Download Introducción a la Guía de optimización de Forefront Security para

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
Document related concepts
no text concepts found
Transcript 
Guía de optimización de Microsoft
Forefront Security para Exchange Server
Microsoft Forefront Security para Exchange Server 2007
versión 10.1
Microsoft Corporation
Fecha de publicación: noviembre de 2007
La información contenida en este documento, incluidas las direcciones URL y otras
referencias a sitios de Internet, está sujeta a cambios sin previo aviso. A menos que se
indique lo contrario, los nombres de ejemplo de compañías, organizaciones, productos,
nombres de dominio, direcciones de correo electrónico, logotipos, personas, personajes,
lugares y acontecimientos mencionados son ficticios, y no representan de ningún modo a
ninguna compañía, organización, producto, nombre de dominio, dirección de correo
electrónico, logotipo, persona, personaje, lugar o acontecimiento reales. Es responsabilidad
del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los
derechos de propiedad, queda prohibido reproducir, almacenar o introducir en un sistema de
recuperación o transmitir de ninguna forma (electrónica, mecánica, fotocopia, grabación o
cualquier otra) o para cualquier propósito ninguna parte de este documento sin la
autorización expresa por escrito de Microsoft Corporation.
Microsoft Corporation puede ser titular de patentes, solicitudes de patentes, marcas,
derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este
documento. A menos que se indique expresamente en un contrato de licencia por escrito de
Microsoft Corporation, el suministro de este documento no proporciona al usuario ninguna
licencia sobre esas patentes, marcas, derechos de autor o propiedad intelectual.
© 2007 Microsoft Corporation. Reservados todos los derechos.
Microsoft, Forefront, Windows y Windows Server son marcas registradas o marcas
comerciales de Microsoft Corporation en Estados Unidos y otros países.
Todas las demás marcas pertenecen a sus respectivos propietarios.
Revise la declaración de privacidad de Microsoft Forefront Server Security en el sitio web de
Microsoft Forefront Server Security.
Contenido
Introducción a la Guía de optimización de Forefront Security para Exchange Server ............. 5
Guía de optimización de Forefront Security para Exchange Server: consideraciones de
implementación ...................................................................................................................... 5
Instalación en un clúster ........................................................................................................... 7
Instalación en un clúster CCR de Exchange 2007 ................................................................ 7
Instalación en un clúster SCC de Exchange 2007 ................................................................ 8
Consideraciones adicionales ............................................................................................... 10
Detección al primer acceso del servidor de buzón de Exchange 2007 .................................. 10
Guía de optimización de Forefront Security para Exchange Server: durante un brote de virus
............................................................................................................................................. 11
Guía de optimización de Forefront Security para Exchange Server: Opciones generales .... 11
Opciones generales: opciones importantes ............................................................................ 12
Consideraciones acerca de los archivos RAR .................................................................... 16
Exchange Best Practices Analyzer ......................................................................................... 20
InternetTimeout .................................................................................................................... 21
RealtimeTimeout.................................................................................................................. 21
Guía de optimización de Forefront Security para Exchange Server: consideraciones de
detección ............................................................................................................................. 21
Examinar al actualizar el detector [Opción general] ............................................................ 21
Habilitar detección en segundo plano si se habilitó 'Examinar al actualizar el detector'
[Opción general] ............................................................................................................... 22
DisableAVStamping [Registro] ............................................................................................ 22
Análisis proactivo [Registro] ................................................................................................ 23
Guía de optimización de Forefront Security para Exchange Server: detección en transporte23
Detección en transporte con configuración predeterminada ............................................... 23
Detección en transporte con el sello de transporte desactivado ......................................... 23
Detección en transporte para mensajes salientes .............................................................. 24
Guía de optimización de Forefront Security para Exchange Server: detección en almacén . 24
Detección en almacén con la configuración predeterminada .............................................. 24
Detección en almacén con una sola opción habilitada ....................................................... 25
Detección en almacén con dos opciones habilitadas .......................................................... 25
Detección en almacén con tres opciones habilitadas ......................................................... 27
Detección en almacén con cuatro opciones habilitadas ..................................................... 28
Guía de optimización de Forefront Security para Exchange Server: actualización de motores
............................................................................................................................................. 29
Guía de optimización de Forefront Security para Exchange Server: configuración del antivirus
............................................................................................................................................. 30
Guía de optimización de Forefront Security para Exchange Server: parámetro Diferencia ... 30
Diferencia del trabajo de detección en transporte ............................................................... 31
Diferencia del trabajo de detección en tiempo real ............................................................. 31
Diferencia del trabajo de detección manual ........................................................................ 31
Guía de optimización de Forefront Security para Exchange Server: Acción.......................... 32
Guía de optimización de Forefront Security para Exchange Server: archivos en cuarentena 32
Filtrado del trabajo de detección en transporte ...................................................................... 32
Introducción a la Guía de optimización de
Forefront Security para Exchange Server
Este documento describe las opciones que se recomienda usar para configurar Microsoft®
Forefront™ Security para Exchange Server (FSE). Si se siguen estas recomendaciones, se
obtendrá la mejor configuración posible para el sistema y se evitará así dañar la
infraestructura de correo electrónico.
Estas opciones de configuración son recomendaciones de los propios especialistas técnicos
de Microsoft. No obstante, se trata solamente de directrices que se deben supervisar y
ajustar para satisfacer las necesidades de la empresa.
Nota
Como regla general, las opciones predeterminadas de Forefront Security para
Exchange Server son las opciones recomendadas.
Para obtener instrucciones completas de instalación y uso, consulte el “Manual del usuario
de Microsoft Forefront Security para Exchange Server”.
Guía de optimización de Forefront Security
para Exchange Server: consideraciones de
implementación
Para una protección de línea de base en toda la empresa, se recomienda implementar
Forefront Security para Exchange Server en todos los servidores perimetrales y
concentradores. Con esta configuración, se examinará todo el correo entrante, saliente e
interno que pase por los servidores de transporte. No obstante, los objetos que no se
enrutan, como los elementos de carpetas públicas, los elementos enviados y los elementos
de calendario (que sólo se pueden examinar en un servidor de buzón), no estarán
protegidos. El contenido que se ha examinado durante el transporte no se puede volver a
examinar una vez entregado al servidor de buzón, como respuesta a un ataque específico
que pueda haber entrado en el sistema a pesar de la protección ofrecida por la detección en
transporte.
Para una protección global en toda la empresa, se recomienda implementar Forefront
Security para Exchange Server en todos los servidores perimetrales, concentradores y de
buzón. Si se desea obtener un rendimiento óptimo, la configuración de protección de todos
los servidores deberá ser idéntica (aunque puede ser conveniente que el servidor perimetral
5
use más motores y un valor de diferencia superior para garantizar que todo el correo se
examine con varios motores).
Cuando el correo llega a un servidor concentrador o perimetral, se examina y, de manera
predeterminada, se marca con una propiedad interna especial denominada “sello antivirus”.
Esta propiedad de sello antivirus (usada en Exchange 2007 para reducir al mínimo la
detección duplicada en las funciones del servidor Transporte y Buzón de correo) se incluye
con el correo y evita que se vuelva a examinar en varios puntos durante el tránsito y cuando
se deposita por primera vez en el almacén. Incluso con esta optimización, antes de instalar
FSE (o cualquier software de detección antivirus) en un servidor de buzón, deberá realizar
evaluaciones detalladas de planeación de capacidad y rendimiento para garantizar que el
servidor disponga de suficiente capacidad de procesamiento adicional para tolerar la
sobrecarga impuesta por la detección antivirus.
La arquitectura de varios motores de ForeFront ayuda maximizar la protección antivirus
gracias a su diversidad. Los estudios realizados demuestran que la detección con cinco
motores reduce el margen de vulnerabilidad desde que se detecta una nueva amenaza
hasta que el primer proveedor de motor antivirus publica una firma protectora. De manera
predeterminada, Forefront examina los mensajes sólo una vez, aunque conviene programar
la detección en segundo plano del servidor de buzón para volver a examinar los mensajes de
forma periódica con las firmas más recientes disponibles. En Exchange 2003, la detección
en segundo plano sólo podía examinar el almacén del buzón entero, lo que podía constituir
un proceso muy largo. En Exchange 2007, la detección en segundo plano incremental
permite examinar de forma selectiva un subconjunto de mensajes del servidor que tienen
una mayor probabilidad de estar infectados. Resulta conveniente programar una detección
en segundo plano regular del almacén para volver a examinar elementos recibidos durante
los dos días anteriores. Se trata de la opción preferida para servidores de correo de mediano
y gran tamaño. En los servidores de menor tamaño que contienen menos buzones de
correo, es posible examinar una selección de mensajes más amplia y, en algunos casos, se
pueden examinar todos los mensajes almacenados cada 24 horas, en horario de mínima
actividad. A continuación, figura el procedimiento para configurar una detección en segundo
plano regular:

En la sección Detección en segundo plano del panel Opciones generales, seleccione
“Examinar mensajes recibidos en los últimos __ días” (especificando 2 días, como se
sugirió anteriormente) y “Examinar sólo mensajes con datos adjuntos”.
Nota
No debe seleccionarse la opción “Examinar sólo mensajes no examinados”;
de lo contrario, no se volverán a examinar los mensajes que ya se habían
examinado con una versión anterior de firma.

En el panel Programar trabajo, habilite Trabajo de detección en segundo plano y
prográmelo para que se ejecute con la fecha, hora y frecuencia que seleccione.
6
Nota
En los servidores de buzón de gran tamaño, si se selecciona más correo del que
se recibe durante dos días, la detección en segundo plano podría estar en
ejecución de forma constante. La detección puede detenerse de forma manual
en cualquier momento con el botón “Detener” del panel Programar trabajo.
Instalación en un clúster
Para instalar Forefront Security para Exchange Server en un entorno de clúster, debe iniciar
sesión en el equipo local como usuario de dominio con una cuenta que tenga derechos de
administrador local. FSE debe instalarse en cada uno de los nodos. Todos los archivos de
programa deben instalarse en una unidad local.
Consideraciones importantes:

Los datos de configuración (como ScanJobs.fdb y Notifications.fdb) se asociarán a un
servidor de buzón agrupado (CMS), por lo que no es necesario configurar cada nodo de
forma independiente.

Los archivos de firma de detectores se asociarán a un CMS, por lo que los nodos activos
y pasivos estarán actualizados.

Los datos de configuración que se mantienen en el Registro se replicarán en un CMS
cuando el CMS se mueva de un equipo a otro durante un evento de conmutación por
error.

El Administrador de Forefront Server Security debe estar conectado a la máquina virtual
al conectarse a FSE en un servidor de clúster. Si intenta conectarse al servidor físico, se
le pedirá que seleccione la máquina virtual a la que desea conectarse.
Instalación en un clúster CCR de Exchange
2007
Instale FSE primero en el nodo activo y, a continuación, en el nodo pasivo; para ello, siga las
instrucciones de instalación en clúster que encontrará en la “Guía de instalación en clúster
de Microsoft Forefront Security para Exchange Server” (disponible en TechNet).
Consideraciones importantes para las instalaciones en
clústeres CCR

Debe instalar FSE en el nodo activo antes de instalarlo en el nodo pasivo. Esto se aplica
a la primera instalación de un nodo de clúster CCR. No obstante, si un nodo genera un
error y se debe realizar una nueva instalación, deberá llevarla a cabo en el nodo pasivo
7
para que éste replique la información correcta del nodo activo. Si realiza la instalación en
el nodo activo, se sobrescribirá la información correcta.

No realice la conmutación por error de un nodo de clúster CCR con FSE instalado a un
nodo que no lo tenga instalado.

No se puede realizar una instalación remota en un clúster CCR. Deberá usar una sesión
de Terminal Server en su lugar.

Antes de instalar FSE, use el Administrador de clústeres para comprobar que estén
conectados los recursos de clúster de Exchange en el nodo activo. Si no lo están antes
de instalar Forefront Security, el nodo se detectará como pasivo.

Cuando se instala FSE en un clúster CCR, la ruta de instalación debe ser la misma para
los dos nodos.
Instalación en un clúster SCC de Exchange
2007
Instale FSE primero en el nodo activo y, a continuación, en el nodo pasivo; para ello, siga las
instrucciones de instalación en clúster que encontrará en la “Guía de instalación en clúster
de Microsoft Forefront Security para Exchange Server” (disponible en TechNet).
Consideraciones importantes para las instalaciones en
clústeres SCC

