Configuración del agente: Ivanti Antivirus 2017

Ivanti Endpoint Security para Endpoint Manager 2017.3 SU2 introduce una nueva opción de antivirus que puede usar en dispositivos administrados de Windows y Apple Mac. No se instala por defecto; visite esta página de la comunidad Ivanti para obtener las instrucciones de instalación y despliegue.

Se puede tener acceso a las funciones de Ivanti Antivirus 2017 desde la ventana de herramientas Configuración del agente (Herramientas > Seguridad y cumplimiento > Configuración del agente). A continuación, en la ventana Ajustes de agente en la carpeta Seguridad, haga clic con el botón derecho Ivanti Antivirus 2017 o Ivanti Antivirus 2017 - Mac y haga clic en Nuevo....

Este tema describe el cuadro de diálogo de ajustes del agente de Ivanti Antivirus 2017 y otros cuadros de diálogo relacionados con Ivanti Antivirus 2017.

Utilice estas opciones para configurar las protecciones de antivirus que estén activas y los elementos de antivirus que los usuarios podrán ver en sus dispositivos.

Contraseña de mantenimiento: contraseña que se deberá introducir en dispositivos gestionados para poder aplicar cambios locales al software de antivirus.

Notificaciones: estas opciones determinan lo que los usuarios ven en sus dispositivos gestionados.

  • Mostrar icono en área de notificación
  • Mostrar ventanas emergentes de alertas
  • Mostrar ventanas emergentes de notificaciones

Use esta página para configurar las opciones de análisis de protección en tiempo real. Esta página se agregó en la publicación de Endpoint Manager 2019.1 SU2.

Ubicación de archivos
  • Analizar todos los archivos locales: habilitado por defecto. Analiza los archivos del almacenamiento local.
  • Analizar todos los archivos de red: habilitado por defecto. Analiza los archivos a los que se ha accedido a través de la red.
  • Tamaño máximo (MB): deshabilitado por defecto. Limita los análisis a los archivos más pequeños que la cantidad de megabytes especificados.
Analizar
  • Sectores de arranque: habilitado por defecto. Analiza el sector de arranque del dispositivo en busca de virus.
  • Para registradores de pulsaciones de teclas: habilitado por defecto. Analiza el software de registro de pulsaciones.
  • Para aplicaciones potencialmente indeseables (PUA): habilitado por defecto. Analiza el software no deseado que puede formar parte de otra aplicación que instaló, como adware o software compatible con anuncios. Estos tipos de software pueden mostrar ventanas emergentes no deseadas o barras de herramientas y ralentizar así el rendimiento del sistema.
Archivos
  • Tamaño máximo del archivo (MB): deshabilitado por defecto. No se analizarán los archivos que superen este tamaño. Cuando se habilita, también puede especificar Profundidad máxima del archivo (niveles): s un archivo contiene otros archivos, esto controla la profundidad de niveles que analizar. El máximo son 16 niveles. Menos niveles aumentan el rendimiento.
  • Análisis aplazado: retrasa los análisis hasta que se han completado las operaciones de archivos. Esto puede ayudar a reducir las caídas de rendimiento cuando se hacen cosas como copiar archivos grandes.
Analizar acciones

Hay dos tipos de archivos detectados: en sospecha e infectados. Si el análisis heurístico del antivirus piensa que el archivo tiene características sospechosas pero el archivo no tiene una firma de virus que coincida, se considerará bajo sospecha. Como no hay coincidencia de virus, los archivos bajo sospecha no se pueden desinfectar.

