ESET NOD32 para MS Exchange Guía de InstalaciónESET NOD32 para MS Exchange Guía de Instalación 6 En el siguiente paso se muestra de qué manera deberá ingresar su archivo de licencia

ESET NOD32 para MS Exchange Guía de Instalación

2

Version 2.7Protección para Windows Vista y sistemas de 64 bit

ESET NOD32 para MS Exchange

Guía deInstalación

Detección Proactivacontra troyanos, spyware, gusanos, virus, rootkits, adware y phishing

Mejor DetecciónMayor Rendimiento

Mínimo Consumo de Recursos


2

Copyright © 1997 – 2007 ESET LLC. Todos los derechos reservados.

No se puede realizar copia o reproducción de este documento, ni la transmisión de su información en ninguna forma o por ningún medio electrónico o mecánico, para ningún propósito, sin autorización previa por escrito de ESET, LLC. La información contenida en este documento está sujeta a cambios sin previo aviso.

Algunos nombres comerciales y marcas registradas utilizadas en este documento son propiedad de sus respectivos titulares.ESET, NOD32 y AMON son marcas registradas de ESET.

Microsoft y Windows son marcas registradas de Microsoft Corporation.

ESET LatinoaméricaCiudad de La Paz 1808, 4toCP: C1428CPDBuenos AiresArgentinahttp://www.eset-la.com

Para Ventas y Soporte Técnico:Tel: +54 (11) 5786 0003Fax: +54 (11) 4032 0170Compra en línea: http://www.eset-la.com/purchase/comprarnod32enlinea.php

Correo electrónico de Ventas:[email protected]

Soporte Técnico Mundial:http://www.eset-la.com/support/index.phpSeleccionando el nombre de su país, podrá obtener los detalles del responsable de soporte más cerca suyo.

Esta guía es actualizada con frecuencia para reflejar los cambios del producto. La última versión puede ser encontrada en:http://www.eset-la.com/download/manual.htm

Esta guía fue preparada para ESET NOD32 para MS Exchange Server Windows Versión 2.7 (Febrero 2007).


3

ContenidosIntroducciónInstalación

XMON La Ventana Principal Configuraciones Detecciones Extensiones Acciones Reglas Eliminando Rendimiento Protocolo

Configuraciones Recomendadas

Página3

4

5 a 7

7

7 a 8

9 a 11

11 a 12

12 a 13

13 a 14

15 a 19

19 a 20

21

22

23 a 26


4

IntroducciónESET NOD32 para MS Exchange 2.7 Server es una nueva versión del antivirus ESET NOD32 diseñado para analizar el tráfico de correo electrónico gestionado por MS Exchange Server.

Las principales diferencias entre ESET NOD32 y ESET NOD32 para MS Exchange Server son que este último incluye un módulo llamado XMON y carece de los módulos IMON y EMON.

Este documento describe el módulo XMON. Antes de leer el material, por favor lea la “Guía de Usuarios para ESET NOD32”.

El módulo XMON se comunica con MS Exchange Server mediante la interfase VSAPI de su antivirus y analiza todos los correos almacenados y gestionados por MS Exchange Server. XMON funciona con MS EXCHANGE Server 5.5 Service Pack 3 y superiores, Exchange Server 2000 Service Pack 1 y superiores y MS Exchange Server 2003.


5

InstalaciónSi usted está utilizando alguna versión anterior de ESET NOD32 para MS Exchange Server, la nueva puede ser instalada sobre esta sin problemas (sólo para versiones 2.0 o superiores).

Si utiliza una versión anterior a la 2.0, deberá desinstalarla para luego poder instalar la versión actual una vez que se haya reiniciado el equipo.

El gestor de instalación lo ayudara a instalar ESET NOD32 para MS Exchange Server, como muestra la siguiente pantalla:

Si quiere instalar XMON, seleccione la opción “Activate antivirus protection for MS Exchange Server (XMON)”.

Para activar el servicio XMON, precisa el archivo de licencia provisto por su proveedor o distribuidor al momento de comprar el programa.


6

En el siguiente paso se muestra de qué manera deberá ingresar su archivo de licencia. Si su archivo de licencia es válido, haga clic en “Add” e indique la ubicación del archivo de licencia.

