Guía de distribución de la protección contra aplicaciones no deseadas para administradores

Sophos Anti-Virus para Windows 2000+ versión 6.0 y posteriores permiten detectar una gran variedad de programas publicitarios y aplicaciones no deseadas habituales. Esto incluye la detección de aplicaciones no deseadas y la limpieza de archivos, entradas de registro y procesos en memoria.

Tenga en cuenta que la detección de aplicaciones no deseadas no está disponible en ordenadores Windows NT/95/98/Me.

El término aplicaciones no deseadas (PUA) se usa para describir aplicaciones que, a pesar de no ser maliciosas, se suelen considerar inapropiadas en la mayoría de redes corporativas. Los programas publicitarios, marcadores telefónicos, programas espía no maliciosos, herramientas de administración remota y herramientas usadas por hackers son las principales clases de aplicaciones no deseadas. En cualquier caso, ciertas aplicaciones englobadas en las categorías de aplicaciones no deseadas pueden resultar útiles para algunos usuarios.

Sophos recomienda distribuir la protección contra aplicaciones no deseadas en la red por etapas. De este modo, podrá evaluar la gravedad de la amenaza, tomar decisiones fundadas y evitar que repercuta de forma negativa en la productividad.

Este artículo describe una distribución por fases de la protección contra aplicaciones no deseadas. Su objetivo es servir de complemento al manual de usuario y la ayuda en línea proporcionadas con la consola, y no debe utilizarse como sustitución a la documentación del producto.

Ocurre en los siguientes productos de Sophos
Enterprise Console 4.7.0
Enterprise Console 5.0.0
Sophos Enterprise Manager 4.7.0

Introducción

• La detección y la eliminación de aplicaciones no deseadas se configuran en la política de Sophos Anti-Virus, en el panel de políticas de la consola. Como se describe en la ayuda y en el resto de la documentación de la consola, puede configurar una política antivirus existente o crear una nueva.
• Si no ha escaneado nunca los equipos para detectar y eliminar aplicaciones no deseadas, es muy probable que encuentre un número considerable en la red. En algunos casos puede que haya instaladas numerosas aplicaciones de este tipo. Al implementar el escaneado por etapas, podrá gestionar más fácilmente las aplicaciones no deseadas que detecte.
• Es recomendable activar el escaneado en acceso de aplicaciones no deseadas solamente en la última fase del procedimiento por etapas aquí descrito.
• La activación del escaneado de aplicaciones no deseadas y la implementación de la desinfección en la red pueden tener las siguientes repercusiones:
  • Los usuarios con aplicaciones no deseadas que consideren útiles pueden darse cuenta de que se han eliminado sin su consentimiento.
  • Para completar la eliminación de una aplicación no deseada, es posible que los usuarios tengan que reiniciar los equipos.
• Deberá familiarizarse con la política de su organización respecto a las aplicaciones no deseadas para saber si es aceptable que algunas de estas aplicaciones se ejecuten.
• El sitio web de Sophos ofrece descripciones de aplicaciones no deseadas. Su empresa puede utilizar la información proporcionada para determinar la autorización o la eliminación de las aplicaciones no deseadas.
  • Si su empresa permite la presencia de ciertas aplicaciones no deseadas en la red, deberá configurar las políticas de forma que dichas aplicaciones estén "autorizadas". De esta forma, se excluirán de los escaneados y limpiezas.
  • Si su empresa no permite el uso de estas aplicaciones, puede escanear y desinfectar la red de forma periódica sin necesidad de autorizarlas.

Importante: el equipo de soporte técnico de Sophos no está capacitado para recomendar qué aplicaciones se deben eliminar o autorizar.

• Al configurar y administrar los grupos y las políticas de forma detallada, puede personalizar el escaneado y la desinfección de aplicaciones no deseadas para satisfacer las diferentes necesidades de los usuarios de la red. Por ejemplo, puede que desee detectar y eliminar todas las aplicaciones no deseadas en los equipos de algunos usuarios, pero autorizar algunas de ellas y eliminar el resto en otros. Para ello, puede agrupar los usuarios con requisitos similares y, a continuación, aplicar una política apropiada a cada grupo.

Detección y eliminación de aplicaciones no deseadas

La detección de aplicaciones no deseadas debe activarse tanto en el escaneado en acceso como en el escaneado programado.

Escaneado programado: puede usar un escaneado programado para activar la detección de aplicaciones no deseadas y para configurar la limpieza automática. La desinfección de aplicaciones no deseadas puede realizarse o bien desde la consola o bien mediante la configuración de un escaneado programado. Tenga en cuenta que es posible que los ordenadores tengan que reiniciarse para eliminar por completo ciertas aplicaciones no deseadas.