Si un análisis localiza un archivo infectado o sospechoso, se pueden llevar a cabo las siguientes acciones:

  • Denegar: se denegará el acceso al archivo
  • Desinfectar: el antivirus intentará reparar el archivo infectado. Esta es la acción predeterminada para archivos infectados. Esta opción no está disponible para archivos bajo sospecha.
  • Eliminar: el antivirus eliminará el archivo infectado sin aviso previo. En la mayoría de casos, puede ser mejor Trasladar a cuarentena, para que pueda evaluar el archivo usted mismo antes de decidir si se debe eliminar.
  • Trasladar a cuarentena: el antivirus trasladará el archivo infectado a la carpeta de cuarentena local, donde no se podrá ejecutar ni abrir. Gestionar archivos en cuarentena desde Seguridad y cumplimiento > Actividad de seguridad > Infecciones en cuarentena (por equipo o virus).

La acción predeterminada para los archivos infectados es Desinfectar y la acción alternativa es Trasladar a cuarentena.

La acción predeterminada para los archivos suspendidos es Denegar y la acción alternativa es Trasladar a cuarentena.

  • Análisis de archivos (protección en tiempo real): habilita el análisis de archivos para que los archivos de los dispositivos administrados se analicen con regularidad en busca de virus y malware. Está habilitado de forma predeterminada.
  • Monitorización del comportamiento de la aplicación (solo Windows): permite el análisis de comportamiento en tiempo real, que monitoriza el comportamiento de las aplicaciones en busca de actividades sospechosas. Está habilitado de forma predeterminada.
  • Permitir al usuario analizar los medios CD/DVD/USB (solo Windows): permite a los usuarios analizar este tipo de medios. Está habilitado de forma predeterminada.
  • Exclusiones: puede excluir archivos, carpetas y extensiones de archivos de análisis en tiempo real y de análisis de virus bajo demanda. Seleccione la pestaña del tipo de análisis que desee modificar y haga clic en Agregar, Editar o Eliminar, según la acción que desee. Haga clic en Insertar variable si desea usar una variable de ruta del sistema en la ruta del objeto.

Análisis de tráfico: estas opciones controlan los protocolos de redes monitorizadas.

  • Habilitar análisis web (HTTP): habilita los análisis de tráfico HTTP sin cifrar. Si desea analizar el tráfico HTTP y HTTPS, habilite también la opción Analizar SSL en la página Análisis de red.
  • Habilitar el análisis SMTP: habilita la protección antimalware para el tráfico de protocolos de correo SMTP.
  • Habilitar el análisis POP3: habilita la protección antimalware para el tráfico de protocolos de correo POP3.
  • Exclusiones de análisis de tráfico HTTP: puede excluir direcciones IP remotas, URL y aplicaciones de los análisis de tráfico HTTP. Haga clic en Agregar, seleccione el tipo de elemento que desee excluir y especifique los detalles del elemento.

Análisis de redes: estas opciones controlan el análisis de tráfico cifrado y el comportamiento del explorador.

  • Analizar SSL: controla el análisis de tráfico SSL cifrado. Seleccione esto para habilitarlo.
  • Mostrar la barra de herramientas del explorador: muestra una pequeña herramienta del explorador de antivirus en la parte superior de todas las páginas. Al hacer clic se muestra una barra de herramientas que indica la clasificación de seguridad de la página. La barra de herramientas es compatible con versiones recientes de Internet Explorer, Edge, Firefox, Chrome, Safari y Opera.
  • Asesor de búsqueda en explorador: coloca un icono de clasificación de seguridad junto a los resultados del motor de búsqueda, lo que ayuda a los usuarios a evitar páginas sospechosas. La mayoría de motores de búsqueda cifran el tráfico con SSL, por lo que deberá habilitar la opción de Analizar SSL para que el asesor de búsqueda funcione correctamente. El asesor de búsqueda filtra los resultados de Google, Bing y Yahoo. También filtra los enlaces de Facebook y Twitter.

