Cómo utilizar la Protección contra intervenciones (Tamper Protection) en Symantec AntiVirus 10.x y Symantec Client Security 3.x

Close X

Este documento es la traducción de un original en inglés y puede que haya sido realizada solo con traducción automática. Es posible que la versión original en inglés haya sido actualizada luego de la publicación de esta traducción. Dichas actualizaciones no se verán reflejadas en este documento. Symantec no garantiza la precisión o la integridad de esta traducción. Puede consultar la versión original en inglés del artículo de esta base de conocimiento para ver la información más reciente.

Artículo:TECH101173  |  Creado: 2005-01-24  |  Actualizado: 2006-01-21  |  URL del artículo http://www.symantec.com/docs/TECH101173
Tipo de artículo
Technical Solution

Producto(s)

Entorno

Problem



Este documento describe la nueva característica de Protección contra intervenciones (Tamper Protection) en Symantec AntiVirus Corporate Edition 10.0 y Symantec Client Security 3.0.


Solution



La Protección contra intervenciones provee protección en tiempo real para las aplicaciones de Symantec. Evita que los procesos de Symantec sean atacados o afectados por procesos ajenos a Symantec, tales como gusanos, caballos de Troya, virus y riesgos de seguridad.

Activar, desactivar y configurar la Protección contra intervenciones
Cuando la Protección contra intervenciones se encuentra activa, usted puede activar y desactivar los tipos de protección para los procesos de Symantec. Usted puede configurar Symantec AntiVirus para bloquear o registrar los intentos de modificación a los procesos. Además, puede configurar para que se muestre un mensaje en los equipos afectados siempre que se detecte un intento de alteración. Para lograr la máxima protección, active la Protección contra intervenciones y no desactive la protección para procesos.

Para activar la Protección contra intervenciones en Symantec System Center
  1. Inicie Symantec System Center.
  2. Realice alguna de las siguientes acciones:
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para clientes.
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para servidotes.
  3. Marque Activar protección contra intervenciones.
  4. Si cuenta con Symantec AntiVirus 10.1, configure el tipo de protección que desea.
  5. Si cuenta con Symantec AntiVirus 10.0, lleve a cabo las siguientes acciones:
    • En la lista desplegable, haga clic en Bloquear para bloquear la actividad no autorizada.
    • En la lista desplegable, haga clic en Solo registrar para registrar la actividad no autorizada.
  6. En Notificaciones, realice una de las acciones siguientes:
    • Seleccione Mostrar mensaje en el equipo infectado para activar el envío de mensajes.
    • Desmarque Mostrar mensaje en el equipo infectado para desactivar el envío de mensajes.
  7. Si está configurando las Opciones de Protección contra intervenciones para clientes, bloquee o desbloquee cada opción según sea adecuado para su red.
  8. Si está configurando las Opciones de protección contra intervenciones para clientes, puede hacer clic en Restablecer todas para propagar la configuración en esta pestaña a todos los clientes conectados al servidor o grupo de servidores.

Para activar la Protección contra intervenciones de forma local
  1. Inicie Symantec AntiVirus.
  2. Haga clic en Configurar > Protección contra intervenciones.
  3. Marque Activar protección contra intervenciones.
  4. Si cuenta con Symantec AntiVirus 10.1, dentro de Protección, configure el tipo de protección que desea.
  5. Si cuenta con Symantec AntiVirus 10.0, dentro de Protección, lleve a cabo las siguientes acciones:
    • En el cuadro desplegable "Al ocurrir una violación", seleccione Bloquear para bloquear la actividad no autorizada o Solo registrar para registrar la actividad no autorizada.
    • Marque o desmarque Mantener activa la protección contra intervenciones incluso si se apaga Symantec AntiVirus.
  6. En Notificaciones, realice una de las acciones siguientes:
    • Seleccione Mostrar mensaje en el equipo infectado para activar el envío de mensajes.
    • Desmarque Mostrar mensaje en el equipo infectado para desactivar el envío de mensajes.
  7. Haga clic en Aceptar.

