dlp_930_pg_TP000036-a02_es-es

Gua del productoRevisin A

McAfee Data Loss Prevention Endpoint9.3.0

COPYRIGHTCopyright 2013 McAfee, Inc. Queda prohibida la copia sin autorizacin previa.

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee, el logotipo de McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM,Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTotal Protection, TrustedSource, VirusScan y WaveSecure son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresasfiliales en EE. UU. y otros pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros.Los nombres y las descripciones del producto y las funciones estn sujetos a cambios sin previo aviso. Visite mcafee.com para obtener informacinsobre los productos y las funciones ms recientes.

INFORMACIN DE LICENCIAAcuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULALOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA HA ADQUIRIDO,CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O CON LA ORDEN DE COMPRAQUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UNARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARG EL PAQUETE DE SOFTWARE). SI NOACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE OAL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO NTEGRO.

2 McAfee Data Loss Prevention Endpoint 9.3.0 Gua del producto

Contenido

Prefacio 7Acerca de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Bsqueda de documentacin de productos . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Introduccin 9Cmo funciona McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Clasificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Proteger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Supervisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Componentes del producto y su interaccin . . . . . . . . . . . . . . . . . . . . . . . 14Acerca del software cliente de McAfee Data Loss Prevention Endpoint . . . . . . . . . . 15

Despliegue2 Escenarios y opciones de despliegue 19

Seleccin de una opcin de producto de endpoint . . . . . . . . . . . . . . . . . . . . . 19Explicacin de la compatibilidad con versiones anteriores . . . . . . . . . . . . . . . . . . 20Instalacin recomendada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3 Planificacin del despliegue 23Verificacin de requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 24Configuracin del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Trabajo en un entorno de clster . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Preparacin del clster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Prueba del clster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Creacin y configuracin de carpetas de repositorio . . . . . . . . . . . . . . . . . . . . 28Configuracin de carpetas en Windows Server 2008 . . . . . . . . . . . . . . . . . 29Configuracin de carpetas en Windows Server 2003 . . . . . . . . . . . . . . . . . 30

Lista de comprobacin para la instalacin . . . . . . . . . . . . . . . . . . . . . . . . 31

Instalacin4 Instalacin del software McAfee DLP Endpoint 35

Instalacin de la extensin de McAfee Data Loss Prevention Endpoint . . . . . . . . . . . . . 35Inicializacin de la consola de directivas de McAfee DLP Endpoint . . . . . . . . . . . 36Ampliacin de la licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Incorporacin del paquete McAfee DLP Endpoint en ePolicy Orchestrator . . . . . . . . . . . 39

5 Instalacin de una ampliacin de versin 41Ampliacin del software McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . . . . . 43Ampliacin por fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

McAfee Data Loss Prevention Endpoint 9.3.0 Gua del producto 3

Restauracin de la directiva despus de la ampliacin . . . . . . . . . . . . . . . . . . . 45

6 Despliegue de McAfee DLP Endpoint 47Despliegue del software cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Definicin de una regla predeterminada . . . . . . . . . . . . . . . . . . . . . . 47Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator . . . . . . . . 48Verificacin de la instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Despliegue de directivas con ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 50Aplicacin de la directiva del sistema . . . . . . . . . . . . . . . . . . . . . . . 51Asignacin de una directiva o de la configuracin de los agentes . . . . . . . . . . . . 52Importacin de directivas y edicin de descripciones de directivas . . . . . . . . . . . 52Actualizacin de la directiva . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Configuracin y uso7 Configuracin de los componentes del sistema 57

Configuracin de los agentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Aplicacin de la configuracin global de los agentes . . . . . . . . . . . . . . . . . 58Importacin de la configuracin global de los agentes . . . . . . . . . . . . . . . . 58Restablecimiento de los valores de configuracin de los agentes . . . . . . . . . . . . 58

Configuracin de operacin en modo seguro . . . . . . . . . . . . . . . . . . . . . . . 58

8 Clasificacin del contenido confidencial 61Clasificacin por contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Utilizacin de diccionarios para clasificar el contenido . . . . . . . . . . . . . . . . 61Clasificacin del contenido con propiedades de documentos o extensiones de archivos . . . 63Definiciones de patrones de texto . . . . . . . . . . . . . . . . . . . . . . . . 63Lista blanca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Clasificacin por ubicacin de archivo . . . . . . . . . . . . . . . . . . . . . . . . . 70Modo de funcionamiento del anlisis de descubrimiento . . . . . . . . . . . . . . . 71Definicin de recursos compartidos de archivos de red . . . . . . . . . . . . . . . . 79Definicin de parmetros de red . . . . . . . . . . . . . . . . . . . . . . . . . 80Definicin de repositorios de documentos registrados . . . . . . . . . . . . . . . . 82

Clasificacin por destino de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . 84Cmo se controla el contenido de carcter confidencial en el correo electrnico . . . . . . 85Definicin de impresoras de red y locales . . . . . . . . . . . . . . . . . . . . . 87Control de la informacin cargada en sitios web . . . . . . . . . . . . . . . . . . 90

Clasificacin en uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Cmo categoriza las aplicaciones McAfee DLP Endpoint . . . . . . . . . . . . . . . 92Aplicaciones y modo de uso . . . . . . . . . . . . . . . . . . . . . . . . . . 93Adicin y eliminacin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . 98Definicin de tipos de archivos . . . . . . . . . . . . . . . . . . . . . . . . . 99

Reglas de clasificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Vinculacin de categoras a contenido mediante reglas de clasificacin . . . . . . . . . 101Creacin y definicin de reglas de clasificacin . . . . . . . . . . . . . . . . . . 102

9 Seguimiento de contenido con marcas y clasificaciones 107Utilizacin de marcas y categoras de contenido para clasificar contenido . . . . . . . . . . . 107

Creacin de marcas, categoras de contenido, catlogos y grupos . . . . . . . . . . . 108Vinculacin de marcas al contenido mediante reglas de marcado . . . . . . . . . . . . . . 110

Creacin y definicin de reglas de marcado . . . . . . . . . . . . . . . . . . . . 111Marcas manuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Aplicacin manual de marcas a los archivos . . . . . . . . . . . . . . . . . . . 114Eliminacin de marcas manuales del contenido . . . . . . . . . . . . . . . . . . 114

10 Aplicacin de la proteccin de McAfee DLP 115

Contenido


Proteccin de medios extrables . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Categorizacin de dispositivos con clases de dispositivos . . . . . . . . . . . . . . 116Control de dispositivos con definiciones de dispositivos . . . . . . . . . . . . . . . 119Reglas de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Parmetros de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Proteccin de archivos mediante la gestin de derechos . . . . . . . . . . . . . . . . . . 135Funcionamiento de Data Loss Prevention con gestin de derechos . . . . . . . . . . 137Usuarios de Adobe Rights Management . . . . . . . . . . . . . . . . . . . . . 138Definicin del servidor de Adobe RM y sincronizacin de directivas . . . . . . . . . . 139Definicin de un servidor de Microsoft Rights Management Service y sincronizacin de plantillas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Definicin de un servidor Seclore y sincronizacin de directivas . . . . . . . . . . . . 140