Para las instalaciones de clúster de copia única (SCC), el grupo de clúster debe tener el
mismo nombre que el recurso de nombre de red; de lo contrario, la instalación de FSE
generará un error.
Sugerencias acerca de la instalación en un clúster SCC
La instalación en clústeres resulta complicada por la configuración y los nombres de los
recursos en el administrador de clústeres. En el desarrollo y las pruebas de la instalación en
clúster se asumieron las configuraciones predeterminadas del Administrador de clústeres;
esto ha provocado cierta confusión y problemas de instalación. Pueden surgir problemas si
se han realizado cambios de nombres en el Administrador de clústeres, lo que crea mayor
confusión durante la instalación.
En el proceso de instalación se utiliza el nombre del recurso para derivar la letra de unidad
para la instalación. Durante la instalación, se le pide al usuario una unidad compartida y una
carpeta de clúster. En función de las suposiciones enumeradas, a continuación se indican
los resultados de las diversas combinaciones.
Suponga la siguiente configuración en el administrador de clústeres:
8
Nombres de recursos
Ruta de acceso física
Tipo
Disco E:
E:
Unidad compartida
Disco F:
F:
Unidad compartida
Disco G:
G:
Unidad compartida
Mtptdr
F:\mpd
Punto de montaje
Gmpd
G:\mpd2
Punto de montaje
Para instalaciones con unidad compartida:
Nombre del recurso de disco
Carpeta del clúster
para la unidad compartida
Ruta de acceso usada por
Forefront
E:
Forefront Cluster
E:\Forefront Cluster
Disco F:
Forefront Cluster
F:\Forefront Cluster
E:
Test\Forefront Cluster
E:\test\Forefront Cluster
F:\mtpdr
Forefront Cluster
X: ninguna coincidencia en
nombres de recursos
F:\mpd
Forefront Cluster
X: ninguna coincidencia en
nombres de recursos
E:\test
Forefront Cluster
X: ninguna coincidencia en
nombres de recursos
F:
Forefront Cluster
X: ninguna coincidencia en
nombres de recursos
Para instalaciones con unidad de punto de montaje:
Nombre del recurso de disco
Carpeta del clúster
para la unidad compartida
Ruta de acceso usada por
Forefront
G:
mpd2\Forefront Cluster
gmpd\Forefront Cluster
Disco F:
mpd\Forefront Cluster
F:\mpd\Forefront Cluster
Mpd
Forefront Cluster
X: ninguna unidad asociada
al recurso de punto de
montaje
9
Nombre del recurso de disco
Carpeta del clúster
para la unidad compartida
Ruta de acceso usada por
Forefront
E:
mpd\Forefront Cluster
X: se instalará, pero no en el
punto de montaje. Se
instalará en E:\mpd\Forefront
Cluster
G:
gmpd\Forefront Cluster
X: se instalará, pero no en el
punto de montaje. Se
instalará en
g:\gmpd\Forefront Cluster
Consideraciones adicionales

Debe haber un nodo pasivo como mínimo.

Forefront admite un número ilimitado de nodos activos y uno o varios nodos pasivos.

Cada nodo sólo puede ejecutar un servidor de buzón agrupado (CMS) a la vez.

Las conmutaciones por error deben realizarse al nodo pasivo.

