, consulte Utilización de impex.exe (página 237).

GFI LanGuard 19Glosario | 275

19 Glosario

A

Access™Sistema de administración de bases de datos relacionales de escritorio de Microsoft® incluidoen el paquete de Microsoft® Office. Access™ normalmente se utiliza para bases de datospequeñas.

Active Directory™ (AD)Tecnología que proporciona diversos servicios de red, entre los que se incluyen los serviciosde directorio similares a LDAP.

Administración de revisiones automáticaTecnología de GFI LanGuard que descarga de forma automática actualizaciones de Microsoft®y las implementa en la red.

Agente de revisiónServicio de fondo que administra la implementación de revisiones, Service Pack y actua-lizaciones de software en equipos de destino.

AntispywareContramedida de software que detecta spyware que se ha instalado en un equipo sin que elusuario lo sepa.

AntivirusContramedida de software que detecta malware que se ha instalado en un equipo sin que elusuario lo sepa.

Archivos de procesamiento por lotesArchivos de texto que contienen una recopilación de instrucciones que un sistema operativo ouna aplicación deben seguir

B

Base de datos de Microsoft® Access™Sistema de administración de bases de datos relacionales de escritorio de Microsoft® incluidoen el paquete de Microsoft® Office. Microsoft® Access™ normalmente se utiliza para bases dedatos pequeñas.

BluetoothProtocolo inalámbrico abierto de comunicación e interfaz que permite el intercambio dedatos entre dispositivos.

Bus serie universal (USB)Estándar de bus serie ampliamente utilizado para conectar dispositivos a un equipo host.


C

Corrección automáticaTecnología de GFI LanGuard que descarga e implementa de forma automática revisiones fal-tantes. Si una aplicación se encuentra en la lista negra en GFI LanGuard, la corrección auto-mática la desinstalará del equipo de destino durante las operaciones programadas.

D

deploycmd.exeHerramienta de línea de comandos de GFI LanGuard que se utiliza para implementar revi-siones de Microsoft® y software de terceros en equipos de destino.

Depurador de scriptsMódulo de GFI LanGuard que le permite escribir y depurar scripts personalizados utilizando unlenguaje compatible con VBScript.

Descarga automáticaTecnología de GFI LanGuard que descarga de forma automática revisiones y Service Pack fal-tantes en los 38 idiomas.

Desinstalación automática de aplicacionesAcción que permite la desinstalación automática de aplicaciones compatibles con la desins-talación silenciosa de GFI LanGuard.

DMZSección de una red que no es parte de la red interna y que no forma parte de Internet demanera directa. Su objetivo es generalmente actuar como puerta de enlace entre las redesinternas e Internet.

DNSBase de datos que utilizan las redes TCP e IP, que permite la conversión de nombres de hosten números IP y el suministro de otra información relacionada con dominios.

F

FTPProtocolo que se utiliza para transferir archivos entre equipos de redes.

G

GFI EndPointSecuritySolución de seguridad desarrollada por GFI que permite a las organizaciones conservar la inte-gridad de datos evitando el acceso no autorizado y las transferencias de dispositivos extraí-bles.


GPOSistema de administración y configuración centralizado de Active Directory que controla loque los usuarios pueden y no pueden hacer en una red informática.

H

Herramienta de auditoria de SNMPHerramienta que informa cadenas de comunidad de SNMP vulnerables mediante un ataquepor diccionario con los valores almacenados en su archivo de diccionario predeterminado.

Herramienta de auditoría de SQL ServerHerramienta que se utiliza para probar la vulnerabilidad de la contraseña de la cuenta de“sa” (es decir, administrador raíz) y de cualquier otra cuenta de usuarios de SQL configuradaen SQL Server.

Herramienta DNS LookupUtilidad que convierte nombres de dominio en la dirección IP correspondiente y recuperainformación en particular del dominio de destino

Herramienta Enumerate ComputersUtilidad que identifica dominios y grupos de trabajo en una red.