Control del contenido de carcter confidencial con reglas de proteccin . . . . . . . . . . . 141Reglas de proteccin del Portapapeles mejoradas . . . . . . . . . . . . . . . . . 142Funcionamiento de las reglas de proteccin . . . . . . . . . . . . . . . . . . . . 142Definiciones y cmo definen las reglas . . . . . . . . . . . . . . . . . . . . . . 146Eliminacin de reglas, definiciones, clases de dispositivos o grupos de usuarios . . . . . 164Utilizacin de definiciones predefinidas . . . . . . . . . . . . . . . . . . . . . 164

Limitacin de reglas con grupos de asignacin . . . . . . . . . . . . . . . . . . . . . 165Asignacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Grupos de asignacin de equipos . . . . . . . . . . . . . . . . . . . . . . . . 168

Supervisin y generacin de informes11 Supervisin y generacin de informes 171

Recopilacin y administracin de datos . . . . . . . . . . . . . . . . . . . . . . . . 171Administrador de incidentes de DLP/Eventos operativos de DLP . . . . . . . . . . . 172Tareas de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176Edicin del ejecutor de tareas . . . . . . . . . . . . . . . . . . . . . . . . . 177Creacin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178Funcionamiento con la base de datos . . . . . . . . . . . . . . . . . . . . . . 182Documentacin de eventos mediante pruebas . . . . . . . . . . . . . . . . . . . 182

Redaccin y control de acceso segn funciones . . . . . . . . . . . . . . . . . . . . . 185Proteccin de la confidencialidad con la redaccin . . . . . . . . . . . . . . . . . 185Control de acceso segn funciones . . . . . . . . . . . . . . . . . . . . . . . 188

12 Conjuntos de permisos y usuarios 189Conjuntos de permisos sobre DLP . . . . . . . . . . . . . . . . . . . . . . . . . . 189Creacin y definicin de administradores de McAfee DLP . . . . . . . . . . . . . . . . . 190Creacin y definicin de conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . 191

Solucin de problemas13 Solucin de problemas y operaciones no estndar 195

Herramientas del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Omisin de agente y funciones relacionadas . . . . . . . . . . . . . . . . . . . . . . 196

Solicitud de una clave de omisin . . . . . . . . . . . . . . . . . . . . . . . . 197Despliegue manual de los productos de software del endpoint de McAfee . . . . . . . . . . 198

Creacin de un paquete de instalacin . . . . . . . . . . . . . . . . . . . . . . 199Creacin de un anuncio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Creacin del paquete de desinstalacin de SMS . . . . . . . . . . . . . . . . . . 200Creacin de un paquete de desinstalacin de SMS para su ejecucin desde una lnea decomando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Temas avanzados: Ejecucin del robot de rastreo (crawler) de PST desde la lnea de comandos . 202

Contenido


ndice 203

Contenido


Prefacio

Contenido Acerca de esta gua Bsqueda de documentacin de productos

Acerca de esta guaEsta informacin incluye los destinatarios de la gua, las convenciones tipogrficas y los iconosutilizados, adems de cmo est organizada.

DestinatariosLa documentacin de McAfee se investiga y escribe cuidadosamente para sus destinatarios.La informacin de esta gua va dirigida principalmente a: Administradores: personas que implementan y aplican el programa de seguridad de la empresa. Responsables de seguridad: personas encargadas de determinar qu informacin es confidencial

y definir la directiva corporativa que protege la propiedad intelectual de la empresa.

ConvencionesEn esta gua se utilizan los siguientes iconos y convenciones tipogrficas.Ttulo de libro, trmino onfasis

Ttulo de un libro, captulo o tema; introduccin de un nuevo trmino;nfasis.

Negrita Texto que se enfatiza particularmente.Datos introducidos porel usuario, cdigo,mensajes

Comandos u otro texto que escribe el usuario; un ejemplo de cdigo;un mensaje que aparece en pantalla.

Texto de la interfaz Palabras de la interfaz del producto, como los nombres de opciones,mens, botones y cuadros de dilogo.

Azul hipertexto Un vnculo a un tema o a un sitio web externo.Nota: Informacin adicional, como un mtodo alternativo de acceso auna opcin.Sugerencia: Sugerencias y recomendaciones.

Importante/atencin: Consejo importante para proteger el sistema,la instalacin del software, la red, la empresa o los datos.Advertencia: Consejo especialmente importante para prevenir daosfsicos cuando se usa un producto de hardware.


Bsqueda de documentacin de productosMcAfee le proporciona la informacin que necesita en cada fase del proceso de implementacin delproducto, desde la instalacin al uso diario y a la solucin de problemas. Tras el lanzamiento de unproducto, su informacin se introduce en la base de datos online KnowledgeBase de McAfee.

Procedimiento1 Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.2 En Self Service (Autoservicio), acceda al tipo de informacin que necesite:

Para acceder a... Haga lo siguiente...Documentacin deusuario 1 Haga clic en Product Documentation (Documentacin del producto).

2 Seleccione un producto, despus seleccione una versin.3 Seleccione un documento del producto.

KnowledgeBase Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) paraencontrar respuestas a sus preguntas sobre el producto.

Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para verlos artculos clasificados por producto y versin.

PrefacioBsqueda de documentacin de productos


1 IntroduccinMcAfee Data Loss Prevention (McAfee DLP) protege a las empresas frente a los riesgos asociados conla transferencia de datos sin autorizacin desde dentro o fuera de la organizacin.McAfee Data Loss Prevention Endpoint (El software McAfee DLP Endpoint) es una solucin de agentebasada en contenido que supervisa las acciones de los usuarios de la empresa que afectan alcontenido de carcter confidencial en su propio entorno de trabajo, es decir, sus equipos.El software McAfee DLP Endpoint utiliza tecnologa de descubrimiento avanzada, reconocimiento depatrn de texto y diccionarios predefinidos para la identificacin de este contenido de carcterconfidencial e incorpora la administracin de dispositivos y el cifrado de capas adicionales de control.Funciona con software de proteccin de terceros como Adobe LiveCycle Rights Management, MicrosoftRights Management Service, Seclore FileSecure y Titus Message Classification para ampliar laseguridad de sus datos. Las directivas y reglas pueden configurarse de modo que se apliquen tantodentro como fuera de la red de la empresa o en ambos sitios.Esta gua proporciona toda la informacin necesaria para instalar, desplegar y usar el software McAfeeDLP Endpoint: configuracin de los agentes, creacin de las reglas de dispositivos, marcado yproteccin del contenido y supervisin de las directivas para evitar la prdida de datos.El software McAfee DLP Endpoint versin 9.3 se ejecuta en McAfee ePolicy Orchestrator (McAfeeePO), el administrador de directivas centralizado para sistemas y productos de seguridad. La versin9.3 puede instalarse en ePolicy Orchestrator 4.5, 4.6 o 5.0.

Contenido Cmo funciona McAfee DLP Endpoint Componentes del producto y su interaccin

1


Cmo funciona McAfee DLP EndpointMcAfee DLP Endpoint protege la informacin confidencial de la empresa mediante el despliegue dedirectivas compuestas por reglas de clasificacin, reglas de marcado, reglas de proteccin, reglas dedispositivos y asignaciones de grupos y usuarios.Las directivas de McAfee DLP Endpoint se supervisan y las acciones definidas mediante contenidoidentificado como confidencial se supervisan o se bloquean, segn sea necesario. En ciertos casos, elcontenido de carcter confidencial se cifra antes de permitir la accin. El contenido se almacena comoprueba y se generan informes para facilitar la revisin y el control del proceso.

