Configuración de antivirus y HIPS: opciones del escaneado en acceso
Sophos recomienda utilizar la configuración predeterminada del escaneado de las políticas antivirus y HIPS, que ofrece el mejor equilibrio entre la protección de la red contra amenazas y el rendimiento general del sistema. Sin embargo, si el rendimiento no supone un problema, puede activar todas las opciones para conseguir la máxima protección. Pueden existir otras razones por las que podría necesitar ajustar la configuración predeterminada.
Siempre que tenga intención de cambiar la configuración predeterminada, utilice la guía siguiente para comprender las repercusiones que tendrán los cambios, tanto en el rendimiento del sistema como en la protección de la red contra amenazas.
Ocurre en los siguientes productos de Sophos
Sophos Endpoint Security and Control 9.7
En este artículo, Configuración del escaneado en acceso:
Ficha Escaneado | Ficha Extensiones | Fichas de exclusiones de Windows, Mac y Linux | Ficha Limpieza | Configuración del análisis de comportamientos (HIPS) | Configuración de las notificaciones | Configuración del escaneado web
Para más información sobre la configuración del escaneado programado, consulte la guía de configuración de la política antivirus y HIPS (escaneados programados) (inglés).
Estas opciones se configuran en la política antivirus y HIPS de Enterprise Console.
Configuración del escaneado en acceso
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Activar el escaneado en acceso | Activado | Sophos recomienda utilizar siempre el escaneado en acceso. Como comprobará en la explicación de la configuración del escaneado en acceso que aparece a continuación, esta función es crucial para la identificación y eliminación de la mayoría de amenazas actuales antes de que se ejecuten en el sistema. |
Botón de escaneado en acceso
Ficha Escaneado
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Escanear dentro de archivos comprimidos (no recomendado) | Desactivado | Al activar esta opción, los formatos más habituales de archivos comprimidos se añaden a la lista de extensiones que comprueba el escaneado en acceso. Esta opción está desactivada por defecto porque el escaneado en acceso de archivos comprimidos no suele ser necesario. Si utiliza la configuración predeterminada del escaneado en acceso, los archivos incluidos en archivos comprimidos se escanearán al abrirlos o ejecutarlos. Puesto que el escaneado de archivos comprimidos es un proceso que consume mucha memoria y dado que la mayoría de archivos comprimidos no contienen programas maliciosos (deberían filtrarse al salir por la puerta de enlace con un dispositivo como Sophos Web Security and Control), Sophos considera que los retrasos que sufrirían los usuarios de las estaciones no merecen la pena. Sin embargo, si muchos usuarios utilizan unidades de memoria USB personales y otros medios de almacenamiento extraíbles en la red, o si su empresa así lo requiere, puede activar esta opción para un subgrupo de usuarios. Como alternativa al escaneado en acceso de archivos comprimidos, puede:
Los archivos comprimidos se descomprimen en las ubicaciones siguientes, donde el escaneado en acceso de Sophos Anti-Virus revisa su contenido: En Windows:
En UNIX, es el archivo /tmp. Esta ubicación puede cambiarse configurando la variable SAV_TMP. Por ejemplo, exportando SAV_TMP a otro directorio. |
| Detectar virus de Macintosh | Desactivado | Si cuenta con equipos Mac en la red, o si suele compartir archivos que se abrirán y modificarán en entornos de Mac, active esta opción. |
| Escanear memoria del sistema | Activado | Si activa la opción de escaneado de la memoria del sistema, la memoria del sistema se escaneará en segundo plano cada hora. Esta función nos permite detectar programas maliciosos ocultos en la memoria del sistema (memoria del núcleo). El escaneado de la memoria del sistema sigue las órdenes del motor de virus. SophosLabs no lo considera necesario, por lo que no se lleva a cabo en sistemas operativos de 64 bits. |