Herramienta SNMP WalkHerramienta que se utiliza para sondear sus nodos de red y recuperar información de SNMP.

Herramienta TracerouteHerramienta que se utiliza para idenfiticar la ruta de acceso que GFI LanGuard ha empleadopara alcanzar un equipo de destino.

Herramienta WhoisHerramienta que le permite buscar información en un dominio o una dirección IP en par-ticular.

Herramientas para enumerar equiposHerramientas que le permiten recuperar usuarios e información sobre usuarios de su dominioo grupo de trabajo.

I

impex.exeHerramienta de línea de comandos que se utiliza para importar y exportar perfiles y vul-nerabilidades de GFI LanGuard.

Información de boletín.Contiene una recopilación de información sobre una revisión o actualización de Microsoft®. Seutiliza en GFI LanGuard para proporcionar más información en una revisión o actualización ins-taladas. La información incluye ID de boletín, título, descripción, URL y tamaño de archivo.


Interfaz de puerta de enlace común (CGI)Script de comunicación utilizado por servidores web para transferir datos a un explorador deInternet de clientes.

Internet Information Services (IIS)Conjunto de servicios basados en Internet, creados por Microsoft® Corporation para ser-vidores de Internet.

L

Lenguaje abierto de vulnerabilidad y evaluación (OVAL)Estándar que promueve contenido de seguridad abierto y públicamente disponible, y estan-dariza la transferencia de esta información en todo el espectro de herramientas y servicios deseguridad.

Lenguaje de marcado extensible (XML)Estándar de texto abierto que se utiliza para definir formatos de datos. GFI LanGuard utilizaeste estándar para importar o exportar resultados de examen guardados y configuraciones.

LinuxSistema operativo de código abierto que forma parte de la familia de sistemas operativosUnix.

Lista blancaLista de nombres de dispositivos USB o de red no considerados peligrosos. Cuando el nombrede un dispositivo USB o de red contiene una entrada que se halla en la lista blanca durante elexamen de una red, GFI LanGuard ignora el dispositivo y lo considera como una fuente segura.

Lista negraLista de dispositivos USB o de red considerados peligrosos. Cuando el nombre de un dispositivoUSB o de red contiene una entrada que se halla en la lista negra durante el examen de unared, GFI LanGuard presenta el dispositivo como una amenaza de seguridad (vulnerabilidad deseguridad alta).

lnsscmd.exeHerramienta de línea de comandos de GFI LanGuard que permite la ejecución de com-probaciones de vulnerabilidades en destinos de red.

LocalhostEn redes, el localhost es el equipo que se utiliza en el momento. Se puede consultar ellocalhost utilizando la dirección IP reservada 127.0.0.1. En este manual, el localhost es elequipo en el que GFI LanGuard está instalado.

Localizador uniforme de recursos (URL)El Localizador uniforme de recursos es la dirección de una página web de la World Wide Web.


M

MalwareCompuesto por “malintencionado” y “software”, malware es un término general que se uti-liza para citar todo software desarrollado para perjudicar y dañar el sistema de un equipo.Los virus, gusanos y troyanos son todos tipos de malware.

Microsoft® IISConjunto de servicios basados en Internet, creados por Microsoft® Corporation para ser-vidores de Internet.

Microsoft® WSUSAcrónimo que representa “Microsoft® Windows Server Update Services”. Este servicio per-mite a los administradores gestionar la distribución de actualizaciones de Microsoft® a equi-pos de red.

Módulo SSHMódulo que se utiliza para determinar el resultado de las comprobaciones de vulnerabilidadesa través de los datos (texto) de la consola producidos por un script ejecutado. Esto significaque puede crear comprobaciones de vulnerabilidades de Linux o UNIX personalizadas uti-lizando cualquier método de scripting compatible con los SO Linux o UNIX de destino, queenvíe resultados a la consola en texto.