Figura 1-1 Flujo de trabajo de McAfee DLP Endpoint

ClasificarPara proteger el contenido de carcter confidencial, el McAfee DLP administrador comienza por definiry clasificar lo que debe protegerse. El contenido puede clasificarse por:Ubicacin Las ubicaciones pueden definirse de acuerdo al origen del contenido (por ejemplo,

la carpeta Departamento de finanzas) o al destino donde se copia (por ejemplo,una unidad flash no cifrada). Una categora especial es el Repositorio dedocumentos registrados.

Tipo decontenido

Entre los tipos de contenido se encuentran el contenido cifrado, el contenido conpropiedades de documentos o tipos de archivos especficos, o el contenido conmarcas o categoras de contenido.

Trminosespecficos

Los diccionarios definen listas de palabras sensibles. Por ejemplo, para proteger lainformacin mdica privada, el diccionario de HIPAA incluye trminos mdicos quedeben conservar su confidencialidad.

Patrones detexto

Para clasificar informacin pueden usarse cadenas definidas, como Confidencial dela empresa, o expresiones regulares que pueden usarse para identificar nmerosde tarjeta de crdito u otros patrones regulares.

1 IntroduccinCmo funciona McAfee DLP Endpoint


El correo electrnico puede clasificarse con la popular aplicacin Titus Message Classification. Lasclasificaciones de Titus se reconocen como patrones de texto que se utilizan para crear reglas deproteccin de correo electrnico.

Reglas de clasificacinLas reglas de clasificacin aplican categoras de contenido segn el anlisis del contenido y sucorrespondencia con patrones o palabras clave predefinidos. Existen dos tipos de reglas declasificacin: Reglas de clasificacin del contenido que comparan el contenido con cadenas predefinidas y

con patrones de texto o diccionarios. Reglas de clasificacin de documentos registrados que clasifican todo el contenido

especificado en un grupo de carpetas definido.Vase tambin Creacin de una definicin de repositorio de documentos registrados en la pgina 83

SeguimientoPara realizar un seguimiento del contenido de carcter confidencial, se aplica una marca o unacategora de contenido al archivo que incluye este tipo de contenido. Las marcas se almacenan en losatributos extendidos (EA) o los flujos alternativos de datos (ADS, Alternate Data Streams) de unarchivo. Al acceder a estos archivos, el software McAfee DLP Endpoint realiza un seguimiento de latransformacin de los datos y mantiene la clasificacin del contenido de carcter confidencial de formapermanente, con independencia de cmo se utiliza. Si, por ejemplo, un usuario abre un documento deWord marcado, copia unos prrafos del documento en un archivo de texto y adjunta dicho archivo aun mensaje de correo electrnico, el mensaje saliente tendra la misma marca que el documentooriginal.

Compatibilidad con informacin de marcas persistenteEn el caso de sistemas de archivos que no sean compatibles con EA o ADS, el software McAfee DLPEndpoint almacena la informacin de marcas en el disco en forma de metarchivo. Los metarchivos sealmacenan en una carpeta oculta cuyo nombre es ODB$ y que es creada automticamente por elsoftware cliente de McAfee DLP Endpoint.

Reglas de marcadoLas reglas de marcado y clasificacin, basadas en las necesidades de la empresa, identifican lainformacin confidencial y sus orgenes. La informacin se puede clasificar por: Aplicacin: las reglas de marcado basadas en la aplicacin aplican marcas que, por lo general, se

basan en la aplicacin o las aplicaciones que crean un archivo (como se especifica en lasdefiniciones de la aplicacin) o en el tipo o la extensin del archivo.

Ubicacin: cuando un proceso local accede o copia un archivo, se aplican reglas de marcadobasadas en la ubicacin del archivo de origen. Por ejemplo, cuando se copia un archivo de formalocal desde un recurso compartido de un servidor de red.

Puede agregar patrones de texto y diccionarios a una regla de marcado basada en la ubicacin o en laaplicacin combinando ambos tipos de reglas.

Adems de usar reglas de marcado, pueden aplicarse marcas manualmente o durante el proceso dedescubrimiento

IntroduccinCmo funciona McAfee DLP Endpoint 1


Reglas de descubrimientoMcAfee Data Loss Prevention Discover es un robot de rastreo (crawler) que se ejecuta en equiposgestionados. Las reglas de descubrimiento de almacenamiento de correo electrnico y del sistema dearchivos pueden definir el contenido que se busca, ya sea para supervisarlo, ponerlo en cuarentena omarcarlo, y tanto si se deben almacenar pruebas como si no. Las reglas de descubrimiento del sistemade archivos tambin pueden utilizarse para cifrar archivos o aplicarles directivas de gestin dederechos. Los ajustes de la configuracin global del agente determinan cundo y dnde se efecta labsqueda.

ProtegerLa proteccin se define con las reglas de dispositivos y de proteccin que pueden filtrarse por gruposde usuarios (aplicaciones). Las reglas se aplican con directivas. Las excepciones se definen con listasblancas.

Reglas de proteccinLas reglas de proteccin impiden la distribucin no autorizada de datos marcados. Cuando un usuariointenta copiar o adjuntar datos marcados, las reglas de proteccin determinan si estas acciones debenpermitirse, supervisarse o bloquearse. Adems de las marcas y categoras de contenido, las reglas deproteccin se definen con aplicaciones o grupos de aplicaciones, asignaciones de usuarios ydefiniciones como destinos de correo electrnico, propiedades de documento o patrones de texto.

Reglas de dispositivosLas reglas de dispositivos supervisan y, en caso necesario, impiden que el sistema cargue dispositivosfsicos como dispositivos de almacenamiento extrables, Bluetooth, WiFi y otros dispositivos Plug andPlay. Las clases y definiciones de dispositivos se utilizan para definir las reglas de dispositivos.

Grupos de asignacinLos grupos de asignacin aplican reglas de proteccin especficas a distintos grupos, usuarios yequipos de la empresa.

Directivas y despliegue de directivasUna directiva es la combinacin de reglas de marcado, reglas de proteccin, definiciones y grupos deasignacin. Las directivas se despliegan mediante el software ePolicy Orchestrator en los equiposgestionados de la empresa (equipos con McAfee Agent instalado).

Listas blancasLas listas blancas son recopilaciones de elementos que el sistema debe ignorar. McAfee DLP Endpointutiliza cuatro tipos de listas blancas: Aplicacin: las reglas de dispositivos pueden bloquear aplicaciones ejecutadas desde dispositivos

extrables. Para permitir las aplicaciones necesarias como el software de cifrado, se pueden creardefiniciones de aplicacin en lista blanca para que dichas aplicaciones se excluyan de la regla debloqueo. Las definiciones se aplican slo a dispositivos de almacenamiento extrables.

Contenido: la carpeta de la lista blanca contiene archivos de texto que definen contenidos(normalmente repetitivos) que no estn marcados ni restringidos. Su propsito principal es mejorarla eficiencia del proceso de marcado ignorando el contenido estndar que no necesita proteccin.