Todos los datos de configuración se almacenan en la unidad compartida, por lo que los
nodos activos y pasivos tienen la misma configuración.
Detección al primer acceso del servidor de
buzón de Exchange 2007
La protección al primer acceso envía los elementos no examinados a FSE para que se
examinen antes de que los recupere un cliente de lectura de correo. Cuando se instala FSE
por primera vez, se examina todo el correo electrónico al que se obtenga acceso y cuya
antigüedad no supere un día. Cada día, FSE agrega 24 horas al "valor límite de primer
acceso", de modo que se va examinando correo cada vez más antiguo. El correo cuya
antigüedad supere el valor actual del límite de primer acceso no se examina, incluso si se
tiene acceso a él. Así se impide sobrecargar el sistema cuando se realiza la detección inicial
tras la instalación de FSE. Esta opción de límite de primer acceso mejora el rendimiento en
los servidores de buzón cuando no se han examinado todos los mensajes del servidor. Es
decir, los servidores de buzón de mayor tamaño pueden necesitar un nivel de protección
inferior tras la instalación inicial para garantizar un rendimiento del servidor correcto.
10
Guía de optimización de Forefront Security
para Exchange Server: durante un brote de
virus
Durante un "brote" de virus, se recomienda habilitar la característica Examinar al actualizar
el detector de Opciones generales. Así, el correo electrónico se vuelve a examinar cada
vez que se actualizan los motores de detección.
Normalmente, no se debe seleccionar esta opción pero, si el servidor posee mucha
capacidad libre y el correo electrónico no se ve afectado, al tener activada esta opción
constantemente, se obtiene el mejor nivel de protección. Tenga en cuenta, no obstante, que
al seleccionar esta característica, el rendimiento puede verse afectado considerablemente
cuando se trata de un servidor con mucha carga de trabajo, ya que se produce un aumento
de la detección en el almacén.
También puede usar la detección en segundo plano (que aplica las firmas más recientes
para los motores seleccionados para el trabajo de detección en tiempo real) para examinar
un servidor de buzón tras producirse un brote de virus conocido. Así, se eliminará en el
servidor el malware recibido antes que estuvieran disponibles las firmas de protección. Si se
dispone de información adicional acerca de características específicas del correo electrónico
malintencionado, se pueden habilitar filtros de archivo, de asunto o de remitente en el trabajo
de detección en tiempo real.
Guía de optimización de Forefront Security
para Exchange Server: Opciones generales
El panel Opciones generales, al que se tiene acceso desde el control
CONFIGURACIÓN del Administrador de Forefront Server Security, proporciona acceso a
diferentes opciones de nivel del sistema para Forefront Security para Exchange Server, lo
que elimina la necesidad de tener acceso directamente al Registro para cambiar la
configuración.
Aunque hay muchas opciones que se pueden controlar mediante el panel Opciones
generales, cada una de ellas tiene un valor predeterminado (habilitada, deshabilitada o un
valor), que probablemente sea el correcto para su empresa. Es poco frecuente que deba
cambiarse la mayoría de estas opciones.
11
Opciones generales: opciones importantes
Conviene prestar especial atención a estas opciones de configuración:
Lista de notificaciones críticas
Si FSE encuentra problemas y deja de
realizar la detección correctamente (si se
inicia el almacén de Exchange y FSE no está
conectado o si se cierra incorrectamente el
almacén), FSE envía una notificación a todas
las direcciones de correo electrónico que
figuran en la Lista de notificaciones críticas.
No olvide separar las direcciones de correo
electrónico con el carácter de punto y coma
(;). Se recomienda configurar esta opción
inmediatamente después de instalar el
producto.
Detección en el cuerpo: tiempo real
FSE puede examinar el cuerpo del mensaje
en busca de virus incrustados. Puesto que la
detección en el cuerpo del mensaje afecta
considerablemente al rendimiento, está
deshabilitada de manera predeterminada en
el trabajo de detección en tiempo real.
Normalmente, la mejor opción es mantenerla
deshabilitada para la detección en tiempo
real, excepto si se produce un brote de virus
que aparezca en el cuerpo del mensaje. La
detección en el cuerpo del mensaje siempre
está habilitada para el trabajo de detección
en transporte.
Eliminar archivos comprimidos
Se recomienda mantener habilitada esta
opción (valor predeterminado). Conviene
seleccionarla porque Forefront no podrá
analizar el archivo.
dañados
Eliminar archivos Uuencode dañados
Se recomienda mantener habilitada esta
opción (valor predeterminado). Conviene
seleccionarla porque Forefront no podrá
analizar el archivo.
Eliminar archivos comprimidos cifrados
Debe seleccionar esta opción, puesto que los
motores de detección antivirus no pueden
examinar los archivos cifrados.
12
Tratar los archivos RAR de varias partes
como archivos comprimidos dañados
Consulte la sección Consideraciones acerca
de los archivos RAR.
Examinar archivos Doc como contenedores:
Debe seleccionar esta opción, puesto que los
virus y los gusanos pueden estar incrustados
en archivos contenedores (como .doc, .xls,
.ppt y .shs). También debe habilitar la opción
equivalente para los trabajos de detección en
transporte y en tiempo real.
manual
Optimizar rendimiento evitando
volver a examinar mensajes que ya se
examinaron
en busca de virus: transporte
Conviene dejar seleccionada esta opción
para obtener las mejoras de rendimiento
proporcionadas por el sello antivirus. Para
identificar el correo que ya se haya
examinado, se escribe un sello de
encabezado antivirus seguro en cada
mensaje cuando se examina por primera vez
en el servidor perimetral o concentrador. En
las operaciones de detección posteriores
(concentrador o almacén), se busca este
sello y, si está presente, no se vuelve a
examinar el mensaje. Cuando está
habilitada, no se vuelven a examinar los
mensajes que ya examinó correctamente
otro servidor de transporte (concentrador o
perimetral). Para hacer que el servidor de
buzón vuelva a examinar elementos,
consulte la descripción de la clave del
Registro DisableAVStamping en la sección
“Consideraciones de detección”.
13
Examinar al actualizar el detector
Durante un "brote" de virus, se recomienda
activar esta opción para hacer que se
examine el correo cada vez que se actualiza
un motor. Obtendrá la mejor protección
porque la detección se realizará siempre con
las firmas más recientes. Una vez pasado el
brote, desactive la opción, puesto que podría
afectar negativamente al rendimiento del
sistema.
Importante
Cuando está habilitada la opción
Examinar al actualizar el detector y
se produce una actualización del
motor mientras se está ejecutando
una detección en segundo plano, la
detección en segundo plano vuelve a
iniciarse desde el primer mensaje de
correo electrónico del buzón que se
estaba examinando. Si siguen
produciéndose actualizaciones del
motor antes de que finalice la
detección en segundo plano, ésta
seguirá ejecutándose de forma
indefinida. Por lo tanto, se
recomienda no programar
detecciones en segundo plano para
conjuntos de datos de gran tamaño
cuando esté habilitada la opción
Examinar al actualizar el detector.
14
Recuento de procesos en tiempo real
Para mejorar el rendimiento, FSE permite la
creación de procesos adicionales para el
trabajo de detección en tiempo real. Si el
primer proceso está ocupado examinando un
archivo, el segundo proceso inicia la
detección y así sucesivamente. Este valor
puede cambiarse para incrementar el número
de procesos hasta diez. El servicio de
Forefront debe reciclarse para que el cambio
surta efecto. No obstante, tenga cuidado
cuando incremente el número de procesos,
puesto que cada uno consumirá recursos de
servidor adicionales. Conviene incrementar
su número de uno en uno y evaluar el
rendimiento paso a paso. Se recomienda
establecer el número de procesos en el doble
del número de procesadores activos del
servidor. Por ejemplo, un servidor con dos
procesadores o un servidor con un
procesador dual deberán tener la opción
Recuento de procesos en tiempo real
establecida en cuatro (valor predeterminado).
Si el servidor contiene dos procesadores
duales, el valor recomendado es ocho. Esta
recomendación se aplica también a la opción
Recuento de procesos de transporte.
Cancelar seguridad de cuarentena
Aunque se recomienda el Modo seguro
predeterminado porque es más seguro, esta
opción puede suponer mucha sobrecarga
administrativa. Con el Modo seguro, si
necesita retirar un archivo de cuarentena,
deberá deshabilitar completamente el filtro de
archivos que puso el archivo en cuarentena
para poder retirarlo y, después, deberá volver
a habilitar el filtro. Por este motivo, es posible
que prefiera utilizar el Modo de
compatibilidad.
15
Tamaño máximo de archivo contenedor
(bytes)
Se recomienda cambiar este valor para que
coincida con la directiva de correo electrónico
en lo referente al tamaño máximo permitido
de datos adjuntos de archivo. Si se detecta
una coincidencia de filtro o un virus, se
eliminarán automáticamente los datos
adjuntos cuyo tamaño supere este valor. El
valor predeterminado es 26.214.400 bytes.
Dirección interna
Se recomienda configurar las direcciones
que FSE considerará como internas. Use
este campo para un número reducido de
direcciones o el archivo externo Domains.dat
si se trata de un número elevado.