Esta pantalla se presenta en todos los escenarios de instalación.

Activación adicional de XMON:

Si no ha activado la protección antivirus para MS Exchange Server, lo puede hacer de forma adicional agregando el archivo de licencia en el administrador de licencias. Para entrar al administrador de licencias haga clic en Herramientas del sistema NOD32 dentro del NOD32 Control Center y elija la opción Configuración/Configuración.


7

Luego de agregar el archivo de licencia dentro de la solapa Administrador de licencias, XMON quedará activado.

XMONLa ventana Principal:

Para abrir la venta principal de XMON, haga clic en el ícono de XMON dentro de la ventana del Control Center.

Si XMON es mostrado de color gris, significa que MS Exchange Server no está presente en la computadora local o la versión instalada no es soportada por XMON.

También se muestra gris si el módulo XMON no está activado, si no está configurado o si el archivo de licencia expiró. En estos casos, XMON no puede analizar los correos. Si XMON se muestra de color rojo, el módulo XMON no está activo. Para hacerlo, active la opción Activate Control en la ventana principal.

La ventana principal del XMON muestra la cantidad de archivos analizados, infectados y limpiados (siendo cada archivo un correo con sus archivos adjuntos).


8

La ventana principal también muestra la versión de MS Exchange que funciona en el servidor local y la versión de la base de datos de firmas (con fecha de la última actualización entre paréntesis).

• Active Control – casilla de activación del XMON.Para activar el XMON, seleccione esta casilla. Para deshabilitarlo, deselecciónela. Antes de que el XMON se desactive será requerida una confirmación para su apagado.• Settings – le permite alterar las configuraciones predeterminadas del XMON.• Run NOD32 – activa ESET NOD32 on-demand scanner.

Antes de la desactivación del XMON le será requerido confirmar su apagado. Si realmente se quiere apagar el XMON, presione Yes.

Nota: MS Exchange Server se comunica con el explorador del Antivirus usando la base de datos del registro de sistema, que se comprueba en intervalos aproximados de un minuto. El apagado y encendido del XMON, al igual que cualquier cambio en las configuraciones, tomará un minuto en tomar efecto.


9

Configuraciones:La sección izquierda de la ventana de configuración del XMON muestra ocho secciones posibles de configurar. Los parámetros de configuración de cada sección son mostrados en el área derecha de la ventana. MS Exchange Server revisa las configuraciones del módulo XMON minuto a minuto, por lo que los cambios en la configuración del mismo se aplicarán en pocos segundos.

Escáner:

La página del explorador muestra las siguientes propiedades:

• Exploración en Segundo Plano – si es seleccionado, todos los mensajes serán explorados en el segundo plano del equipo. El XMON mantiene un seguimiento de los mensajes que explora y la versión de la base de datos de códgigos maliciosos utilizada. Si abre un mensaje que no está siendo explorado por la versión más reciente de la base de datos de malware, el XMON lo explora antes de que este sea abierto en su cliente de correo. El testeo en segundo plano significa que el XMON continúa explorando todos los mensajes del MS Exchange Server, para que, al momento de abrir un mensaje, este haya sido analizado.• Exploración Proactiva – los nuevos mensajes entrantes son explorados a medida que se reciben. Si esta opción es seleccionada y el usuario abre un mensaje que todavía no ha sido explorado, el mismo es analizado antes que los demás mensajes en la cola de espera.• Explorar cuerpos de mensaje en texto plano – habilita el análisis de


10

correos con cuerpos de mensaje en texto plano.• Explorar cuerpos de mensaje en RTF – habilita el análisis de correos con cuerpos de mensaje en formato RTF. Los cuerpos de mensaje en formato RTF pueden contener macro virus.• Explorar mensajes transportados – al seleccionar esta opción, el XMON analiza mensajes que no son almacenados en el servidor local de MS Exchange Server y son enviados a otros servidores de correo a través del servidor local MS Exchange. El MS Exchange Server puede ser definido como una puerta de salida y utilizado sólo para enviar mensajes a otros servidores de correo. Si la opción “Explorar mensajes transportados” está activada, XMON escanea también estos mensajes.• Botón de exploración repetida – Seleccionando el “Botón de exploración repetida” todos los mensajes almacenados en el servidor local de MS Exchange serán analizados otra vez. De todas formas, luego de cada actualización de la base de datos de códigos maliciosos, XMON analiza todos los mensajes almacenados en el Exchange Server. Esta opción es útil luego de cambiar las reglas.• Botón predeterminado – Haciendo clic en esta opción, todas las propiedades de la pagina de exploración vuelven a su valor predeterminado (configuración de fabrica).

