Antivirus and Security Software from Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Prácticas recomendadas: diseño de grupos de Enterprise Console

Los grupos de Enterprise Console son colecciones de equipos que utilizarán las mismas políticas. En la sincronización de Active Directory, dichos grupos son similares a las unidades organizativas.

Los grupos y subgrupos son divisiones lógicas que comparten requisitos de políticas. Es necesario crear un grupo nuevo cada vez que un equipo necesita una política de actualización, antivirus y HIPS, cortafuegos, control de datos, control de dispositivos o restricción de aplicaciones distinta a las de los demás equipos de la red.

Por ejemplo, suele ser necesario crear varios grupos cuando existen servidores con actualizaciones programadas a horas más tranquilas. Dichos servidores necesitan un grupo propio en Enterprise Console con una política de actualización especial, pero puede compartir el resto de políticas con las estaciones de la red.

Sophos ha recopilado las pautas siguientes para el diseño de los grupos de equipos en Enterprise Console.

  1. Intente basar los grupos en el sistema de administración informática existente. Duplique las estructuras existentes para ahorrar tiempo a la hora de diseñar las políticas y realizar acciones de remediación en los equipos.

    Si utiliza Active Directory, es aconsejable importar las unidades organizativas (contenedores) primero y, después, una vez creados los grupos y subgrupos (y subentornos, si utiliza esa función) correspondientes en Enterprise Console, sincronizar algunos o todos los grupos con Active Directory para poblar automáticamente los grupos de Enterprise Console con los equipos de las unidades organizativas.

  2. Si no cuenta con una estructura existente o si prefiere crear una nueva, suele ser habitual utilizar las ubicaciones o los departamentos como base para dichos grupos. El esquema puede ser similar a:

    Ciudad

    Departamento

    Portátil

    Como mínimo, debería crear grupos diferentes para estaciones y servidores, ya que es muy probable que necesite configurar las actualizaciones y el escaneado de los servidores de forma que no provoquen retrasos en el acceso a ellos.

  3. Sobre todo, para la implementación inicial, pero también para el mantenimiento regular, es aconsejable no crear grupos con más de 1.000 equipos.
  4. Si tiene previsto crear y utilizar subentornos, asegúrese de que define los subentornos y los grupos que pertenecen a cada uno antes de importar los equipos a Enterprise Console. El traspaso de equipos de un grupo a otro puede resultar complicado cuando pertenecen a diferentes subentornos.
  5. Por último, tenga en cuenta las implicaciones de ciertas configuraciones de las políticas. Por ejemplo, puede que desee permitir el uso de programas de mensajería instantánea en el departamento de ventas, pero no en el fabricación. Por lo tanto, dichos departamentos deberían pertenecer a grupos diferentes con políticas de restricción de aplicaciones diferentes.
  6. Si necesita mayor flexibilidad, también puede crear subgrupos con políticas diferentes a las de los grupos de los que dependen. Si utiliza Active Directory, esto le permitirá utilizar unidades organizativas para crear y sincronizar los equipos, pero aplicando una o más políticas distintas a ciertos equipos de dicho grupo.

    Por ejemplo, en un departamento financiero que suela enviar mensajes de correo electrónico entre departamentos con datos bancarios. Podría configurar una política de control de datos que obligue a dichos usuarios a aceptar un aviso antes de transferir dichos datos, pero permitir dichas transferencias entre altos cargos del departamento sin intervención alguna del usuario. Así, la política más permisiva se aplicaría a un subgrupo que comparte todas las demás políticas (antivirus, cortafuegos, etc.).

    Los portátiles son otro ejemplo adecuado para el uso de subgrupos. Puede que desee que utilicen las mismas políticas que los equipos de escritorio del grupo, pero que cuenten con una política de cortafuegos que incluya una o más ubicaciones secundarias con configuraciones más restrictivas que las aplicadas a los equipos internos. Cree un subgrupo para los portátiles y aplíquele las mismas políticas que las del grupo principal, pero con una política de cortafuegos diferente (que puedan compartir todos los portátiles de la empresa).
  7. Es aconsejable que lea la Guía para la configuración de políticas y las guías para la configuración del antivirus y del cortafuegos del sitio de prácticas recomendadas para saber cuántas políticas necesita y, por consiguiente, cuántos grupos debería crear. Las configuraciones de políticas que afectan al número de grupos necesario son:

    • configuración del escaneado en acceso
    • configuración del escaneado programado
    • calendario de escaneados programados
    • excepciones de aplicaciones no deseadas
    • excepciones de archivos sospechosos
    • excepciones de comportamientos sospechosos
    • ubicaciones y calendarios de actualización
    • reglas de aplicaciones y exclusiones del cortafuegos
    • excepciones del control de dispositivos
    • excepciones de la restricción de aplicaciones
    • diferencias en las políticas de control de datos y la interacción de los usuarios

Artículos relacionados

Para más información sobre la creación de grupos, consulte ¿Cómo... crear grupos?
Para más información sobre el diseño de subentornos y la administración por roles, consulte la guía de prácticas recomendadas: diseño de subentornos y administración por roles.
Para más información sobre la configuración de las políticas de antivirus y cortafuegos que puede necesitar, consulte las guías sobre la configuración de políticas del cortafuegos y antivirus y HIPS del sitio de prácticas recomendadas.
Para más información sobre la distribución de políticas una vez configurados los grupos, consulte la Guía para la configuración de políticas.

Si necesita más ayuda, póngase en contacto con soporte técnico.