Escaneado en acceso: el escaneado en acceso intercepta los archivos a los que se accede para impedir el uso de aplicaciones no deseadas, pero no permite eliminarlas. Algunas aplicaciones "vigilan" los archivos e intentan acceder a ellos de forma frecuente. Si lo tiene activado, el escaneado en acceso detectará cada intento de acceso y mostrará alertas en el ordenador en cuestión, además de notificar a la consola.

Nota:
Si activa el escaneado en acceso para detectar aplicaciones no deseadas desde un principio (en vez de seguir el procedimiento por fases aquí descrito), los usuarios pueden recibir gran cantidad de alertas de aplicaciones no deseadas en los equipos. Si es la primera vez que reciben este tipo de alertas, pueden preocuparse y, por consiguiente, realizar numerosas llamadas al equipo de soporte técnico de la empresa.

Por eso, el escaneado en acceso de aplicaciones no deseadas solo debería activarse en la fase final de este procedimiento, después de escanear la red y eliminar cualquier programa no solicitado.

Opciones predeterminadas de Sophos

Existen las siguientes opciones predeterminadas:

• Si está instalando la versión 6.0 de Sophos Anti-Virus en una red que no tiene instalada una versión anterior de Sophos Anti-Virus, la detección de aplicaciones no deseadas está activada por defecto para el escaneado programado.
• Si su red ha sido actualizada a partir de una versión anterior de Sophos Anti-Virus, o la versión 1.0 de Sophos Enterprise Console, la detección de aplicaciones no deseadas no está activada para ningún escaneado.
• La detección de aplicaciones no deseadas no está activada en la configuración del escaneado en acceso.

Cualquier aplicación no deseada detectada aparecerá en la lista del administrador del área de cuarentena.

Distribución de la protección por fases

Antes de comenzar, asegúrese de que conoce los procedimientos para configurar y utilizar grupos y políticas, incluida la aplicación de políticas a grupos determinados. Los pasos detallados para estas operaciones rutinarias no se describen en este artículo, pero puede encontrarlos en las secciones correspondientes de la ayuda y el resto de documentación de la consola.

Qué hacer

Resumen

1. Crear una estructura de grupos
2. Crear políticas de aplicaciones no deseadas
3. Crear un plan de distribución
4. Distribución
5. Autorización y limpieza
6. Finalizar la distribución
7. Mantenimiento

1. Crear una estructura de grupos

Planifique y cree una estructura de grupos adecuada para una distribución por fases. Decida cuál es el tamaño máximo adecuado de los grupos para poder realizar fácilmente las tareas de escaneado y desinfección durante la distribución inicial de la protección.

Los grupos pueden dividirse en subgrupos para aplicar una política específica a cada grupo o subgrupo. Asigne usuarios a cada grupo según los requisitos individuales. Por ejemplo, si ciertos usuarios desean conservar cierta aplicación no deseada, puede asignarlos al mismo grupo.

2. Crear políticas de aplicaciones no deseadas

Cree una o varias políticas para satisfacer las necesidades de cada uno de los grupos creados. Dichas políticas pueden incluir la configuración de escaneados programados y 'listas autorizadas'.

1. Abra una política antivirus existente o cree una nueva para configurar la política antivirus necesaria.
2. En el panel 'Escaneado programado', cree un nuevo escaneado o bien edite uno ya existente. Asegúrese de que el momento que escoge para ejecutar los escaneados programados concuerda con el plan general de distribución por fases.
3. En la sección 'Configurar...' de la ficha Escaneado, en el panel 'Detectar', seleccione 'Adware/PUA'. Haga clic en Aceptar.

3. Crear un plan de distribución

Planifique cuándo aplicará las políticas a cada uno de los grupos. Hágalo por fases, para trabajar así con ciertos grupos al mismo tiempo.

Si dispone de grupos de gran tamaño, puede crear subgrupos que compartan la misma política pero aplicarla en diferentes momentos. De este modo, podrá comprobar los resultados del escaneado en ese grupo, e implementar la política deseada de desinfección o autorización.

4. Distribución

1. Según el plan de distribución, aplique la primera política al primer grupo. Se ejecutará el escaneado tal como está programado. Puede que tarde unos minutos en finalizar.
2. En la consola, haga doble clic en los ordenadores del grupo para mostrar la ventana 'Detalles del ordenador'.
   