Al hacer clic sobre el “Botón Predeterminado”, una ventana de confirmación le permitirá confirmar o rechazar su selección. Al seleccionar “Aceptar”, activará las configuraciones predeterminadas.

La página de detección contiene las configuraciones de los métodos de detección.


11

Detección:

La página de detección contiene las configuraciones de los métodos de detección.

La sección de “Opciones del Motor de análisis ThreatSense” le permite establecer el método de detección de infiltraciones utilizado por el módulo XMON. Para establecer el nivel de seguridad más alto seleccione todas las opciones.

• Firmas – Al seleccionar esta opción, XMON utiliza la detección de infiltración basada en firmas.• Heurística – Al seleccionar esta opción, XMON utiliza el método de Heurística para la detección de infiltraciones. • Heurística Avanzada – Al seleccionar esta opción, XMON utiliza Heurística Avanzada para la detección de infiltraciones. La Heurística Avanzada es una característica nueva y única del sistema antivirus ESET NOD32 que, entre otras cosas, es capaz de detectar nuevas amenazas de Internet.• Adware/Spyware/Riskware – Al seleccionar esta opción, el XMON también detecta este tipo de malware.• Aplicaciones potencialmente peligrosas – Al seleccionar esta opción, XMON detecta programas que pueden ser mal utilizados en contra del usuario del equipo. En la sección “Objetos a verificar”, deberá seleccionar


12

el tipo de archivos adjuntos a escanear (Archivos, archivos comprimidos de auto extracción, Archivos ejecutables). Durante el análisis, el proceso de escaneo es más largo, esto se debe a que el archivo debe ser abierto para su análisis.

Extensiones:

La página de extensiones le permite establecer qué tipo de archivos deben ser incluidos durante el análisis. Es recomendable utilizar la configuración predeterminada y dejar que el XMON analice todos los tipos de archivos posiblemente peligrosos, ya que esto no disminuirá la velocidad de escaneo al analizar extensiones inofensivas.

• Analizar todos los archivos – Marcando esta opción, XMON analizará todos los tipos de archivos adjuntados a los correos. La lista de tipos de archivos mostrará los tipos de archivos excluidos del análisis en lugar de los tipos de archivos incluidos en el análisis.• Agregar – le permite agregar un nuevo tipo de extensión a la lista de extensiones. Muestra una ventana llamada “Agregar una nueva extensión”. Para agregar una nueva extensión utilice caracteres alfanuméricos y comodines como por ejemplo “?” (representa caracteres aleatorios) y “*” (representa orden aleatorio de caracteres).• Remover – remueve la extensión seleccionada de la lista.• Predeterminado – reestablece la configuración predeterminada de lista


13

• Analizar archivos sin extensiones – Agrega al análisis los archivos sin extensiones.Agregar una nueva extensión (también puede utilizar comodines como “?” y “*”) y luego hacer clic en Aceptar.

Acciones:

La pagina de acciones le permite seleccionar qué tipo de acciones llevar a cabo al detectar un malware. Cuando la opción “analizar carpetas” dentro de “Detección” en la sección “Objetos a analizar” está activada, este panel contiene características separadas para archivos y carpetas. El tipo de archivo puede ser seleccionado en el menú desplegable:


14

La opción “Cuando un virus es detecado” le permite seleccionar qué tipo de acción tomar al detectar un código malicioso.