Habilitar detección en segundo plano si se
habilitó
Inicia una detección en segundo plano cada
vez que se actualiza un motor de detección si
está habilitada la opción general Examinar al
actualizar el detector. Se recomienda dejar
esta opción habilitada, incluso si Examinar al
actualizar el detector esté deshabilitada. La
detección en segundo plano sólo se aplica a
una función del servidor Buzón de correo que
tenga FSE instalado.
'Examinar al actualizar el detector'
Examinar mensajes recibidos en
los últimos x días
Para el almacén, se recomienda configurar
FSE de modo que examine el correo
electrónico recibido durante los dos días
anteriores (valor predeterminado). La
configuración de la detección en segundo
plano de Opciones generales sólo surte
efecto si está programada una detección en
segundo plano. Se recomienda ejecutar la
detección en segundo plano en el horario de
mínima actividad del servidor de buzón.
Consideraciones acerca de los archivos RAR
Un archivo RAR puede contener tanto archivos RAR completos como parciales. Los que
contienen archivos parciales se denominan archivos RAR de varias partes. Por ejemplo,
supongamos que recibe dos archivos RAR (en un solo mensaje de correo electrónico o en
dos). El primero contiene 50 archivos RAR comprimidos completos y parte de otro archivo. El
segundo contiene el resto del archivo parcial y 25 archivos RAR comprimidos completos
16
adicionales. Las acciones posteriores se basan en los valores de dos opciones generales:
“Tratar los archivos RAR de varias partes como archivos comprimidos dañados” y “Eliminar
archivos comprimidos dañados”. A continuación, figuran las diversas combinaciones:
Tratar los archivos RAR de
Eliminar archivos
varias partes como archivos
comprimidos dañados
Resultado
comprimidos dañados
Habilitada
Habilitada
El archivo se trata como un
archivo comprimido dañado y
se eliminan los datos
adjuntos sin examinarse.
Aunque esta combinación
ofrece la menor flexibilidad
en el uso de formatos de
compresión, es la
configuración
predeterminada y deberá
usarse si no se necesita
admitir archivos RAR de
varias partes.
17
Tratar los archivos RAR de
Eliminar archivos
varias partes como archivos
comprimidos dañados
Resultado
comprimidos dañados
Deshabilitada
Deshabilitada
En el caso de un archivo
RAR no dañado, los motores
antivirus examinarán todos
sus archivos y también se
examinará el propio archivo
RAR. Si el archivo RAR
contiene uno o varios
archivos dañados, sólo se
examinará el propio archivo
RAR. En ambos casos, si un
motor detecta un virus, se
intentará limpiarlo. Si no se
puede limpiar el virus, se
eliminará el archivo RAR de
varias partes entero. Los
archivos que contengan
correo electrónico sin virus
detectados se enviarán al
destinatario. A pesar de que,
al deshabilitar estas
opciones, se obtiene una
mayor flexibilidad en el uso
de formatos de compresión,
no se recomienda hacerlo a
menos que su habilitación
impida la entrega de correo
esencial.
18
Tratar los archivos RAR de
Eliminar archivos
varias partes como archivos
comprimidos dañados
Resultado
comprimidos dañados
Deshabilitada
Habilitada
Si el archivo RAR contiene
uno o varios archivos
dañados, se eliminará sin
examinarlo. Si el archivo
RAR no está dañado, los
motores antivirus examinarán
todos sus archivos. Si se
detecta un virus que no se
puede limpiar, se eliminará el
archivo que lo contiene del
archivo RAR. A continuación,
se examinará el propio
archivo RAR y, si se detecta
un virus que no se puede
limpiar, se eliminará el
archivo RAR de varias partes
entero. Los archivos que
contengan correo electrónico
sin virus detectados se
enviarán al destinatario.
Puesto que esta combinación
de opciones le protege de
archivos comprimidos
dañados, se recomienda
usarla si no se necesita
admitir archivos RAR de
varias partes.
19
Tratar los archivos RAR de
Eliminar archivos
varias partes como archivos
comprimidos dañados
Resultado
comprimidos dañados
Habilitada
Deshabilitada
Todos los archivos RAR de
varias partes se tratarán
como archivos comprimidos
dañados. Se examina
solamente el propio archivo
RAR y, si se detecta un virus
que no se puede limpiar, se
elimina el archivo RAR de
varias partes entero. Los
archivos que contengan
correo electrónico sin virus
detectados se enviarán al
destinatario. Puesto que esta
combinación de opciones
ofrece la peor eficacia en
cuanto a la detección de
virus, no se recomienda
utilizarla.
Exchange Best Practices Analyzer
La herramienta Microsoft Exchange Best Practices Analyzer recopila opciones de
configuración y valores del Registro, Active Directory (AD), la metabase y el monitor de
rendimiento. Estas opciones se comparan con un conjunto de reglas de optimización. A
continuación, la herramienta genera un informe que le ofrece recomendaciones para mejorar
el sistema.
Puede obtener Exchange Best Practices Analyzer en la página de descarga de Exchange
Best Practices Analyzer.
Entre los elementos que comprueba Exchange Best Practices Analyzer, figuran la
configuración de Opciones generales, si se han iniciado los servicios de FSE y los siguientes
valores del Registro que no se encuentran disponibles en Opciones generales. Para obtener
más información acerca de los valores del Registro, consulte la sección "Claves del Registro"
en el "Manual del usuario de Microsoft Forefront Security para Exchange Server".
20
InternetTimeout
Para evitar que se produzcan problemas de tiempo de espera durante la detección en
transporte, puede intentar aumentar el tiempo especificado en el valor del Registro
InternetTimeout. Puesto que es un valor oculto del Registro, debe crear un nuevo valor del
Registro DWORD denominado InternetTimeout y establecer el tiempo en milisegundos. Si se
establece un valor demasiado bajo, puede suceder que se agote demasiado pronto el tiempo
de espera del detector de virus durante el procesamiento de un elemento. Si se establece un
valor demasiado alto, puede hacer que el detector de virus dedique demasiado tiempo al
procesamiento de un elemento. Por lo tanto, se recomienda usar un valor mínimo de 150000
y un valor máximo de 660000.
RealtimeTimeout
Para evitar que se produzcan problemas de tiempo de espera al examinar el almacén, puede
intentar aumentar el tiempo especificado en el valor del Registro RealtimeTimeout. Este valor
se crea y configura del mismo modo que la clave del Registro InternetTimeout.
Guía de optimización de Forefront Security
para Exchange Server: consideraciones de
detección
Esta sección trata los efectos de las distintas opciones de detección en la detección en
transporte (trabajo de detección en transporte) y en la detección en almacén (trabajo de
detección en tiempo real o manual). La detección en almacén incluye cuatro opciones que
puede habilitar según desee: dos en Opciones generales (Examinar al actualizar el
detector y Habilitar detección en segundo plano si se habilitó 'Examinar al actualizar el
detector') y dos en el Registro (DisableAVStamping y Análisis proactivo). Cada opción
afecta al comportamiento de la detección en almacén (DisableAVStamping también afecta
a la detección en transporte). Por lo general, a medida que se habilitan opciones adicionales,
aumenta la detección en almacén y el nivel de protección. No obstante, un aumento de la
detección puede afectar negativamente al rendimiento.
Examinar al actualizar el detector [Opción
general]
Hace que se vuelvan a examinar los archivos examinados previamente cuando se obtiene
acceso a ellos tras una actualización del motor de detección. Proporciona una mayor
seguridad al volver a examinar mensajes con las firmas más recientes. Esta opción sólo se
21
aplica a la función del servidor Buzón de correo. Para obtener más procedimientos
recomendados acerca de las actualizaciones de detectores, consulte Guía de optimización
de Forefront Security para Exchange Server: actualización de motores.
Habilitar detección en segundo plano si se
habilitó 'Examinar al actualizar el detector'
[Opción general]
Inicia una detección en segundo plano cada vez que se actualiza un motor de detección si
está habilitada la opción general Examinar al actualizar el detector. Esta opción sólo se
aplica a la función del servidor Buzón de correo. Puesto que las actualizaciones del motor
son frecuentes, esta opción iniciará una detección en segundo plano en almacenes de buzón
de gran tamaño.
DisableAVStamping [Registro]
Después de examinar cada mensaje de la función de transporte de Exchange 2007, FSE
aplica un sello antivirus seguro. Así se evita la detección duplicada de mensajes en la
función del servidor Buzón de correo cuando el mensaje se deposita en el almacén.
Se recomienda usar el sello de transporte antivirus seguro de manera predeterminada. Sólo
se debe desactivar cuando se van a usar motores u opciones de filtrado diferentes en el
servidor de transporte y en el servidor de buzón. De lo contrario, la detección se duplicará
innecesariamente.
La clave del Registro "DisableAVStamping" le permite invalidar la configuración
predeterminada recomendada. De esta forma, se suprimirá el sello de transporte y el
servidor de buzón tratará el mensaje como si no se hubiera examinado previamente.
Para invalidar la configuración predeterminada, agregue un nuevo valor DWORD
denominado "DisableAVStamping" con un valor de "1". Este valor no está presente de
manera predeterminada y se supone que es "0" (predeterminado).
FSE almacena valores del Registro en las ubicaciones siguientes:
Para sistemas de 32 bits:

HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server
Para sistemas de 64 bits:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server
22
Análisis proactivo [Registro]
Cuando el valor de DisableAVStamping se establece en "1", se recomienda habilitar también
el análisis proactivo en todos los servidores de buzón que son destino de enrutamiento del
servidor de transporte. De este modo, el correo recién llegado al servidor de buzón se pone
en cola para examinarlo. También se recomienda habilitar el análisis proactivo en los
servidores de carpetas públicas. Para habilitar el análisis proactivo en la función del servidor
Buzón de correo o de carpetas públicas, establezca el valor DWORD de la siguiente clave de
Exchange en "1" (normalmente está deshabilitada, con el valor "0"):

HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Guía de optimización de Forefront Security
para Exchange Server: detección en
transporte
Esta sección describe los efectos que tienen las distintas opciones sobre la detección en
transporte.
Detección en transporte con configuración
predeterminada
Forefront Security para Exchange Server se ha diseñado para reducir la detección
redundante siempre que sea posible. Por lo tanto, cuando el correo electrónico se encuentra
en tránsito (entrante, saliente o interno), el primer nodo de transporte (perimetral o
concentrador) será el único que examinará el mensaje y escribirá el sello de transporte
antivirus en él. Los siguientes nodos respetarán el sello de transporte y no volverán a
examinar el mensaje. Se recomienda configurar todos los nodos de transporte de modo que
usen los mismos motores de detección y los mismos valores de diferencia.
Detección en transporte con el sello de
transporte desactivado
Si está desactivado el sello de transporte antivirus (se desactivó la opción “Optimizar
rendimiento evitando volver a examinar mensajes que ya se examinaron en busca de
virus: transporte” en Opciones generales), cada trabajo de detección en transporte
examinará mensajes (entrantes, salientes o internos) en todos los nodos de transporte
(perimetrales o concentradores). Use este modo cuando desee realizar la detección con
distintos motores en cada función de servidor.
23
Detección en transporte para mensajes
salientes
Según las normas de etiqueta en Internet, los mensajes salientes de correo electrónico
deben examinarse siempre en busca de virus. Este procedimiento también puede protegerle
de problemas legales si un equipo infectado de su empresa intenta enviar virus
(comportamiento habitual de los virus tipo gusano).
Guía de optimización de Forefront Security
para Exchange Server: detección en
almacén
Las siguientes secciones muestran, en formato tabular, los efectos de las distintas opciones
sobre la detección en almacén.
Detección en almacén con la configuración
predeterminada
La siguiente tabla describe la detección en almacén predeterminada usada por Forefront
Security para Exchange Server. Se trata del comportamiento que se observa cuando no se
modifica ninguna opción predeterminada.
Modo normal (configuración predeterminada)
Al entregar en almacén (análisis proactivo)
No examinar
Al primer acceso, si la antigüedad del correo
no supera el valor límite de primer acceso*
Examinar sólo si no se examinó
anteriormente
Al primer acceso, si la antigüedad del correo
supera el valor límite de primer acceso*
No examinar
En accesos posteriores
No examinar
Durante la detección en segundo plano
Examinar siempre
Durante la detección manual
Examinar siempre
24
Nota
Los elementos marcados con asterisco (*) están relacionados con el valor límite de
primer acceso. Para obtener más información acerca de este valor, consulte
Detección al primer acceso del servidor de buzón de Exchange 2007.
Las siguientes tablas muestran desviaciones del modo normal al habilitarse las distintas
opciones.
Detección en almacén con una sola opción
habilitada
Las siguientes tablas muestran el efecto de habilitar una opción de detección en almacén
adicional al ejecutar un trabajo de detección en tiempo real o manual.
Examinar al actualizar el detector habilitada
Al primer acceso
Examinar siempre
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
Análisis proactivo habilitado (mediante clave
del Registro)
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
No examinar con análisis proactivo
Clave del Registro DisableAVStamping
habilitada
Al primer acceso
Examinar siempre
Detección en almacén con dos opciones
habilitadas
Las siguientes tablas describen el efecto de habilitar combinaciones de dos opciones de
detección en almacén.
25
Examinar al actualizar el detector habilitada
Habilitar detección en segundo plano si se
habilitó 'Examinar al actualizar el detector'
Al primer acceso
Examinar siempre
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
Frecuencia de detección en segundo plano
Iniciar detección en segundo plano cada vez
que se actualiza un motor
Examinar al actualizar el detector habilitada
Análisis proactivo habilitado (mediante clave
del Registro)
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
Examinar si se actualizó el motor desde el
análisis proactivo
En accesos posteriores
Examinar si se actualizó el motor desde la
última detección al primer acceso
Examinar al actualizar el detector habilitada
Clave del Registro DisableAVStamping
habilitada
Al primer acceso
Examinar siempre
En accesos posteriores
Examinar si se actualizó el motor desde la
última detección al primer acceso
Análisis proactivo habilitado
Clave del Registro DisableAVStamping
habilitada
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
Examinar si se actualizó el motor desde el
análisis proactivo
26
Análisis proactivo habilitado
Clave del Registro DisableAVStamping
habilitada
En accesos posteriores
Examinar si se actualizó el motor desde la
última detección al primer acceso
Detección en almacén con tres opciones
habilitadas
Las siguientes tablas describen el efecto de habilitar combinaciones de tres opciones de
detección en almacén.
Examinar al actualizar el detector habilitada
Habilitar detección en segundo plano si se
habilitó 'Examinar al actualizar el detector'
Análisis proactivo habilitado mediante clave
del Registro
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
Examinar si se actualizó un motor desde el
análisis proactivo
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
Frecuencia de detección en segundo plano
Iniciar detección en segundo plano cada vez
que se actualiza un motor
Examinar al actualizar el detector habilitada
Análisis proactivo habilitado mediante clave
del Registro
Deshabilitar sello antivirus habilitada
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
Examinar si se actualizó un motor desde el
análisis proactivo
27
Examinar al actualizar el detector habilitada
Análisis proactivo habilitado mediante clave
del Registro
Deshabilitar sello antivirus habilitada