Las páginas Análisis completo y Análisis de áreas críticas tienen las mismas opciones. Uno afecta a los análisis de virus completos y el otro a los análisis de virus de áreas críticas. Las acciones disponibles en los elementos detectados son:

  • Ignorar: el antivirus no realiza ninguna acción en el archivo, pero aparecerá una entrada en el registro de análisis.
  • Desinfectar: el antivirus intentará reparar el archivo infectado. Esta es la acción predeterminada para archivos infectados.
  • Eliminar: el antivirus eliminará el archivo infectado sin aviso previo. En la mayoría de casos, puede ser mejor Trasladar a cuarentena, para que pueda evaluar el archivo usted mismo antes de decidir si se debe eliminar.
  • Trasladar a cuarentena: el antivirus trasladará el archivo infectado a la carpeta de cuarentena local, donde no se podrá ejecutar ni abrir. Gestionar archivos en cuarentena desde Seguridad y cumplimiento > Actividad de seguridad > Infecciones en cuarentena (por equipo o virus).

Opciones disponibles:

  • Acción a tomar para los archivos infectados: acción a tomar para un archivo infectado.
  • Acción para los archivos sospechosos: Acción para un archivo sospechoso.
  • Acción a tomar para rootkits: acción a tomar para rootkits.
  • Habilitar el análisis inteligente (análisis de archivos más rápido): almacena los datos de análisis de archivos y las sumas de comprobación en una base de datos local. Si un archivo no está en la base de datos o si cambia su suma de comprobación, se escaneará dicho archivo. Esta opción acelera los análisis puesto que solo analiza los archivos nuevos o con cambios.
  • Reducción de la prioridad de hilos de análisis reduce la prioridad del hilo de análisis para que sea menos probable que afecte a otras tareas. Esto puedo alargar el tiempo de los análisis.

Derechos del usuario:

  • Permitir al usuario pausar un análisis: los usuarios pueden pausar un análisis de antivirus.
  • Permitir al usuario posponer un análisis: los usuarios pueden posponer los análisis.
  • Permitir la detención de un análisis: los usuarios pueden detener un análisis activo.

Utilice esta página para configurar desde dónde descargarán los dispositivos gestionados las actualizaciones de antivirus. Por defecto, se incluyen dos ubicaciones: directamente desde el proveedor del antivirus (av-update.ivanti.com) y su servidor central. El servidor del proveedor siempre tendrá las últimas actualizaciones. El servidor central actualiza los archivos del patrón del antivirus en el intervalo que especifique, tal y como se describe en la sección siguiente. El valor predeterminado es 24 horas.

Los dispositivos gestionados se conectarán a los servidores en el orden en que aparecen en la lista. Si falla el primer servidor, el dispositivo avanzará al servidor siguiente de la lista, etc. Cuando un dispositivo descarga archivos de patrón desde el servidor central, siempre irá directamente al servidor central.

Utilice los Botones de Subir y Bajar para cambiar el orden preferido. Los botones URL predeterminada y URL central introducen los valores predeterminados de esos elementos. Si desea analizar las actualizaciones del motor con actualizaciones de firma, seleccione Actualizar el producto además de las firmas. Está habilitada de forma predeterminada.

En el cuadro de diálogo Descargar actualizaciones de la herramienta Parche y cumplimiento (al que se accede haciendo clic en el botón Descargar actualizaciones de la barra de herramientas), hay dos páginas, a saber: la página Ivanti Antivirus 2017 y la página Ajustes de proxy.

La página Ivanti Antivirus 2017 tiene una única opción: Frecuencia de actualización. Esto controla la regularidad con que se actualiza y descarga el archivo del patrón de antivirus desde el repositorio de la nube al servidor central para el antivirus nuevo. El rango configurable es de 1-240 horas y, por defecto, es 24 horas.

Las actualizaciones de Ivanti Antivirus 2017 utilizan la configuración del proxy que haya especificado en la página Ajustes de prooxy. Cuando se ajusta un proxy, el proceso de actualización que se ejecuta en el servidor central utilizará los ajustes del proxy cuando se conecte al servidor en la nube del antivirus para descargar los archivos del patrón actualizados.