• Limpiar – XMON intenta limpiar el malware del archivo infectado. Cuando el intento falla, la acción seleccionada en la opción “Cuando un virus no puede ser limpiado” se ejecuta. • Sin acción, marcar como infectado – al seleccionar esta opción, el Exchange Server es notificado sobre la infección y el usuario no puede abrir el archivo adjunto infectado.• Renombrar adjunto/ eliminar mensaje – XMON cambia la extensión del archivo adjunto, para que el mismo no pueda ser abierto ni ejecutado. Si el cuerpo del mensaje contiene un malware, el mensaje será borrado.• Eliminar – XMON elimina los mensajes infectados o los archivos adjuntos sólo si los datos adjuntos están infectados. El proceso de eliminación puede ser ajustado en la página de configuración “Eliminar”.• Cuarentena – al seleccionar esta opción, los mensajes infectados serán almacenados en Cuarentena, donde son inofensivos. Los mensajes almacenados en Cuarentena, pueden ser analizados y limpiados más tarde utilizando una base de datos de códigos maliciosos actualizada.

Cuando el malware no puede ser limpiado, la acción alternativa es ejecutada, sólo si la opción “Limpiar” fue seleccionada en el menú anterior.

Algunas infecciones no pueden ser limpiadas debido a que XMON no posee un procedimiento de limpieza para estas, o porque no contienen ningún tipo de información a excepción del virus (el más común de los casos actualmente).

La opción “Cuando el virus no puede ser limpiado”, le permite elegir qué acción tomar en caso de que el intento de limpieza de un mensaje infectado falle.(Sin acción, Marcar como infectado, Renombrar adjunto/ Eliminar Mensaje, Eliminar, Cuarentena).


15

Reglas:

La configuración de Reglas le permite seleccionar reglas detalladas para manejar distintos tipos de archivos. Si hay más de una regla para un tipo de archivo en particular, la primera regla de la lista es aplicada.

Las reglas son prioritarias a las extensiones determinadas en las “configuraciones de extensiones”, es decir, cada archivo es primero comparado con las reglas existentes. Será escaneado sólo si ninguna regla se le aplica (o si la regla respectiva indica que debe ser escaneado).

El número de reglas es mostrado en la columna Número.

• Agregar – le permite agregar una regla• Modificar – modifica la regla seleccionada• Remover – remueve la regla seleccionada• Subir – sube la regla seleccionada e incrementa su prioridad.• Bajar – baja la regla seleccionada y disminuye su prioridad


16

Al agregar una nueva regla se abrirá un asistente, que lo guiará a lo largo del proceso:

• Remitente – la regla se aplica a los mensajes enviados por un remitente seleccionado.• Asunto del mensaje – la regla se aplica a los mensajes con un Asunto determinado.• Máscara del nombre de archivo – la máscara del nombre de archivo le permite seleccionar una cierta cantidad de archivos• Tamaño de archivo – le permite seleccionar archivos de un determinado tamaño.

En los campos “Remitente del mensaje” y “Asunto del mensaje” es suficiente con ingresar una parte del texto (si la opción “Coincidir palabras completas” no está seleccionada); las letras mayúsculas no son diferenciadas (si la opción “Diferenciar letras mayúsculas” no está seleccionada). Al utilizar caracteres que no son alfanuméricos, usar paréntesis y comillas.


17

También puede crear condiciones usando los operadores lógicos “Y, O, NO”.

La máscara del nombre de archivo le permite elegir una determinada selección de archivos utilizando una máscara creada de caracteres alfanuméricos y comodines “?” y , ej. “*.VBS”. La regla se aplica a archivos que coincidan con esta máscara. Para utilizar más de una máscara, debe separarlos por “punto y coma”.

El límite de tamaño del archivo le permite seleccionar archivos adjuntos de un tamaño en particular.


18

La regla será aplicada a todos los archivos adjuntos cuyo tamaño exceda el valor definido.

La sección Acciones le permite seleccionar qué acciones se deben llevar acabo para los archivos que coincidan con el criterio de búsqueda mencionado anteriormente.

• Acciones para configurar el Explorador –XMON analizará el archivo seleccionado en busca de malware. • Sin acción – XMON afirma que el mensaje está limpio.• Renombrar adjunto/ eliminar mensaje – XMON cambia la extensión del archivo adjunto, para que el mismo no pueda ser abierto ni ejecutado.• Eliminar – XMON elimina el mensaje seleccionado.• Marcar como infectado – XMON marca como infectado el mensaje seleccionado.• Cuarentena – el mensaje seleccionado será almacenado en cuarentena.