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
Examinar al actualizar el detector habilitada
Habilitar detección en segundo plano si se
habilitó 'Examinar al actualizar el detector'
Deshabilitar sello antivirus habilitada
Al primer acceso
Examinar siempre
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
Detección en almacén con cuatro opciones
habilitadas
Las siguientes tablas describen el efecto de habilitar las cuatro opciones de detección en
almacén.
Examinar al actualizar el detector habilitada
Habilitar detección en segundo plano si se
habilitó 'Examinar al actualizar el detector'
Análisis proactivo habilitado
Deshabilitar sello antivirus habilitada
Al entregar en almacén (análisis proactivo)
Examinar siempre
Al primer acceso
Examinar si se actualizó un motor desde el
análisis proactivo
En accesos posteriores
Examinar si se actualizó un motor desde la
detección al primer acceso anterior
28
Guía de optimización de Forefront Security
para Exchange Server: actualización de
motores
Se recomienda usar el método UNC de actualización para los motores de detección. En este
método, uno o dos servidores ("concentradores") reciben actualizaciones del servidor HTTP
de Microsoft y, a continuación, comparten las actualizaciones con el resto de los servidores
("radiales") del entorno, cuyas rutas de actualización de red señalan a esos servidores. Esto
puede constituir un gran ahorro de ancho de banda de Internet y hacer que las
actualizaciones sean más rápidas y eficientes. Al usar dos servidores concentradores en
lugar de uno solo, puede evitar un único punto de posibles errores si uno de los servidores
concentradores experimentara problemas.
Nota
Los dos nodos de un servidor agrupado CCR se configuran como servidores de
redistribución y deben seguir teniendo seleccionada esta opción de configuración.
Para usar el método de actualización UNC, consulte el capítulo "Actualización de los
detectores para archivos"del "Manual del usuario de Microsoft Forefront Security para
Exchange Server".
Las actualizaciones deben escalonarse en el entorno de modo que el nivel perimetral
actualice primero sus motores y los servidores back-end actualicen los suyos
posteriormente. De este modo, si una actualización produce un comportamiento inesperado,
dispone del intervalo de tiempo que especificó (por ejemplo, 30 minutos) para asegurarse de
que la actualización problemática no llegue a los servidores back-end.
Deberá conocer bien las características específicas de los motores que emplea. Algunos
laboratorios antivirus publican firmas más a menudo que otros, aunque todos los laboratorios
responden a brotes de virus importantes con actualizaciones más frecuentes. La
programación de actualización de los motores que se actualizan más a menudo que otros
deberá ajustarse en consecuencia.
Incluso si no usa uno de los motores, debería actualizarlo una vez al día para que las firmas
estén actualizadas en caso de necesitar activarlo.
29
Guía de optimización de Forefront Security
para Exchange Server: configuración del
antivirus
Configure el trabajo de detección seleccionando las opciones de motor, diferencia, acción y
cuarentena.
Guía de optimización de Forefront Security
para Exchange Server: parámetro
Diferencia
El parámetro Diferencia controla el número de motores empleados para proporcionar un
nivel aceptable de protección al sistema (habida cuenta de que cuanto más certera sea la
protección, menor será el rendimiento del sistema). Cuantos más motores use, mayor es la
probabilidad de detectar todos los virus. No obstante, al usar más motores, aumenta el
impacto sobre el rendimiento del sistema. Aunque Forefront Security para Exchange Server
usa un proceso de detección en memoria muy eficiente, cada motor adicional incrementa el
tiempo de detección y el uso de recursos.
En consecuencia, por una parte habría que considerar el número de motores que se pueden
usar para lograr una certeza máxima. Por otra parte, estaría el número de motores que
permiten el máximo rendimiento. En general, se recomienda usar todos los motores de
detección disponibles.
Puede utilizar una configuración de diferencia distinta en diferentes servidores, en función de
sus necesidades. Por ejemplo, tal vez desee utilizar sólo un motor individual en el servidor
de puerta de enlace para aumentar su rendimiento. Posteriormente, puede utilizar varios
motores en los servidores en los que el rendimiento no sea tan crítico.
Se recomienda usar los mismos motores y la misma configuración de diferencia en todos los
servidores de transporte perimetral y de concentradores (aunque para el servidor perimetral
convendría usar más motores y una configuración de diferencia superior para garantizar que
todo el correo sea examinado por varios motores). Así se garantiza el mismo nivel de
detección en el correo entrante, saliente e interno (que se examina en el concentrador
durante el tránsito) y se evita la detección redundante.
Nota
Al usar la opción Certeza máxima, el flujo de correo se detiene cada vez que se
actualiza un motor de detección porque Certeza máxima requiere que todos los
motores examinen todos los mensajes. Para proporcionar una cobertura completa de
30
motores antivirus, el correo se pone en cola hasta que finaliza la actualización del
motor antivirus (normalmente, menos de 30 segundos). Para evitarlo, deberá
seleccionar Favorecer certeza, en cuyo caso la detección y el flujo de correo
continúan en todos los otros motores mientras se actualiza uno de ellos.
Diferencia del trabajo de detección en
transporte
Se recomienda establecer el nivel de diferencia en Favorecer certeza. El trabajo de
detección en transporte es la primera línea de defensa del servidor contra mensajes y datos
adjuntos malintencionados y no deseados y, por lo tanto, es importante que se asuma la
mayor carga posible en este nivel.
Se recomienda usar la detección de mensajes entrantes, salientes e internos en todos los
servidores. Un mensaje que se transmita entre servidores Exchange en grupos de
enrutamiento distintos se transmitirá mediante SMTP y, de este modo, al realizar la
detección en este nivel, se puede identificar y detener un brote de un troyano de envío
masivo de correo electrónico SMTP.
Diferencia del trabajo de detección en tiempo
real
Se recomienda empezar con la opción Favorecer certeza, puesto que la seguridad de la
infraestructura de correo electrónico debería ser su principal preocupación. Esta opción
garantizará que la detección la lleven a cabo de tres a cinco motores de detección.
Nota
En Exchange 2007, la opción predeterminada es no examinar correo cuya
antigüedad supere el valor límite de primer acceso. Por lo tanto, el correo podrá
abrirse sin que haya pasado por ningún motor de detección. Para modificar este
comportamiento, consulte la sección “Guía de optimización de Forefront Security
para Exchange Server: consideraciones de implementación”.
Diferencia del trabajo de detección manual