Para desactivar la Protección contra intervenciones en Symantec System Center
  1. Inicie Symantec System Center.
  2. Realice alguna de las siguientes acciones:
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para clientes.
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para servidotes.
  3. Si cuenta con Symantec AntiVirus 10.1, dentro de Protección, retire la marca de Procesos y después de Objetos internos.
  4. Retire la marca de Activar protección contra intervenciones.
  5. Si está configurando las Opciones de Protección contra intervenciones para clientes, bloquee o desbloquee cada opción según sea adecuado para su red.
  6. Si está configurando las Opciones de protección contra intervenciones para clientes, puede hacer clic en Restablecer todas para propagar la configuración en esta pestaña a todos los clientes conectados al servidor o grupo de servidores.

Para desactivar la Protección contra intervenciones de forma local
  1. Inicie Symantec AntiVirus.
  2. Haga clic en Configurar > Protección contra intervenciones.
  3. Si cuenta con Symantec AntiVirus 10.1, retire la marca de Procesos y después de Objetos internos.
  4. Retire la marca de Activar protección contra intervenciones.
  5. Haga clic en Aceptar.



Creación de mensajes de Protección contra intervenciones
La Protección contra intervenciones le permite crear un mensaje que se muestre en los equipos cliente cuando la Protección contra intervenciones detecte un ataque contra los procesos de Symantec. El mensaje que usted cree puede contener una mezcla de texto escrito y campos que usted seleccione. Los campos que seleccione serán variables que se alimentarán con valores que identifiquen las características del ataque. La siguiente tabla describe los campos que usted puede seleccionar.


Campo
Descripción
Nombre de archivoEl nombre del archivo que atacó a los procesos protegidos.
RutaYNombreDeArchivoLa ruta completa y el nombre del archivo que atacó a los procesos protegidos.
UbicaciónÁrea del equipo donde se detectó el ataque, por ejemplo, sector de inicio, sistema de correo o memoria.
EquipoEl nombre del equipo que fue atacado.
UsuarioEl nombre del usuario en la sesión iniciada cuando ocurrió el ataque.
FechaDeDetecciónLa fecha en que ocurrió el ataque.
Acción tomadaLa acción realizada por la Protección contra Alteraciones para responder al ataque.
Suceso del SistemaEl tipo de ataque que ocurrió.
Tipo de EntidadEl tipo de objetivo atacado por el proceso.
ID de Proceso AutorEl número de ID del proceso que atacó.
Nombre del Proceso AutorEl nombre del proceso que atacó.
Nombre de ruta del objetivoLa ubicación del objetivo atacado por el proceso.
ID de Proceso del ObjetivoLa ID de proceso del objetivo atacado por el proceso.
ID de Sesión de Terminal del ObjetivoLa ID de la sesión de terminal en la que ocurrió el evento.


Use el siguiente formato para crear mensajes:
Texto escrito por usted: [Nombre de Campo 1] [Nombre de Campo 2] (Texto adicional opcional escrito por usted [Nombre de Campo x])

El siguiente ejemplo ilustra un mensaje que le indica qué proceso intentó realizar una acción dada y en qué momento:
Fecha: [FechaDeDetección]
Proceso ubicado en: [RutaYNombreDeArchivo] (Nombre: [Nombre del Proceso Autor])
Atacó a: [Nombre de ruta del objetivo] [ID de Proceso del Objetivo]

Para crear mensajes de Protección contra intervenciones mediante Symantec System Center
  1. Inicie Symantec System Center.
  2. Realice alguna de las siguientes acciones:
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para clientes.
    • Haga clic con el botón derecho en un servidor o en un grupo de servidores y después haga clic en Todas las tareas > Symantec AntiVirus > Opciones de protección contra intervenciones para servidores.
  3. En Notificaciones, seleccione Mostrar mensaje en el equipo afectado y haga clic en el icono de candado para bloquear esta opción.
  4. Haga clic en Mensaje.
  5. En el recuadro Mensaje, haga clic para insertar un cursor.
  6. Use su teclado para mover el cursor, agregar filas, escribir y eliminar texto.
  7. Mueva el cursor hasta una posición en donde desee insertar un campo, haga clic con el botón derecho, seleccione Insertar Campo y después seleccione el campo a insertar.
    Consulte la tabla en este documento para una descripción de los campos disponibles.
  8. Repita los pasos 6 y 7 según sea necesario.
  9. Haga clic con el botón derecho y use cualesquiera de las siguientes funciones según lo requiera: Cortar, Copiar, Pegar, Borrar o Deshacer.
  10. Haga clic en Aceptar.