N

NETBIOSAcrónimo que representa “sistema básico de entrada y salida de red”. Este sistema pro-porciona servicios para que las aplicaciones de diferentes equipos de una red se puedan comu-nicar entre sí.

NetscapeExplorador web desarrollado originalmente por Netscape Communications Corporation.

O

Objeto de directiva de grupo (GPO)Sistema de administración y configuración centralizado de Active Directory que controla loque los usuarios pueden y no pueden hacer en una red informática.

OVALEstándar que promueve contenido de seguridad abierto y públicamente disponible, y estan-dariza la transferencia de esta información en todo el espectro de herramientas y servicios deseguridad.


P

PanelRepresentación gráfica que indica el estado de varias operaciones que podrían estar actual-mente activas, o que están programadas.

Perfiles de examenRecopilación de comprobaciones de vulnerabilidades que determinan qué vulnerabilidades seidentifican y qué información se recuperará de los destinos examinados.

Pings de ICMPEl protocolo de mensajes de control de Internet (ICMP) es uno de los protocolos principalesdel conjunto de protocolos de Internet. Lo utilizan los sistemas operativos de equipos en redpara enviar mensajes de error que indican, por ejemplo, que un servicio solicitado no seencuentra disponible o que un host o enrutador no se han podido alcanzar. El ICMP también sepuede utilizar para la retransmisión de mensajes de solicitudes.

Programa de puerta traseraMétodo alternativo utilizado para acceder a un equipo o a datos de un equipo a través de unared.

Protocolo de escritorio remotoProtocolo desarrollado por Microsoft® para permitir que los clientes se conecten con la inter-faz de usuario de un equipo remoto.

Protocolo de mensajes de control de Internet (ICMP)El protocolo de mensajes de control de Internet (ICMP) es uno de los protocolos principalesdel conjunto de protocolos de Internet. Lo utilizan los sistemas operativos de equipos en redpara enviar mensajes de error que indican, por ejemplo, que un servicio solicitado no seencuentra disponible o que un host o enrutador no se han podido alcanzar. El ICMP también sepuede utilizar para la retransmisión de mensajes de solicitudes.

Protocolo de transferencia de archivosProtocolo que se utiliza para transferir archivos entre equipos de redes.

Protocolo simple de administración de redes (SNMP)El protocolo simple de administración de redes es una tecnología que se utiliza para controlardispositivos de red como enrutadores, concentradores y connmutadores.

Puertos TCPAcrónimo que representa “Protocolo de control de transmisión”. Este protocolo está desa-rrollado para permitir que las aplicaciones transmitan y reciban datos a través de Internet uti-lizando puertos de equipos conocidos.

Puertos UDPAcrónimo que representa “Protocolo de datagramas de usuario”; se utiliza para transferirdatos de UDP entre dispositivos. En este protocolo, los paquetes recibidos no se reconocen.


S

SANSAcrónimo que significa “Organización investigadora para la administración de sistemas, lasredes y la seguridad”. Instituto que comparte soluciones relacionadas con alertas de sistemay seguridad.

Scripting PythonLenguaje de scripting de programación de equipos de alto nivel.

Service Pack de Microsoft® WindowsRecopilación de actualizaciones y correcciones proporcionadas por Microsoft® para mejoraruna aplicación o un sistema operativo.

Servicios de terminalServicios que permite la conexión con un equipo de destino y la administración de sus apli-caciones instaladas y datos almacenados.

Servidor de correoServidor que administra y almacena correos electrónicos clientes.

Servidor webServidor que proporicona páginas web a exploradores clientes utilizando el protocolo HTTP.

Servidor web ApacheProjecto de servidor HTTP de código abierto desarrollado y mantenido por la ApacheSoftware Foundation.

Sistema de nombres de dominioBase de datos que utilizan las redes TCP e IP, que permite la conversión de nombres de hosten números IP y el suministro de otra información relacionada con dominios.

SNMPAcrónimo que representa “Protocolo simple de administración de redes”, una tecnología quese utiliza para controlar dispositivos de red como enrutadores, concentradores y conn-mutadores.