19

Finalmente, agregue el nombre y descripción de la regla para guardarlo en el registro de MS Exchange Server cuando la regla es aplicada.

Eliminando:

La página de eliminación le permite seleccionar qué acción se debe tomar cuando un mensaje o archivo adjunto es seleccionado para ser eliminado.


20

Al eliminar mensajes, la configuración le permite seleccionar qué acciones se deben tomar cuando el mensaje completo es marcado para su eliminación.

• Eliminar cuerpo de mensaje – XMON elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje vacío y archivos adjuntos no infectados.• Sobrescribir el cuerpo del mensaje con el protocolo del malware – XMON sobrescribe el cuerpo del mensaje con un protocolo de código malicioso o una descripción de la regla.• Eliminar el mensaje entero – XMON elimina el mensaje entero incluyendo todos los adjuntos.

Al eliminar archivos adjuntos, la configuración le permite seleccionar qué acción se debe llevar acabo cuando un mensaje es marcado para ser eliminado.

• Truncar archivo a tamaño cero – XMON trunca el archivo adjunto hasta que su tamaño sea cero y le permite al destinatario ver el nombre y tipo del mismo.• Reemplazar el archivo con protocolo de virus – XMON reemplaza el archivo infectado con un protocolo de virus o una descripción de regla.• Eliminar el mensaje completo – XMON elimina el mensaje completo con todos sus adjuntos.

Nota: Si no puede abrir la sección Eliminación (se muestra en gris), no es compatible con su versión de MS Exchange Server.


21

Rendimiento:

La página de Rendimiento le permite seleccionar los parámetros para XMON.

• Número de Hilos – este parámetro le permite seleccionar la cantidad de threads a utilizar al momento de la exploración. Más threads en máquinas con múltiples procesadores pueden incrementar la velocidad de exploración.

El proveedor de MS Exchange Server recomienda utilizar la siguiente fórmula para determinar el número de threads a utilizar: Número de procesadores físicos multiplicado por 2 más 1 = numero de threads a utilizar.• Limite de tiempo (para Exchange 5.5) – establece el intervalo de tiempo para iniciar la exploración de códigos maliciosos.• Limite de tiempo (para Exchange 2000 o superior) – un límite de tiempo para analizar un archivo individual.

Protocolo:

Las configuraciones del protocolo, le permiten seleccionar cómo debe ser ensamblado el protocolo/registro de exploración de malware. Un protocolo más detallado puede contener más información, pero puede reducir el

rendimiento del servidor.• Registrar todos los archivos – al seleccionar esta opción, todos los archivos analizados son listados en el archivo de registro, incluyendo los no infectados.• Registro Sincrónico – al seleccionar esta opción, todas las entradas de registro son escritas inmediatamente en el archivo de registro sin guardarlas en el caché del registro.• Alcance – esta opción le permite seleccionar el alcance de las actividades de registro. Cuanto más detallado es el alcance, más actividades son escritas en el archivo de registro.• Versión del servidor de registro – al seleccionar esta opción, XMON escribe la versión del servidor en el archivo de registro.• Registrar licencia – al seleccionar esta opción, XMON escribe la licencia en el archivo de registro.• Reglas de registro – al seleccionar esta opción, XMON escribe una lista de reglas actualmente activas en el archivo de registro (sólo en la detallada).

NOD32 Typical Installation Guide

22


23

Configuraciones Recomendadas:• XMON explora mensajes de correo alojados en el almacenaje de MS Exchange Server. Este almacenaje es guardado en el servidor de archivos del sistema como un único archivo y si utiliza configuraciones no estándar del AMON (explorador en acceso) mientras se ejecuta en el mismo servidor, puede llevar a una colisión entre el XMON y el AMON. Para evitar esto, asegúrese de que el módulo AMON no esté configurado para analizar archivos con extensiones .EDB, .TMP y .EML.Por defecto, las extensiones mencionadas son excluidas del análisis. Es también recomendado excluir del análisis los siguientes archivos o carpetas:

%Program Files%\Exchsrvr\MDBData\%Program Files%\Exchsrvr\Mtadata\%Program Files%\Exchsrvr\Server_Name.log%Program Files%\Exchsrvr\Mailroot%Program Files%\Exchsrvr\Srsdata%Windows%\System32\Inetsrv%Program Files%\Exchsrvr\IMCData

Para excluir estos archivos y carpetas en el módulo AMON, siga los siguientes pasos:

• Haga clic en el botón Configuración del módulo AMON.• Haga clic en la solapa Exclusiones y luego sobre el botón agregar.• En la ventana desplegada haga clic sobre el botón Carpeta o Archivo (dependiendo de qué se quiera excluir) y busque los elementos en particular.• No es recomendado establecer las configuraciones por defecto para archivos infectados Renombrar si se está utilizando la opción analizar todos los archivos (configuración predeterminada). Todos los archivos infectados cuya extensión sea .EXE o .DOC, luego de ser renombrados tendrán la extensión .VEXE o .VDOC, para que el Servidor en MS Windows no sea ejecutado luego de seleccionarlo, pero el sistema Antivirus en cada análisis reconocerá los archivos por su contenido y los renombrará (.VEXE o .VDOC, etc.). Todos los mensajes son analizados en el almacenaje de MS Exchange Server luego de cada actualización de la base de firmas de virus, al renombrar los archivos consecuentemente se reducirá el rendimiento de su computadora. Se recomienda excluir del testeo por lo menos archivos con extensiones VV* (no extensiones .V – esto puede incluir también archivos Visual Basic Script).


24

• Configurando el explorador en segundo plano a una hora prevista

El explorador en segundo plano programado puede ser configurado por medio de una tarea especial en el Planificador. Cuando se planifica una tarea de exploración en segundo plano se puede especificar una hora de ejecución, el número de repeticiones al igual que otros parámetros en el Planificador.

La tarea de exploración en segundo plano requiere de un parámetro obligatorio que especifica la hora de interrupción para el explorador en segundo plano. El intervalo se especifica en horas, dentro del rango de 1 a 32.


25

Luego que la tarea ha sido planificada, aparecerá en la lista de tareas planificadas y, al igual que en las otras tareas, pueden modificarse sus parámetros, eliminar o temporalmente desactivarla. Si la tarea es ejecutada a una hora específica, XMON permitirá que MS Exchange Server ejecute el explorador en segundo plano. Luego de que la hora de interrupción específica haya transcurrido, XMON detendrá al MS Exchange Server de explorar en segundo plano. En este intervalo, corresponde a MS Exchange Server decidir si una exploración en segundo plano se ejecutara o no, basado en varios factores, como la actual carga del sistema, el número de usuarios activos, etc.

• Supervisión de funcionamientoCon la transición a sistemas de 64 bits, el módulo XMON comenzó a soportar un núcleo de exploración de Control Center externo. Esta extensión se aplica también a versiones de 32 bits, donde la opción de utilizar el núcleo interno de exploración permanece. Ambos aspectos del modo de utilización del núcleo de exploración tienen sus pros y sus contras, dependiendo del sistema donde están instalados. Uno de los factores que los administradores considerarán al momento de elegir entre estos aspectos, es la velocidad de la exploración antivirus. Por lo tanto, a partir de la versión 2.71, el modulo XMON es capaz de calcular el rendimiento actual y reportarlo en el registro de eventos del módulo. Para registrar esta información, el alcance del registro debe ser especificado a “Detailed” (Detallado).


26

El XMON registrará información de rendimiento como por ejemplo, el número de objetos explorados (mensajes y archivos adjuntos), tiempo de exploración en segundos, velocidad de exploración en Kb por segundo, etc. En intervalos de 5 minutos.

De la misma manera que los resultados de registro, los resultados de monitoreo son también escritos en intervalos de 5 minutos. No son acumulativos y cada punto de referencia es realizado desde el principio una vez que el resultado fue registrado.

Documents

ESET NOD32 para MS Exchange Guía de InstalaciónESET NOD32 para MS Exchange Guía de Instalación 6 En el siguiente paso se muestra de qué manera deberá ingresar su archivo de licencia