Para crear los mensajes de protección contra intervenciones de forma local
  1. Inicie Symantec AntiVirus.
  2. Haga clic en Configurar > Protección contra intervenciones.
  3. En Notificaciones, seleccione Mostrar mensaje en el equipo afectado.
  4. Haga clic en Mensaje.
  5. Use su teclado para mover el cursor, agregar filas, escribir y eliminar texto.
  6. Para obtener ayuda al respecto, vea la tabla y los ejemplos en la sección "Creación de mensajes de protección contra intervenciones" en este documento.
  7. Haga clic en Aceptar.




References
Versión en inglés de este documento:


Haga clic aquí para acceder a la versión en inglés de este documento


Nota: Debido al tiempo requerido en la traducción de documentos en otros idiomas, esta versión puede variar en su contenido con respecto al documento en Inglés. Los documentos en inglés normalmente contienen la información más reciente.




Technical Information
Diferencias de la Protección en contra de intervenciones en las versiones 10.1 y 10.0 de Symantec AntiVirus


En Symantec AntiVirus 10.0, la protección contra intervenciones puede bloquear o registrar los intentos en que se traten de modificar procesos Symantec.

En Symantec AntiVirus 10.1, la Protección contra intervenciones puede bloquear o registrar los intentos en que se traten de modificar procesos Symantec y también los objetos de software interno que sincronizan procesos y secuencias Symantec. Los objetos internos coordinan la actividad de programas que se ejecutan en un equipo. Por ejemplo si utiliza Microsoft Outlook para enviar mensajes de correo electrónico, el componente de Symantec AntiVirus para Outlook coordina con el servicio de Symantec AntiVirus para que este último analice el mensaje. Los equipos con Windows utilizan diferentes tipos de objetos internos. La protección contra intervenciones protege los objetos internos clasificados como mutexes y de eventos nombrados. Mutexes asegura que sólo un programa o secuencia utilice un único recurso, como es el acceder a un archivo, en un momento determinado. Mutexes llevan a cabo la sincronización
Los objetos pueden ser utilizados por una sola secuencia a la vez. Cuando la secuencia que controla el mutex termina de utilizar el recurso, la secuencia libera el objeto mutex, para que otro programa o amenaza pueda utilizar el recurso. Los procesos crean eventos nombrados, los cuales notifican a otro programa o a una secuencia en espera de que el proceso se complete. Por ejemplo, objetos de evento pueden utilizarse por una secuencia maestro para evitar que otra secuencia lea una localidad de memoria compartida mientras se escribe en esa localidad. Una vez que la secuencia maestra termina de escribir en la localidad de memoria, puede enviar al evento nombrado emita señal de espera de secuencia para que continúe las operaciones de lectura.

En el nivel API de Windows, la protección contra intervenciones intercepta las llamadas para crear, abrir o modificar esos objetos, como es CreateEvent, SetEvent, CreateMutex, ReleaseMutex y así sucesivamente. Posteriormente verifica el nombre del objeto respecto a la lista de nombres protegidos, la cual se llama manifiesto. Si los nombres coinciden, verifica si el ejecutable que respalda el proceso que hizo esta llamada, tiene una firma digital Symantec válida. Si el proceso cuenta con una firma válida, la solicitud es permitida, de lo contrario, se rechaza con un error de código ERROR_ACCESS_DENIED. Esta protección funciona tanto para sistemas de usuarios como para servidores terminales.

Puede configurar que el mensaje aparezca en su equipo al momento de Symantec AntiVirus detecta un intento de intervención. Predefinidamente los mensajes de notificación aparecen cuando Symantec AntiVirus detecta intervenciones con objetos internos. SI activa el envío de notificaciones al momento que Symantec AntiVirus detecta intervenciones en los procesos, los equipos afectados pueden recibir notificaciones sobre los procesos de Windows, así como de los procesos Symantec.




Legacy ID



20051024095920935


URL del artículo http://www.symantec.com/docs/TECH101173


Las condiciones de uso de esta información se encuentran en Avisos legales