SpywareForma de malware pensada para recopilar información de un equipo sin notificar al usuario.

SQL Server®Sistema de administración de bases de datos relacionales de Microsoft®. Funcionalidad adi-cional incluida de Microsoft® para SQL Server® (control de transacciones, manipulación deexcepciones y seguridad), a fin de que Microsoft® SQL Server pueda admitir organizacionesgrandes.


T

TroyanosForma de malware que contiene una aplicación oculta que dañará un equipo.

U

URLEl Localizador uniforme de recursos es la dirección de una página web de la World Wide Web.

V

VBScriptUn lenguaje de scripting de Visual Basic es un lenguaje de programación de alto nivel desa-rrollado por Microsoft®.

VirusForma de malware que infecta un equipo. El propósito de este virus es perjudicar un equipodañando archivos y aplicaciones. Un virus es un programa de duplicación automática y sepuede copiar a sí mismo en todo el sistema del equipo.

Vulnerabilidades y exposiciones comunes (CVE)Lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad de lainformación. El propósito de CVE es estandarizar los nombres para todas las vulnerabilidadesy exposiciones de serguridad de conocimiento público.

W

Wi-Fi/LAN inalámbricaTecnología que se utiliza comúnmente en redes de área local. Los nodos de red utilizan datostransmitidos mediante ondas de radio en lugar de cables para comunicarse entre sí.

X

XMLEstándar de texto abierto que se utiliza para definir formatos de datos. GFI LanGuard utilizaeste estándar para importar o exportar resultados de examen guardados y configuraciones.

Z

Zona desmilitarizada (DMZ)Sección de una red que no es parte de la red interna y que no forma parte de Internet demanera directa. Su objetivo es generalmente actuar como puerta de enlace entre las redesinternas e Internet.