1 IntroduccinCmo funciona McAfee DLP Endpoint


Dispositivos Plug and Play: algunos dispositivos Plug and Play no llevan a cabo la administracinde dispositivos de forma ptima. El intento de gestionarlos puede provocar una interrupcin en larespuesta del sistema u otros problemas graves. Los dispositivos Plug and Play de la lista blanca seexcluyen automticamente cuando se aplica una directiva.

Impresoras: para impedir la impresin de datos confidenciales, McAfee DLP Endpoint sustituye elcontrolador original de la impresora por un controlador proxy que intercepta las operaciones deimpresin y las transfiere al controlador original. En algunos casos, los controladores de impresorano funcionan en esta arquitectura, por lo que la impresora deja de responder. Las impresoras delista blanca estn excluidas del proceso de instalacin del controlador proxy.

SupervisarCuando la aplicacin de una regla bloquea, supervisa o provoca otro tipo de accin, se genera unevento que se enva al Analizador de eventos de ePolicy Orchestrator y se almacena en una base dedatos. El evento puede contener evidencia de la infraccin de la regla. Adems, los eventos de sistemageneran eventos administrativos como el despliegue de directivas o los anlisis de descubrimiento. Lafuncin de supervisin de directivas incluye: Supervisin de incidentes: la pgina Administrador de incidentes de DLP en ePolicy Orchestrator

permite a los administradores ver los eventos de los agentes y las pruebas en el momento en elque se reciben.

Supervisin de eventos administrativos: la pgina Eventos operativos de DLP en ePolicyOrchestrator permite a los administradores ver los eventos administrativos.

Recopilacin de pruebas: si hay reglas de proteccin definidas para recopilar pruebas, se guardauna copia de los datos marcados y se vincula al evento especfico. Esta informacin ayuda adeterminar la gravedad o la exposicin del evento. La prueba se cifra mediante el algoritmo AESantes de que se guarde.

Subrayado de coincidencias: se puede guardar la prueba resaltando el texto que ha provocadoel evento. La prueba resaltada se guarda como un archivo HTML cifrado independiente.

Adems, pueden aparecer tendencias de eventos en los paneles de ePolicy Orchestrator.

IntroduccinCmo funciona McAfee DLP Endpoint 1


Componentes del producto y su interaccinMcAfee DLP Endpoint consta de varios componentes. Cada uno de ellos desempea un papel concretoen la defensa de su red frente a la fuga de datos.

Figura 1-2 Software McAfee DLP Endpoint

Consola de directivasLa consola de directivas de McAfee DLP Endpoint es la interfaz en la que el administrador define yaplica la directiva de seguridad de la informacin de la empresa. Se utiliza para crear la directiva deseguridad de la informacin, as como para administrar los componentes del software McAfee DLPEndpoint.A la consola de directivas de McAfee DLP Endpoint se accede desde el ePolicy Orchestrator alseleccionar Men | Proteccin de datos | Directiva de DLP.

Supervisin de eventosLa supervisin de DLP ahora es una funcin nativa del ePolicy Orchestrator. Los eventos generados porlas directivas de DLP ahora se conocen como "incidentes" para diferenciarlos de los eventosadministrativos generados por el ePolicy Orchestrator.Los incidentes se muestran en la pgina Administrador de incidentes de DLP | Lista de incidentes. Los eventos deDLP se muestran en la pgina Eventos operativos de DLP Lista. A estas pginas se accede desde Men |Proteccin de datos en ePolicy Orchestrator. Todos los eventos se pueden filtrar y ordenar segn criterioscomo reglas de proteccin, gravedad, fecha, hora, usuario, nombre de equipo o versin de directiva. Eladministrador puede etiquetar los eventos para facilitar su seguimiento.Al definir conjuntos de permisos de ePolicy Orchestrator, puede configurar permisos para ver la listade eventos o incidentes y as poder asignar revisores a los distintos conjuntos de eventos. Puededisponer de un revisor distinto encargado de revisar la informacin redactada.Vase tambin Creacin y definicin de conjuntos de permisos en la pgina 191

1 IntroduccinComponentes del producto y su interaccin


Acerca del software cliente de McAfee Data Loss PreventionEndpointEl software cliente de McAfee DLP Endpoint se despliega como un complemento de McAfee Agent, yaplica las directivas definidas en la directiva de McAfee DLP Endpoint. El software cliente de McAfeeDLP Endpoint audita las actividades de los usuarios para supervisar, controlar e impedir que losusuarios no autorizados copien o transfieran informacin confidencial. A continuacin, genera eventosque se registran mediante el Analizador de eventos de ePolicy Orchestrator.

Funcionamiento con conexin/sin conexinLas reglas de dispositivos y de proteccin pueden supervisar o proteger informacin de carcterconfidencial en un equipo gestionado con conexin, sin conexin o en ambos casos. Se considera queun equipo tiene conexin cuando est conectado al servidor de ePolicy Orchestrator.

Mltiples sesiones de usuariosEl software cliente de McAfee DLP Endpoint es compatible con la funcin de cambio rpido de usuario(FUS) en Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 yWindows Server 2012 con mltiples sesiones de usuarios. La compatibilidad con equipos desobremesa virtuales puede dar lugar a mltiples sesiones de usuarios desde un nico equipo host.Puede ver las sesiones de usuario en la pgina de ePolicy Orchestrator rbol de sistemas | Sesiones deusuarios de DLP.

Analizador de eventosLos eventos generados por el software cliente de McAfee DLP Endpoint se envan al Analizador deeventos de ePolicy Orchestrator y se registran en tablas dentro de la base de datos de ePolicyOrchestrator. Estos eventos se almacenan en la base de datos para su anlisis posterior y se utilizanen otros componentes del sistema.

IntroduccinComponentes del producto y su interaccin 1


1 IntroduccinComponentes del producto y su interaccin


DespliegueEn este apartado se describen las opciones para planificar el despliegue desoftware McAfee DLP Endpoint.Trata sobre las diferencias entre los productos de McAfee Data LossPrevention, sobre la instalacin recomendada y los problemas decompatibilidad con versiones anteriores para aquellos que amplen a unaversin anterior.Ya que McAfee DLP Endpoint funciona con McAfee ePolicy Orchestrator, eneste apartado tambin se tratan los problemas de instalacin de McAfee ePOy Microsoft SQL, as como la configuracin del servidor para los requisitosespeciales del software McAfee DLP Endpoint.Una vez haya finalizado este apartado, debera estar listo para instalar laextensin del softwareMcAfee DLP Endpoint en McAfee ePolicy Orchestrator,activar el paquete del agente en el repositorioMcAfee ePO y desplegar elsoftware cliente en sus equipos de endpoint.