   
   Ver imagen
3. Compare la fecha y la hora con el estado del 'Último escaneado completado' (disponible en el cuadro de diálogo de información sobre el equipo o en la ficha 'Detalles antivirus' de la vista principal de la consola) para asegurarse de que se ha ejecutado correctamente.
4. Después del escaneado, la consola muestra el estado de cada ordenador. Si se ha detectado alguna aplicación no deseada, aparecerá una alerta en la sección de alertas pendientes, donde se enumera la fecha en que se detectó por primera vez, el nombre y el tipo de aplicación.
   
   
   Ver imagen
5. Las amenazas se enumeran de forma jerárquica. Las amenazas de virus tienen mayor importancia que las aplicaciones no deseadas. Es recomendable eliminar los virus antes que las aplicaciones no deseadas. Para obtener información sobre cómo limpiar virus, consulte la sección dedicada a la limpieza de equipos del manual de la consola y el artículo de la base de conocimiento 'Sophos (inglés)Anti-Virus: eliminar virus del ordenador local'.

5. Autorización y limpieza

1. Cuando finalice el escaneado programado en todos los ordenadores del grupo, abra la política que aplicó a ese grupo. En el cuadro de diálogo 'Política antivirus y HIPS', haga clic en el botón 'Gestor de autorización...' y abra la ficha 'Adware/PUA'.
2. En el cuadro de diálogo 'Gestor de autorización', todas las aplicaciones no deseadas detectadas por el escaneado aparecerán en la lista 'Adware/PUA conocidos'. Las aplicaciones no deseadas adicionales detectadas durante futuros escaneados se añadirán a esta lista. Consúltela aunque tenga intención de protegerse contra todas las aplicaciones no deseadas. Podría contener aplicaciones que no desea restringir o aplicaciones sobre las que necesita más información antes de decidir qué hacer con ellas.
3. A partir de esta lista, puede seleccionar las aplicaciones no deseadas que desea autorizar y pasarlas a la lista 'Adware/PUA autorizados'. Cuando autorice una aplicación, todos los ordenadores del grupo con esa política pueden ejecutar la aplicación sin restricción alguna.
4. Para limpiar las aplicaciones no deseadas restantes, haga clic con el botón derecho del ratón en cada equipo o grupo de equipos, y seleccione 'Resolver alertas y errores...'.
5. En la ficha 'Alertas', puede filtrar los resultados con el menú desplegable "Mostrar:" para ver solo 'Adware/PUA'.
6. Seleccione los elementos que desea limpiar y haga clic en 'Limpiar'. Utilice el botón 'Quitar' para eliminar los elementos que desee ignorar. Las amenazas aparecen listadas por ordenador y aplicación. Si lo desea, puede usar la opción 'Seleccionar todo'.
7. Al tomar cualquier medida con respecto a las aplicaciones no deseadas enumeradas en la lista de alertas pendientes, las aplicaciones pasan al historial de la ventana 'Detalles del ordenador'. Aparece el estado actualizado y la medida tomada con respecto a cada aplicación no deseada.
   
   
   Ver imagen .

8. Si el proceso de limpieza

   • exige reiniciar los ordenadores para completarse, aparecerá una alerta en la sección 'Detalles del ordenador' de Enterprise Console.
     
     
     Ver imagen
     
     
   • no está disponible para una amenaza concreta o se produce un error, la amenaza seguirá apareciendo en la lista de amenazas pendientes de la pantalla 'Detalles del ordenador'. En ese caso, consulte las páginas de análisis de aplicaciones no deseadas del sitio web de Sophos para más información sobre cómo eliminarlas.

6. Finalizar la distribución

Repita las secciones anteriores, Distribución y Autorización y limpieza, con los demás grupos hasta haber realizado un escaneado inicial y haber autorizado o limpiado las aplicaciones no deseadas en todos los ordenadores de la red.

7. Mantenimiento

Una vez finalizada la distribución del escaneado de aplicaciones no deseadas en todos los ordenadores de la red, el estado de la red con respecto a las mismas debería ser el siguiente:

• todos los equipos de la red se han escaneado,
• todas las aplicaciones no deseadas aparecen en la lista 'Aplicaciones conocidas',
• ha autorizado aquellas aplicaciones no deseadas que no desea incluir en futuros escaneados
• el resto de aplicaciones no deseadas se han eliminado de la red.

Ahora debe implementar una política para evitar la presencia de nuevas aplicaciones no deseadas en la red. Es aconsejable ejecutar a diario un escaneado programado con detección de aplicaciones no deseadas activado.

La limpieza automática de aplicaciones no deseadas está disponible para los escaneados programados, pero es aconsejable controlar la limpieza desde Enterprise Console.

Sophos aconseja activar la detección de aplicaciones no deseadas en el escaneado en acceso. Si se detecta una aplicación no deseada, el usuario del equipo infectado recibirá una alerta por defecto. La alerta aparecerá también en Enterprise Console.