| Detectar adware/PUA | Desactivado | Las aplicaciones no deseadas (PUA) son programas de broma o vigilancia de equipos. SophosLabs incluye detección para PUA conocidas en los datos de detección de amenazas de las actualizaciones de Endpoint Security and Control. Esta opción está desactivada por defecto para que pueda autorizar primero las aplicaciones legítimas, como las herramientas de administración. Para ello, realice un escaneado programado de la red e identifique las aplicaciones legítimas para autorizarlas. Después, active el escaneado en acceso para bloquear aplicaciones no autorizadas en un futuro. Para obtener información más detallada, consulte la Guía de distribución de la protección contra aplicaciones no deseadas para administradores. Si activa esta opción sin configurar primero las exclusiones, la red puede inundarse de alertas sobre detecciones de aplicaciones no deseadas. Puede revisar las alertas que se generen y configurar exclusiones en Enterprise Console para limpiarlas. Pero puede hacerle perder mucho tiempo. Recuerde que deberá ejecutar un escaneado programado para limpiar todas las PUA que aparezcan. SophosLabs revisa las definiciones de las PUA de forma periódica para asegurarse de que todos los programas nuevos con intenciones maliciosas o poco éticas se bloquean en la red. Si desea sugerir otras aplicaciones no deseadas, visite la página https://secure.sophos.com/support/samples/. |
| Detectar archivos sospechosos (HIPS) | Desactivado | Los archivos sospechosos son archivos que contienen código que suelen utilizar los programas maliciosos. Puesto que ningún escaneado antivirus puede conocer el contexto de un archivo (por ejemplo, si el programa escrito por uno de sus ingenieros es seguro), se crean informes sobre todos los posibles archivos sospechosos. Esto puede provocar algunas detecciones no deseadas, pero nos parece importante resaltar todos los archivos que puedan ser peligrosos y que el administrador se ocupe de ponerlos en contexto. Esta opción está desactivada por defecto para que siga nuestro consejo y autorice primero los archivos legítimos, como aquellos escritos por sus empleados. Para ello, realice un escaneado programado de la red e identifique los archivos legítimos para autorizarlos en Enterprise Console. Después, active el escaneado en acceso para detectar archivos sospechosos en un futuro. Para obtener más información sobre HIPS, consulte el siguiente artículo de la base de conocimiento: http://esp.sophos.com/support/knowledgebase/article/48765.html |
| Escaneado en acceso: Leer | Activado | Sophos recomienda utilizar siempre esta opción cuando el escaneado en acceso esté activado. El escaneado de lectura garantiza que todos los archivos a los que se accede se escanean antes de abrirse. |
| Escaneado en acceso: Escribir | Desactivado | Esta opción está desactivada por defecto porque puede afectar al rendimiento del sistema. Sin embargo, es una opción muy útil, sobre todo, para servidores de archivos, en los que se guardan muchos más archivos de los que se abren. Si es posible: active esta opción para obtener mayor seguridad que la que aporta el escaneado de lectura por sí solo. |
| Escaneado en acceso: Cambiar de nombre | Desactivado | Esta opción es útil en, al menos, dos situaciones poco habituales. La primera, para detectar archivos maliciosos. Cuando un archivo malicioso se instala en el equipo, puede tener una extensión que no exista, por ejemplo, .abc. En el momento de ejecutarse, el archivo cambia la extensión por .exe. Los programas maliciosos también pueden guardar un archivo en una ubicación con un nombre y, en otra, con otro distinto. Los escaneados de lectura y escritura no detectan acciones de este tipo. También es útil para el escaneado de archivos descargados. Ciertos navegadores descargan archivos con nombres temporales que no aparecen en la lista de extensiones predeterminadas y, una vez finalizada la descarga, cambian ese nombre por el nombre correcto. De ahí que un archivo .exe descargado pueda no escanearse incluso cuando el escaneado de escritura está activado. Por lo tanto, si sospecha que la red está infectada con programas maliciosos, puede activar esta opción de forma temporal en las políticas. |
| Permitir el acceso a unidades con sectores de arranque infectados | Desactivado | Esta opción se utiliza para permitir el acceso a medios o dispositivos de arranque infectados como discos, disquetes, memorias USB de arranque, etc. Utilícelo sólo bajo la tutela del soporte técnico de Sophos. |
Ficha Extensiones