Captulo 2 Escenarios y opciones de despliegueCaptulo 3 Planificacin del despliegue


Despliegue


2 Escenarios y opciones de despliegueLa clasificacin de la informacin corporativa en distintas categoras de prevencin de fuga de datosresulta fundamental en el despliegue y la administracin del software McAfee Data Loss PreventionEndpoint. Aunque existen directrices y recomendaciones, el esquema ideal depende de los objetivos ylas necesidades de la empresa, y es propio de cada instalacin. Elegir entre las dos opciones de DLP,McAfee Device Control y la versin completa de McAfee DLP Endpoint, constituye el primer paso a lahora de determinar el modo en que se satisfarn dichas necesidades.Dada la dificultad de determinar con antelacin y exactitud la naturaleza de sus necesidadesexclusivas, recomendamos el despliegue inicial en un grupo de muestra de entre 15 y 20 usuariosdurante un perodo de prueba de un mes. Durante este perodo no se clasifican datos, y se crea unadirectiva para supervisar, no bloquear, las transacciones. La supervisin de los datos ayuda a losresponsables de seguridad a tomar las decisiones apropiadas sobre dnde y cmo clasificar los datosempresariales. Las directivas creadas a partir de esta informacin se deben someter a prueba en ungrupo de prueba de mayor tamao (o, en el caso de empresas muy grandes, en una serie de gruposcada vez de mayor tamao) antes de desplegarlas en toda la empresa.

Contenido Seleccin de una opcin de producto de endpoint Explicacin de la compatibilidad con versiones anteriores Instalacin recomendada

Seleccin de una opcin de producto de endpointMcAfee ofrece dos opciones de prevencin de fuga de datos para endpoints: McAfee Device Control yMcAfee DLP Endpoint. Los dos productos utilizan el mismo software instalado y la diferencia seencuentra en sus licencias.

Explicacin de las opciones de DLP para endpoints de McAfeeEl software McAfee DLP Endpoint est disponible en dos configuraciones: una configuracin slo paracontrol de dispositivos y una configuracin completa de McAfee DLP Endpoint. Durante la instalacin,se activa la configuracin de McAfee Device Control de forma predeterminada. Se puede pasar a laconfiguracin con todas las funciones ampliando la clave de licencia en el men Ayuda.

Qu es McAfee Device Control?El software McAfee Device Control impide el uso no autorizado de dispositivos multimedia extrables,que actualmente es la causa de fuga de datos ms cara y extendida en muchas empresas. Es laconfiguracin predeterminada en el momento de la instalacin.El software McAfee Device Control proporciona:

2


Persistente proteccin de datos basada en el contenido para dispositivos que controla losdatos que se pueden copiar a dispositivos extrables o, incluso, controla estos dispositivos y losbloquea por completo o hace que sean de solo lectura; bloquea la ejecucin de aplicaciones desdeunidades extrables.

Proteccin para dispositivos porttiles para unidades USB, iPods, dispositivos Bluetooth, CD,DVD y otros medios extrables, adems de para discos duros que no sean del sistema.

La instalacin predeterminada del software McAfee DLP Endpoint incluye una licencia para versin deprueba de 90 das del software McAfee Device Control. Ample a la configuracin completa del softwareMcAfee DLP Endpoint ampliando la licencia. Las opciones de licencia para cualquiera de las versionesdel software son de 90 das de prueba o por tiempo ilimitado. Al realizar la ampliacin no es necesariovolver a instalar el software.

Qu es la versin completa de McAfee DLP Endpoint?El software McAfee DLP Endpoint proporciona: Proteccin universal contra la fuga de datos a travs del amplsimo espectro de canales en los

que puede producirse: dispositivos extrables, discos duros que no sean del sistema, correoelectrnico o datos adjuntos de correo electrnico, publicaciones web, portapapeles y capturas depantalla, impresin, sistema de archivos, etc.

Persistente proteccin de datos basada en el contenido frente a la fuga de datos conindependencia del formato en que stos se almacenen o manipulen; aplica la prevencin de fugade datos sin perturbar las actividades legtimas que realizan los usuarios.

Proteccin para dispositivos porttiles que impide la transmisin de datos confidenciales desdeequipos de sobremesa y desde porttiles, estn o no conectados a la red de la empresa.

Qu diferencia hay entre las configuraciones?Las siguientes definiciones estn desactivadas (no disponibles) en el software McAfee Device Control: Descubrimiento Impresoras Destinos de correo electrnico Gestin de derechos Servidores de archivos Destinos web Red

Las siguientes funciones no estn disponibles: Reglas de proteccin (con la excepcin de las reglas de almacenamiento extrable) Marcas y reglas de marcado

Explicacin de la compatibilidad con versiones anterioresPara permitir una ampliacin ordenada en grandes empresas que hayan desplegado versionesanteriores de McAfee DLP Endpoint en su entorno de produccin, existe la opcin de desplegardirectivas compatibles con versiones anteriores en equipos en los que se sigan ejecutando los agentesanteriores.El Host DLP Agent 9.1 es la versin ms reciente admitida por esta funcin. Las empresas queejecutan versiones anteriores deben ampliar al Host DLP Agent 9.1 o posterior antes de ampliar aMcAfee DLP Endpoint 9.3.La opcin de compatibilidad con versiones anteriores, que permite la comunicacin tanto con agentesantiguos como nuevos, tiene tres niveles:

2 Escenarios y opciones de despliegueExplicacin de la compatibilidad con versiones anteriores


Sin compatibilidad (todos los endpoints son de la versin 9.3) McAfee DLP Endpoint Agent 9.2 y posteriores Agente de McAfee DLP Endpoint 9.1 y posteriorLa opcin de compatibilidad con agentes se selecciona durante la inicializacin de la consola dedirectivas de McAfee DLP Endpoint. Se puede modificar en cualquier momento en Herramientas | Opciones.

Instalacin recomendadaLa instalacin recomendada para la implementacin simple de McAfee Data Loss Prevention Endpointes en un nico servidor junto con el software McAfee ePolicy Orchestrator.Para ver las recomendaciones sobre si utilizar o no un servidor distinto para la base de datos deePolicy Orchestrator consulte la Gua sobre el uso del ancho de banda y tamao del hardware paraePolicy Orchestrator 4.5 o la Gua sobre el uso del ancho de banda y tamao del hardware para ePolicyOrchestrator 4.6.

Figura 2-1 Componentes y relaciones de McAfee DLP Endpoint

Escenarios y opciones de despliegueInstalacin recomendada 2


La arquitectura recomendada incluye: Servidor de ePolicy Orchestrator : alberga la interfaz de la consola de directivas de McAfee DLP

Endpoint incrustada y se comunica con el software McAfee Agent en los equipos de endpoint.En la versin 9.3, la interfaz incrustada para McAfee DLP Monitor se ha sustituido por doscomponentes de ePolicy Orchestrator: Administrador de incidentes de DLP y Eventos operativos deDLP. De este modo se optimiza la seguridad ya que se elimina el vnculo de conexin del servicioWCF.

Informes de McAfee ePO : una lista de eventos de McAfee DLP Endpoint dentro del servicio degeneracin de informes de McAfee ePolicy Orchestrator sustituye a los informes de DLP.

Analizador de eventos de ePolicy Orchestrator : se comunica con McAfee Agent yalmacena informacin de eventos en una base de datos.

Analizador de eventos de DLP: recopila eventos de McAfee DLP Endpoint procedentes delAnalizador de eventos de ePolicy Orchestrator y los almacena en tablas de DLP en la base dedatos de SQL.

Base de datos de ePO: se comunica con el Distribuidor de directivas de ePolicy Orchestratorpara distribuir las directivas, y con el Analizador de eventos de DLP para recopilar eventos ypruebas.

Estacin de trabajo del administrador: accede al ePolicy Orchestrator y a la consola dedirectivas de McAfee DLP Endpoint en un navegador.