20 Índice

A

Actividad 166

Actualización 32, 162

Actualizaciones de seguridad 96, 124, 170

Actualizaciones de seguridad faltantes 149, 171

Actualizaciones de seguridad instaladas 152, 172

Actualizaciones no de seguridad faltantes 149

Actualizaciones no de seguridad instaladas 152

Agente 25, 94, 263

Agentes de retransmisión 19, 28, 61, 64

Antispyware 169, 266

Atributos 63, 169

Auditoría 17, 28, 43, 108, 120, 173

Auditoría de redes y software 66

Auditoría de SQL Server 233

Auditorías de SNMP 231

B

Baseline Comparison 170

Búsqueda de DNS 223

Búsqueda de texto completo 183

C

Carga de resultados 119

Certificaciones 271

CGI 208

Clasificación del nivel de vulnerabilidad 108

Componentes 19, 26

Computer Security Overview 168

Computer Summary 169

Consola de administración 19

Contraseña 236

Controladores 118, 266

Controladores de disquete 266

Corrección automática 121, 143

Cumplimiento 43

CVE 272

D

Deploy Software Updates 138, 149

deploycmd.exe 234

Depurador de scripts 240

Descarga automática 17

DHCP 256

Dispositivos de interfaz humana (HID) 266

DNS 53, 112, 223

E

Enumeración de equipos 228

Enumeración de equipos examinados 187

Enumeración de usuarios 230

Equipo 89, 111

Estado de la aplicación de revisiones del sistema 114,263

Evaluación de vulnerabilidades 29, 66, 108, 120

Exámenes completos o de combinación 65

Exámenes programados 38, 71, 81

F

Full Audit 169

G

Grupos 112, 170

H

Hardware 40-41, 92, 97, 106, 116, 169, 264

Hardware Audit 67, 169

Herramientas de línea de comandos 234

I

IIS 112

impex.exe 237

Implementación automática 123

Importar 32

Información de boletín 113, 211

Información del sistema 67, 117, 169, 268

Instalación 21, 38, 94, 121, 194

L

Last Auto–remediation 169

Last Scan Details 169

Last Scan Security Changes 169

Last Scan Summary 169

Lenguaje abierto de vulnerabilidad y evaluación 271

GFI LanGuard Índice | 283

lnsscmd.exe 234

M

Malware 149, 155

Mensajes 133, 142

Missing Security Updates 113, 168, 263

Monitor 71, 159, 165

Mouse y teclado 266

N

NetBIOS 28, 148, 221, 228, 255, 269

Network Security History 170

Network Security Overview 168

Nivel 168

Notificaciones 20

O

Opciones de conservación de bases de datos 193

Opciones de examen de aplicaciones 217

Opciones de examen de dispositivos 215

Open Ports 169

Open Shares 169

OVAL 17, 201, 242, 246, 252, 271, 273

P

Panel 84-85, 215, 255-256

Patching Status 114, 168

PCI DSS 43, 171

Perfiles 65

Perfiles de detección 29, 65

Propiedades personalizadas de los destinos 68

Proxy 194

Puertos 25, 29, 97, 115, 169, 221, 263-264, 266, 268

Puertos TCP abiertos 97

Puertos UDP abiertos 97

Python 240, 245

R

Recursos compartidos 117, 170

Registro remoto 27, 263-264, 266, 268

Registry 112, 170, 172, 238, 269

Remediation Center 91, 100, 125, 138, 148, 154, 156,158

Remediation History 170

S

Scan Based – Full Audit 169

Scan History 170

Script 240

Service Pack y paquetes acumulativos de actua-lizaciones faltantes 96, 149

Service Pack y paquetes acumulativos de actua-lizaciones instalados 96, 152, 170

Servidor 19, 25

SMB 18, 28, 258, 263-264, 266, 268

SMTP 112, 187

SNMP 28, 67, 220, 231-232

SNMP Walk 232

Software 40-41, 92, 97, 104, 112, 122, 144, 149, 154,161, 266, 272

Software Audit 41, 67, 109, 169

SQL 27, 120, 187, 233, 257

SSH 27, 70, 75, 221, 249

T

Tareas de corrección 121, 148

Traceroute 225

U

Unauthorized Applications 169, 217

Uninstall Applications 149, 183

Uninstall Software Updates 149, 152

USB 66, 214, 265

Uso compartido de archivos e impresoras 27, 263-264,266, 268

Usuarios 117

Usuarios de la sesión actual 88, 97

Utilidades 223

V

VBscript 240

Vulnerabilidades 95, 110, 169

Vulnerabilidades de seguridad altas 112

Vulnerabilidades y exposiciones comunes 272

Vulnerability Status 168

W

Wake on LAN 70, 76


Whois 227

WINS 255

WMI 18, 27, 221, 264


EE.UU., CANADÁ, AMÉRICA CENTRAL Y AMÉRICA DEL SUR

15300 Weston Parkway, Suite 104, Cary, NC 27513, USA.

Teléfono: +1 (888) 243-4329

Fax: +1 (919) 379-3402

[email protected]

RU Y REPÚBLICA DE IRLANDA

Magna House, 18-32 London Road, Staines-upon-Thames, Middlesex, TW18 4BP, UK

Teléfono: +44 (0) 870 770 5370

Fax: +44 (0) 870 770 5377

[email protected]

EUROPA, ORIENTE MEDIO Y ÁFRICA

GFI House, San Andrea Street, San Gwann, SGN 1612, Malta

Teléfono: +356 2205 2000

Fax: +356 2138 2419

[email protected]

AUSTRALIA Y NUEVA ZELANDA

83 King William Road, Unley 5061, South Australia

Teléfono: +61 8 8273 3000

Fax: +61 8 8273 3099

[email protected]

http://[email protected]/




Documents

Ayuda de GFI Software · 2019. 9. 26. · 13.7SNMPWalk 232 13.8AuditoríadeSQLServer® 233 13.9Herramientasdelíneadecomandos 234 13.9.1UtilizacióndeInsscmd.exe 234 13.9.2Utilizacióndedeploycmd.exe