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Escanear todos los archivos | Desactivado | Puesto que el resto de opciones del escaneado en acceso impiden las infecciones por parte de archivos conocidos (incluidos los definidos por el administrador), es aconsejable conservar la configuración predeterminada (desactivado) en la mayor parte de los casos. El escaneado de archivos no infectables al acceder a ellos puede afectar al rendimiento de forma significativa. Por ejemplo, muchas aplicaciones utilizan formatos de archivos temporales propios. Cada vez que se accediera a uno de esos archivos, se escanearía. Por ello, los programas que utilizan grandes cantidades de memoria, como aplicaciones de edición fotográfica o financieras, tardarían aún más en procesar la información si el escaneado en acceso escanea cada uno de los archivos temporales que se utilizan. Incluso en tareas normales, los retrasos en el rendimiento producidos por esta opción no compensan las escasas posibilidades de que el escaneado en acceso detecte un archivo malicioso no incluido en la lista de ejecutables que se escanean por defecto. Sin embargo, durante (o inmediatamente después de) un ataque de programas maliciosos, es necesario asegurarse de que todos los componentes de un virus se han eliminado después de la desinfección. Esto debería llevarse a cabo bajo la supervisión del soporte técnico de Sophos. Por supuesto, si se siente más cómodo sabiendo que el escaneado de virus escanea todos los archivos, puede programar un escaneado semanal de todos los archivos. Pero recuerde programarlo para un momento en el que no suela utilizar el equipo. |
| Escanear archivos ejecutables e infectables | Activado | Sophos recomienda activar siempre esta opción. Cuando está activada, este escaneado revisará todos los archivos con extensiones de archivo ejecutable (por ejemplo, '.EXE', '.BAT', '.PIF') o archivos que pueden infectarse (por ejemplo, '.DOC', '.CHM', '.PDF'). También revisa rápidamente la estructura de todos los archivos y los escanea si tienen un formato ejecutable. Si desea escanear otros tipos de archivo adicionales, puede añadirlos a la lista de extensiones que se escanean utilizando el botón Añadir. |
| Escanear archivos sin extensión | Activado | Los archivos sin extensión podrían ser programas maliciosos, por lo que la detección en acceso debería estar siempre activada. |
Ficha Exclusiones de Windows
Sophos recomienda no configurar ninguna exclusión, ya que muchos archivos son susceptibles de sufrir infecciones de programas maliciosos. Sin embargo, ciertas aplicaciones pueden comportarse de forma inesperada junto con el escaneado en acceso, como los servidores de Microsoft Exchange y Citrix. Si tiene problemas con alguna aplicación al utilizar el escaneado en acceso de Endpoint Security and Control, póngase en contacto con el proveedor del software para obtener más información sobre qué archivos excluir del escaneado.
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Excluir archivos remotos | Desactivado | Debido al aumento del número de gusanos del almacenamiento en red, Sophos recomienda mantener esta opción siempre desactivada para garantizar que los archivos remotos se escanean siempre al acceder a ellos y que la red esté siempre protegida. |
Fichas de exclusiones de Mac y Linux
Estas exclusiones afectan a redes con cualquier combinación de sistemas operativos.
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Limpiar automáticamente elementos que contengan virus o programas espía | Desactivado | Puede que desee configurar esta opción para que limpie de forma automática todos los programas maliciosos que aparezcan, pero depende de sus circunstancias: si cuenta con procedimientos propios para la limpieza de programas maliciosos, Sophos prefiere no realizar acciones sin tener su confirmación. Por ejemplo, puede que prefiera dejar los elementos detectados en cuarentena hasta que se pueda ocupar de ellos. Cuando el escaneado en acceso limpia de forma automática los elementos que contienen virus o programas espía, elimina todos los programas puramente maliciosos e intenta desinfectar todos los elementos que se hayan infectado. Estos archivos desinfectados deberían considerarse dañados de forma permanente, ya que el escaneado no puede saber lo que contenía el archivo antes de que se dañara: solo puede limpiar el código inyectado por el virus. |
| Opción si no es posible limpiar | Sólo denegar acceso | La opción predeterminada "Sólo denegar acceso" quiere decir que el escaneado de virus le preguntará qué hacer antes de continuar. Los elementos encontrados permanecen bloqueados hasta que le indique al escaneado de virus qué hacer. Las otras opciones, "Eliminar" y "Denegar acceso y mover" pueden utilizarse en situaciones especiales, por ejemplo, si el soporte técnico de Sophos le aconseja que seleccione esta opción. Sophos no recomienda permitir al escaneado de virus que elimine de forma automática archivos infectados, ya que se podrían eliminar algunos archivos legítimos. Si activa esta opción, debería revisar los registros de forma habitual para asegurarse de que no se han eliminado archivos importantes. |