Endpoint gestionado: aplica las directivas de seguridad mediante el software siguiente: Cliente de McAfee DLP Endpoint : un complemento de McAfee Agent que proporciona los

procesos y directivas de McAfee DLP. McAfee Agent : proporciona el canal de comunicacin entre el servidor de ePolicy Orchestrator

y el software cliente de McAfee DLP Endpoint.

2 Escenarios y opciones de despliegueInstalacin recomendada


3 Planificacin del desplieguePrepare su entorno para instalar el software McAfee DLP Endpoint en ePolicy Orchestrator.Antes de instalar el software McAfee DLP Endpoint, configure el servidor de ePolicy Orchestrator y creey configure las carpetas de repositorio.Cuando instale ePolicy Orchestrator, tenga en cuenta lo siguiente: En las opciones de instalacin de ePolicy Orchestrator, le recomendamos que seleccione la opcin

Instalar el servidor y la consola. El software McAfee DLP Endpoint necesita Microsoft SQL Server 2005 o posterior. Al instalar en

Windows Server 2003, recomendamos utilizar el instalador de SQL Server 2005 Express incluido enel instalador de McAfee ePO.

Tras verificar que desea instalar el software, la instalacin de SQL contina sin intervencin delusuario. Si se le pide instalar SQL Server 2005 Backward Compatibility, debe instalarlo.

La opcin recomendada al instalar en Windows Server 2008 consiste en crear una instancia deePolicy Orchestrator en un servidor SQL Server 2005 o 2008 existente y seleccionarla.Recomendamos utilizar una cuenta de SQL Server. Si lo prefiere, tambin puede utilizar una cuentade NT.

Durante la instalacin, es posible que aparezca un mensaje de advertencia sobre los sitios deconfianza. Anote los nombres de los sitios de confianza que se recomienda agregar a la listacorrespondiente en Internet Explorer antes de hacer clic en Aceptar. Tendr que agregarlos msadelante.

Algunas secuencias de comandos de instalacin requieren que la cuenta SERVICIO DE RED tengapermiso de escritura para la carpeta C:\Windows\Temp. En sistemas seguros, esta carpeta puede estarbloqueada. En ese caso, deben cambiarse temporalmente los permisos para esa carpeta. Si no se hace,la instalacin no se realizar correctamente. Recomendamos llevar a cabo todas las instalaciones desoftware antes de restablecer los permisos.

Funciones y permisosPiense en las funciones de administrador que necesita para gestionar el sistema y cree los perfiles deusuario necesarios. Es posible que se necesiten funciones tales como administradores de McAfee DLP,creadores de directivas, visores de monitores, marcadores manuales y otras, dependiendo del tamaodel sistema y de la centralizacin que desee para el control. El sistema se puede modificar encualquier momento, por lo que la lista no tiene que estar completa.Consulte el captulo 12 Conjuntos de permisos y usuarios de esta gua para obtener ms informacin.

Contenido Verificacin de requisitos del sistema Configuracin del servidor Trabajo en un entorno de clster Creacin y configuracin de carpetas de repositorio Lista de comprobacin para la instalacin

3


Verificacin de requisitos del sistemaPara ejecutar el software McAfee DLP Endpoint versin 9,3, se recomienda el siguiente hardware.Tabla 3-1 Requisitos de hardware Tipo dehardware

Especificaciones

Servidores CPU: Intel Pentium IV 2,8 GHz o superior RAM

nicamente 1 GB como mnimo para el software McAfee Device Control (serecomiendan 2 GB).

1 GB como mnimo para el software McAfee DLP Endpoint completo (serecomiendan 2 GB)

Disco duro: 80 GB como mnimoEquiposendpoint CPU: Pentium III 1 GHz o superior RAM

512 MB como mnimo para el software McAfee Device Control (se recomienda1 GB)

1 GB como mnimo para el software McAfee DLP Endpoint completo (serecomiendan 2 GB)

Cuando se use la funcin de descubrimiento de McAfee DLP Endpoint,recomendamos 2 GB como mnimo.

Disco duro: 300 MB como mnimo de espacio libre en disco (se recomienda500 MB)

Red LAN de 100 megabits para todas las estaciones de trabajo y el servidor de McAfeeePO

Se admite el siguiente software de sistema operativo Microsoft.

3 Planificacin del despliegueVerificacin de requisitos del sistema


Tabla 3-2 Sistemas operativos compatibles Tipo de equipo SoftwareServidores Windows Server 2003 Standard (SE) SP1 o posterior (32 o 64 bits)

Windows Server 2003 Enterprise (EE) SP1 o posterior (32 o 64 bits) Windows Server 2008 Enterprise SP1 o posterior (32 o 64 bits) Windows Server 2012 (Win 8 Server) de 64 bits

Equiposendpoint Windows XP Professional SP3 o posteriores de 32 bits Microsoft Windows Vista SP1 o posterior (slo de 32 bits)

Windows 7 o SP1 32 o 64 bits) Windows 8 de 32 o 64 bits

Las reglas de DLP no se admiten en las versiones de estilo Metro de lasaplicaciones como Internet Explorer.

Windows Server 2003 SP2 (32 o 64 bits) Windows Server 2008 SP2 (32 bits) Windows Server 2008 R2 (64 bits) Windows Server 2012 de 64 bits

El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupode administradores locales.Los siguientes sistemas operativos virtuales son compatibles.Tabla 3-3 Sistemas operativos virtuales compatibles Tipo de sistema SoftwareSistemas VDI Citrix XenDesktop 5.5 y 5.6

VMware View 4.6 y 5.0Equipos de sobremesa remotos Citrix XenApp 6.0 y 6.5

Microsoft Remote Desktop

Es necesario el siguiente software en el servidor en el que se ejecute la consola de directivas deMcAfee DLP Endpoint.Tabla 3-4 Requisitos de software del servidor Software VersinMcAfee ePolicy Orchestrator 4.5 Parche 3 o posterior

4.6 o posterior 5.0

McAfee Agent 4.5 Parche 4 o posterior 4.6 Parche 2 o posterior 4.8

Sistema de ayuda de McAfeeePO Descargue la extensin de ayuda de McAfee DLP Endpoint 9.3(help_dlp_930).

Planificacin del despliegueVerificacin de requisitos del sistema 3


Tabla 3-4 Requisitos de software del servidor (continuacin)Software VersinMicrosoft .NET 3.5 SP1, 4.0 o 4.5

Los administradores de agentes que se encuentren en servidoresremotos ya no requieren .NET Framework.

Microsoft SQL Server 2005 o 2008, Advanced Express o Enterprise, (32 o 64 bits) 2012 Express o Enterprise, 32 o 64 bits

Microsoft SQL ServerManagement Studio Instale la versin que coincida con la versin de Microsoft SQL Serverque usa.

El paquete de software McAfee DLP Endpoint versin 9.3.0.x incluye lo siguiente: Cliente de McAfee Data Loss Prevention Endpoint (complemento de McAfee Agent) Extensin de McAfee DLP Endpoint (contiene los componentes instalados a travs de ePolicy

Orchestrator, incluido McAfee Help Desk 2.0 )

Configuracin del servidorLa configuracin bsica del servidor de McAfee ePO incluye el establecimiento de la configuracin deseguridad y la comprobacin de la instalacin de .NET.

Antes de empezarCompruebe que el servidor cumple los requisitos mnimos del sistema.