Se recomienda usar el mismo parámetro de diferencia para el trabajo de detección manual
que para el trabajo de detección en tiempo real.
31
Guía de optimización de Forefront Security
para Exchange Server: Acción
Se recomienda establecer Acción en Eliminar: quitar infección para todos los trabajos de
detección.
Hace años, resultaba más útil que ahora intentar limpiar y reparar datos adjuntos, ya que los
virus podían limpiarse con mayor frecuencia y a menudo los documentos válidos estaban
infectados. El mundo de los virus ha cambiado mucho, con el resultado de que la amplia
mayoría de los virus actuales no se pueden limpiar. Además, los archivos infectados válidos
son muchos menos habituales. En la mayoría de los casos, los datos adjuntos completos
son un virus sin contenido válido. Puesto que, para intentar limpiar el virus, se requieren
recursos de procesamiento adicionales, la opción Eliminar resulta mucho más conveniente.
Guía de optimización de Forefront Security
para Exchange Server: archivos en
cuarentena
La característica Cuarentena proporciona un nivel adicional de seguridad porque permite
recuperar mensajes que se hayan etiquetado incorrectamente como virus. No obstante, la
cuarentena de archivos conlleva una sobrecarga, especialmente si se capturan muchos virus
al día. Las organizaciones de gran tamaño pueden bloquear millones de virus al mes. Sin
embargo, muchos de ellos pueden ser virus de tipo gusano que nunca se ponen en
cuarentena porque los gusanos se purgan siempre. Conviene siempre poner en cuarentena
los virus detectados, aunque puede decidir que resulta más adecuado eliminarlos
directamente, incluso arriesgándose a perder contenido válido en los mensajes de correo
electrónico. Si no se usa la cuarentena o el envío de notificaciones, se puede simplificar
considerablemente la administración de virus, pero conlleva el riesgo de perder
comunicaciones de correo electrónico que los usuarios desearan recibir.
Filtrado del trabajo de detección en
transporte
Se recomienda configurar una lista de filtros para el trabajo de detección en transporte que
contenga los tipos de archivo con mayor probabilidad de estar infectados.
Para disponer de capacidades de filtrado adicionales, pueden usarse las reglas de transporte
de Exchange 2007 (consulte los temas de Ayuda de Exchange 2007). Existe una diferencia
32
entre el filtrado de archivos de FSE y el de Exchange: Exchange filtra solamente por el
nombre de archivo, mientras que FSE intenta detectar y filtrar archivos que coinciden con el
tipo de archivo siempre que sea posible, incluso cuando se ha modificado el nombre de
archivo.
Nota
Deberá revisar esta lista periódicamente.
Para configurar una lista de filtros de tipos de archivo que pueden ser peligrosos
1. Cree una lista de filtros para todos los archivos con las siguientes extensiones:
Extensión
Tipo de archivo
*.ace
Archivo de almacenamiento
*.ade
Extensión de proyecto de Microsoft Access
*.adp
Proyecto de Microsoft Access
*.adt
Plantilla de documento de ACT!
*.app
Aplicación ejecutable
*.asp
Archivos de páginas Active Server
*.arj
Archivo de almacenamiento
*.asd
Archivos de Word que siempre contienen macros
*.bas
Módulo de clase de Microsoft Visual Basic
*.bat
Archivos por lotes
*.bin
Archivo binario
*.btm
Archivo por lotes de lote a memoria
*.cbt
Aprendizaje asistido por PC
*.ceo
Virus
*.chm
Archivo de Ayuda HTML compilada
*.cmd
Script de comandos de Microsoft Windows NT
*.cla
Archivo de clase Java
*.class
Archivo de clase Java
*.com
Programa de Microsoft MS-DOS
*.cpl
Extensión de Panel de control
33
*.crt
Certificado de seguridad
*.csc
Archivo de script de Corel
*.css
Archivo de hoja de estilos en cascada
*.dll
Archivos DLL
*.drv
Archivos de controlador
*.exe
Programa
*.email
Mensaje de correo electrónico de Outlook Express
*.fon
Archivo de fuente
*.hlp
Archivo de Ayuda
*.hta
Programa HTML
*.htm*
Archivos HTML
*.inf
Información de instalación
*.ins
Servicio de nombres Internet
*.isp
Configuración de comunicaciones de Internet
*.je
Archivo JScript
*.js
Archivo JScript
*.jse
Archivo de script codificado JScript
*.lib
Formato de archivo de objeto común de biblioteca de programas
*.lnk
Acceso directo
*.mdb
Archivo de base de datos de Access
*.mde
Base de datos MDE
*.mht
Página web archivada
*.mhtml
Página web archivada
*.mhtm
Página web archivada
*.msc
Documento de Microsoft Common Console
*.msi
Paquete de Microsoft Windows Installer
*.mso
Archivo de objeto de script matemático
*.msp
Revisión de Microsoft Windows Installer
*.mst
Archivos de origen de Microsoft Visual Test
34
*.obj
Código de objeto reubicable
*.ocx
Ejecutable de control de vinculación e incrustación de objetos
*.ov?
Archivo de OrgViewer
*.pcd
Imagen de Photo CD, script compilado de Microsoft Visual
*.pgm
Programa CGI
*.pif
Acceso directo a programa de MS-DOS
*.prc
Archivo de recursos de Palm Pilot
*.rar
Archivo de almacenamiento
*.reg
Entradas de registro
*.scr
Protector de pantalla
*.sct
Windows Script Component
*.shb
Acceso directo a un documento
*.shs
Shell Scrap Object
*.smm
Macro de AMI Pro
*.swf
Archivos de Macromedia
*.sys
Controlador de dispositivo del sistema
*.tar
Archivo de almacenamiento
*.url
Acceso directo a Internet
*.vb
Archivo VBScript
*.vbe
Archivo de script codificado VBScript
*.vbs
Archivo VBScript
*.vxd
Controlador de dispositivo virtual
*.wsc
Windows Script Component
*.wsf
Archivo de Windows Script
*.wsh
Archivo de configuración de Windows Script Host
*}
Filtro CLSID
2. Filtre estos archivos en cualquier archivo contenedor.
3. Asegúrese de que está seleccionada la opción Eliminar archivos comprimidos
dañados en Opciones generales.
35
4. Asegúrese de que está seleccionada la opción Eliminar archivos comprimidos
cifrados en Opciones generales.
5.
Habilite el filtro (Habilitar).
6. Guarde el filtro.
36
Related documents
Forefront Security de Microsoft para Exchange Server
Forefront Security de Microsoft para Exchange Server
¿Cuál es la diferencia entre las cuarentenas del brote y del virus?
¿Cuál es la diferencia entre las cuarentenas del brote y del virus?
Cómo combatir virus y gusanos
Cómo combatir virus y gusanos
ESA FAQ: Los filtros/brote de virus del brote filtran (VOF) el
ESA FAQ: Los filtros/brote de virus del brote filtran (VOF) el
manual de buen uso del correo electrónico
manual de buen uso del correo electrónico
¿Puede un solo mensaje terminar para arriba en las
¿Puede un solo mensaje terminar para arriba en las
Page 1 of 1 Partnerzone Seguridad 14/07/2010 http://www.idg.es
Page 1 of 1 Partnerzone Seguridad 14/07/2010 http://www.idg.es
Antivirus Forefront
Antivirus Forefront
Contrato de Nivel de Servicio para Servicios
Contrato de Nivel de Servicio para Servicios
Consideraciones para equipos con Windows 7
Consideraciones para equipos con Windows 7
Elegir un dataset de alguna página de datos abiertos que contenga
Elegir un dataset de alguna página de datos abiertos que contenga