| Archivos sospechosos - acción predeterminada | Sólo denegar acceso | La opción predeterminada "Sólo denegar acceso" quiere decir que el escaneado de virus le preguntará qué hacer antes de continuar. Los elementos encontrados permanecen bloqueados hasta que le indique al escaneado de virus qué hacer. |
Configuración del análisis de comportamientos (HIPS)
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Detectar comportamiento sospechoso | Activado | Esta opción detecta operaciones de archivos a medida que se ejecutan. Si considera que las operaciones en ejecución suponen una amenaza, enviará una alerta (si "sólo alertar" está activado) o bloqueará la operación (si "sólo alertar" está desactivado). Sophos recomienda utilizar esta opción en modo "sólo alertar" al principio y autorizar las aplicaciones que provoquen detecciones no deseadas. Una vez que conozca el tipo de aplicaciones que provocan las alertas y esté seguro de que puede autorizarlas, Sophos recomienda desactivar "sólo alertar". |
| Detectar desbordamiento del búfer | Activado | Esta opción protege el equipo contra ataques de desbordamiento del búfer y Sophos recomienda mantenerla activada. Es crucial para la detección (y bloqueo, si "sólo alertar" está desactivado) de programas maliciosos nuevos que puedan infectar el sistema. Dados los inconvenientes ocasionados por cualquier desbordamiento del búfer, Sophos recomienda ponerse en contacto con el proveedor de cualquier aplicación que provoque un desbordamiento del búfer sin relación alguna con programas maliciosos. Autorice estas aplicaciones solo si son fundamentales para la empresa. Si encuentra algún desbordamiento del búfer sospechoso, póngase en contacto con el soporte técnico de Sophos, que le ayudará a identificar y eliminar las amenazas. |
| Sólo alertar | Activado | Puesto que esta opción se comparte con la detección de desbordamientos del búfer, que debería bloquear los posibles ataques una vez activada la política, la detección de comportamientos sospechosos es prioritaria a la hora de implementar una política antivirus nueva. Por lo tanto, una vez aprobados los programas legítimos que pueden presentar comportamientos sospechosos en la red, Sophos recomienda desactivar inmediatamente la opción "sólo alertar". |
Configuración de las notificaciones
Las notificaciones de escritorio son las únicas que están activadas por defecto. Sophos recomienda configurar el tipo de notificaciones deseado antes de implementar las políticas antivirus y HIPS.
| Opción | Predeterminado | Comentarios |
|---|---|---|
| Activar mensaje de escritorio | Activado | Puede hacer que el usuario reciba alertas o no. Esta opción hace que aparezca un mensaje en la estación sobre qué se ha detectado, dónde y lo que se hará al respecto. Puede añadir su propio mensaje a las alertas de los eventos sobre los que quiera informar al usuario. Sophos recomienda mantener esta opción activada para que el usuario pueda contactar con el soporte técnico si se detecta alguna amenaza en el equipo. Si lo desea, puede añadir su propio mensaje para informar al usuario sobre la política de la empresa. |
Configuración de la autorización
Este botón abre un cuadro de diálogo que permite autorizar los programas publicitarios, PUA y archivos sospechosos que presentan comportamientos sospechosos y desbordamientos del búfer detectados en el modo de sólo alertar de los escaneados programados y HIPS.
No existen aplicaciones ni archivos preautorizados en las políticas antivirus y HIPS.
Ficha Escaneado web
El escaneado del contenido web escanea sitios web en busca de contenido malicioso antes de que el navegador cargue las páginas. Cuando se descubre un ataque web en la página de inicio o parte de ella, el contenido original se bloquea y se sustituye por un informe seguro. Se genera un mensaje por cada contenido malicioso que se bloquea. Se impide la ejecución del código malicioso, por lo que no es necesaria una limpieza. Para más información sobre la función de escaneado del contenido web de Endpoint Security and Control, consulte la Descripción general del escaneado de contenido web de Endpoint Security and Control.
Por defecto, la configuración del escaneado web es idéntica a la del escaneado en acceso. Por ello, si el escaneado en acceso está activado en la política, la función de escaneado del contenido web también lo estará. Configúrela para que esté siempre activada o no.
Si necesita más ayuda, póngase en contacto con soporte técnico.
- Artículo ID: 63923
- Creado: 5 oct 2009
- Modificado: 10 feb 2012