Procedimiento1 Instale Microsoft Windows Server 2003, Windows Server 2008 o Windows Server 2012.2 Instale Windows Installer 3.0 (Windows Server 2003) o 4.5 (Windows Server 2008) y reinicie el

sistema. Instale los service packs de Microsoft Windows.3 Ejecute Windows Update e instale todos los parches y actualizaciones.4 Desactive el componente Configuracin de seguridad mejorada de Microsoft Internet Explorer.

En Windows Server 2003, abra el panel de control de Windows y, a continuacin, seleccioneAgregar o quitar componentes de Windows.

En Windows Server 2008, abra el Administrador del servidor y, seguidamente, seleccioneConfigurar ESC de Internet Explorer en la seccin Informacin de seguridad.

Este producto de Microsoft puede dificultar la correcta instalacin de los componentes de McAfeeDLP Endpoint. Desactvelo antes de la instalacin y, en caso necesario, vuelva a configurarlo cuandofinalice.

5 Verifique que Microsoft .NET Framework 3.5 SP1, 4.0 o 4.5 est instalado.6 Defina el servidor en una direccin IP fija.

Recomendamos que para la prueba inicial se utilice una subred distinta a la red de produccin de laempresa. Si va a configurar un entorno de produccin, defina la direccin IP fija del servidor dentrode ese intervalo.

3 Planificacin del despliegueConfiguracin del servidor


Vase tambin Verificacin de requisitos del sistema en la pgina 24

Trabajo en un entorno de clsterEl software McAfee DLP Endpoint proporciona una alta disponibilidad para entornos que ejecutenePolicy Orchestrator en un clster.Recomendamos la instalacin de clsteres en un servidor Microsoft Windows Server 2008 con funcinde Failover Clustering. No se ha probado, y actualmente no se admite, la instalacin en otros sistemasoperativos.Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clster, asegrese de losiguiente: Microsoft Failover Clustering est configurado y en ejecucin en un clster de dos o ms servidores. Hay configuradas dos unidades independientes para la agrupacin: una unidad de qurum y una

unidad de datos. Existe un servidor de base de datos compatible (SQL Server 2005 o SQL Server 2008) en la red. ePolicy Orchestrator est configurado segn las directrices de instalacin de clsteres de McAfee

ePolicy Orchestrator. Puede encontrar las guas en: Para ePolicy Orchestrator 4.5: https://kc.mcafee.com/resources/sites/mcafee/content/live/

product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_enus.pdf Para ePolicy Orchestrator 4.6: https://kc.mcafee.com/resources/sites/mcafee/content/live/

product_documentation/22000/pd22974/en_us/epo_460_install_guide_enus.pdf Para ePolicy Orchestrator 5.0: la documentacin no est disponible en el momento de escribir

este documento. Busque en el sitio de Atencin al cliente para obtener la gua pertinente.

Procedimientos Preparacin del clster en la pgina 27

Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clster, asegrese delo siguiente.

Prueba del clster en la pgina 28Conviene probar las instalaciones de clster antes de su uso.

Preparacin del clster Antes de ejecutar el software McAfee DLP Endpoint en un entorno de clster, asegrese de losiguiente. Microsoft Failover Clustering est configurado y en ejecucin en un clster de dos o ms servidores. Hay configuradas dos unidades independientes para la agrupacin: una unidad de qurum y una

unidad de datos. Existe un servidor de bases de datos compatible (SQL Server 2005 o SQL Server 2008) en la red.

Planificacin del despliegueTrabajo en un entorno de clster 3


ePolicy Orchestrator se ha configurado correctamente. Para ePolicy Orchestrator 4.5, consulte la Gua de instalacin de clster deMcAfee ePolicy

Orchestrator 4.5. Puede encontrar la gua en: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/21000/pd21842/en_us/epo_450_cluster_install_guide_enus.pdf.

Para ePolicy Orchestrator 4.6, consulte la seccin de instalacin de clster de la Gua deinstalacin de McAfee ePolicy Orchestrator 4.6. Puede encontrar la gua en: https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/22000/pd22974/en_us/epo_460_install_guide_enus.pdf.

Prueba del clsterConviene probar las instalaciones de clster antes de su uso.Cuando el clster de McAfee DLP Endpoint se ha configurado y est online, utilice esta tarea paraasegurarse de que funciona en una situacin de conmutacin en caso de error.

Procedimiento1 Reinicie el sistema que funcione como nodo activo.

El nodo pasivo se convierte automticamente en nodo activo.2 Inicie sesin en McAfee ePolicy Orchestrator, seleccione Proteccin de datos | Directiva de DLP y haga clic

en Aplicar para aplicar la directiva.Si la pantalla de aplicacin de directivas finaliza correctamente, puede concluir que el clster deMcAfee DLP Endpoint ha seguido en funcionamiento durante la conmutacin en caso de error.

Creacin y configuracin de carpetas de repositorioLas carpetas de repositorio contienen informacin que el software McAfee DLP Endpoint utiliza para lacreacin de directivas y la generacin de informes.Deben crearse dos carpetas y recursos compartidos de la red y establecer sus propiedades y laconfiguracin de seguridad correspondiente. No es necesario que las carpetas estn en el mismoequipo que el servidor de bases de datos de McAfee DLP Endpoint, pero suele ser recomendable queas sea.Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursoscompartidos, pero puede crear otros segn las necesidades de su propio entorno. c:\dlp_resources\ c:\dlp_resources\Pruebas c:\dlp_resources\Listablanca Carpeta Pruebas: determinadas reglas de proteccin permiten almacenar pruebas, por lo que

debe designar con antelacin dnde situarlas. Por ejemplo, cuando se bloquea un mensaje decorreo electrnico, se puede incluir una copia del mensaje en la carpeta Pruebas.

Carpeta Lista blanca: las huellas digitales de texto que debe omitir el software del endpoint secolocan en una carpeta repositorio de la lista blanca. Un ejemplo sera el texto estandarizado, comolas notas de descargo de responsabilidad o de derechos de autor. El software McAfee DLP Endpointahorra tiempo al omitir estos fragmentos de texto que se sabe que no incluyen contenido decarcter confidencial.

3 Planificacin del despliegueCreacin y configuracin de carpetas de repositorio


Configuracin de carpetas en Windows Server 2008La configuracin de las carpetas de repositorio en Windows Server 2008 requiere una configuracin deseguridad especfica.

Antes de empezarCree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar laextensin.

Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.

Procedimiento1 Haga clic con el botn derecho del ratn en la carpeta de pruebas/lista blanca y seleccione

Propiedades.2 Haga clic en la ficha Uso compartido y, a continuacin, haga clic en Uso compartido avanzado. Seleccione la

opcin Compartir esta carpeta.3 Cambie el Nombre del recurso compartido a evidence$ / whitelist$. Haga clic en Aceptar.

El smbolo $ garantiza que el recurso compartido est oculto.

4 Haga clic en la ficha Seguridad y, a continuacin, haga clic en Opciones avanzadas.5 En la ficha Permisos, anule la seleccin de la opcin Incluir permisos heredables del ascendiente del objeto.

En un mensaje de confirmacin se explica el efecto que este cambio tendr en la carpeta.6 Haga clic en Eliminar.

La ficha Permisos e la ventana Configuracin de seguridad avanzada muestra todos los permisos eliminados.7 Haga clic en Agregar para seleccionar un tipo de objeto.8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuacin,

haga clic en Aceptar.Acceder al cuadro de dilogo Entrada de permiso.

9 En la columna Permitir, seleccione: Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas. Listar carpeta/Leer datos para la carpeta de la lista blanca.Compruebe que la opcin Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuacin, haga clic enAceptar.La ventana Configuracin de seguridad avanzada ahora incluye Equipos del dominio.

10 Vuelva a hacer clic en Agregar para seleccionar un tipo de objeto.11 En el campo Escriba el nombre de objeto para seleccionar, escriba Administrators y, a continuacin, haga

clic en Aceptar para ver el cuadro de dilogo Entrada de permiso. Establezca los permisos necesarios.Es necesario aadir administradores para la carpeta de la lista blanca. Para la carpeta de pruebas esopcional, pero pueden aadirse como medida de seguridad. Tambin puede aadir permisos tan slopara los administradores que desplieguen directivas.

12 Haga clic en Aceptar dos veces para cerrar el cuadro de dilogo.

Planificacin del despliegueCreacin y configuracin de carpetas de repositorio 3


Configuracin de carpetas en Windows Server 2003La configuracin de las carpetas de repositorio en Windows Server 2003 requiere una configuracin deseguridad especfica.

Antes de empezarCree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar laextensin.

Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.

Procedimiento1 Haga clic con el botn derecho del ratn en el icono de la carpeta de pruebas/carpeta de la lista

blanca y seleccione Uso compartido y seguridad.2 En la ventana que aparece, seleccione Compartir esta carpeta. Cambie el Nombre del recurso compartido a

evidence$ / whitelist$. Haga clic en Aceptar.El smbolo $ garantiza que el recurso compartido est oculto.

3 Haga clic en la ficha Seguridad y, a continuacin, haga clic en Opciones avanzadas.4 En la ficha Permisos del cuadro de dilogo Configuracin de seguridad avanzada de pruebas, desactive Permitir

permisos heredables.En un mensaje de confirmacin se explica el efecto que este cambio tendr en la carpeta.

5 Haga clic en Eliminar. La ficha Permisos del cuadro de dilogo Configuracin de seguridad avanzadamuestra todos los permisos eliminados excepto los de los administradores.

Es necesario establecer permisos para los administradores de la carpeta de la lista blanca. Para lacarpeta de pruebas es opcional, pero pueden aadirse como medida de seguridad. Tambin puedeaadir permisos tan slo para los administradores que desplieguen directivas.

6 Haga doble clic en la entrada Administradores para abrir el cuadro de dilogo Entrada de permiso. Cambiela opcin Aplicar en a Esta carpeta, subcarpetas y archivos. Haga clic en Aceptar.

7 Haga clic en Agregar para seleccionar un tipo de objeto.8 En el campo Escriba el nombre de objeto para seleccionar, escriba Domain Computers y, a continuacin,

haga clic en Aceptar para ver el cuadro de dilogo Entrada de permiso.9 En la columna Permitir, seleccione:

Crear archivos/Escribir datos y Crear carpetas/Anexar datos para la carpeta de pruebas. Listar carpeta/Leer datos para la carpeta de la lista blanca.Compruebe que la opcin Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuacin, haga clic enAceptar.El cuadro de dilogo Configuracin de seguridad avanzada ahora incluye Equipos del dominio.

10 Haga clic en Aceptar dos veces para cerrar el cuadro de dilogo.

3 Planificacin del despliegueCreacin y configuracin de carpetas de repositorio


Lista de comprobacin para la instalacinRevise la configuracin del servidor y la instalacin de ePolicy Orchestrator mediante esta lista decomprobacin.Tabla 3-5 Configuracin del servidor Paso de flujo de trabajo ComprobadoSoftware de sistema operativo Microsoft Server instalado con versin .NET compatiblecon McAfee DLP Endpoint.Configuracin de seguridad mejorada de Microsoft Internet Explorer, si se usa, debeestar desactivada para la instalacin de McAfee DLP Endpoint y luego debe deactivarse de nuevo.Permisos de la cuenta SERVICIO DE RED alterados para la instalacin de McAfee DLPEndpoint y luego deben volver a restaurarse.Carpetas de repositorio creadas y compartidas con los permisos correctos.Microsoft SQL Server instalado segn las recomendaciones.McAfee ePolicy Orchestrator instalado con las opciones recomendadas.

Planificacin del despliegueLista de comprobacin para la instalacin 3


3 Planificacin del despliegueLista de comprobacin para la instalacin


InstalacinEn esta seccin se describe la instalacin de la extensin de McAfee DLPEndpoint en ePolicy Orchestrator y el despliegue del software cliente en losequipos endpoint.

Captulo 4 Instalacin del software McAfee DLP EndpointCaptulo 5 Instalacin de una ampliacin de versinCaptulo 6 Despliegue de McAfee DLP Endpoint


Instalacin


4 Instalacin del software McAfee DLPEndpointContenido Instalacin de la extensin de McAfee Data Loss Prevention Endpoint Incorporacin del paquete McAfee DLP Endpoint en ePolicy Orchestrator

Instalacin de la extensin de McAfee Data Loss PreventionEndpoint

La extensin del software McAfee DLP Endpoint se instala en ePolicy Orchestrator.Antes de empezarDescargue la extensin de McAfee DLP Endpoint desde el sitio de descargas de McAfeecorrespondiente al software McAfee Data Loss Prevention.

El software McAfee DLP Endpoint actualmente no es compatible con la funcin deAdministrador de software de McAfee ePolicy Orchestrator 4.6 y 5.0.

Compruebe que el nombre de servidor de ePolicy Orchestrator aparece en la lista de sitiosde confianza en la configuracin de seguridad de Internet Explorer.

La instalacin predeterminada es una licencia de 90 das para el software McAfee Device Control. Siadquiri una licencia para la versin completa del software McAfee Data Loss Prevention Endpoint,deber ampliar la licencia tras completar la instalacin.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.1 En ePolicy Orchestrator, seleccione Men | Software | Extensiones y, a continuacin, haga clic en Instalar

extensin.2 Haga clic en Examinar y seleccione el archivo .zip de McAfee DLP Endpoint (..

\HDLP_Extension_9_3_0_xxx.zip). Haga clic en Abrir y, a continuacin, en Aceptar.El cuadro de dilogo de instalacin muestra los parmetros de archivo para verificar que estinstalando la extensin correcta.

3 Haga clic en Aceptar. Se instala la extensin.

4


Las aplicaciones siguientes se instalan en ePolicy Orchestrator: Consola de directivas de McAfee DLP Endpoint (Men | Proteccin de datos) Administrador de incidentes de DLP y Eventos operativos de DLP (en Men | Proteccin de datos) Analizador de eventos de DLP McAfee Help Desk

4 Haga clic en Aceptar.

Procedimientos Inicializacin de la consola de directivas de McAfee DLP Endpoint en la pgina 36

La primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint,se ejecuta un asistente de primera inicializacin.

Ampliacin de la licencia en la pgina 38El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y laversin completa de McAfee Data Loss Prevention Endpoint, con dos opciones de licenciapara cada una de ellas: 90 das de prueba y por tiempo ilimitado. La instalacinpredeterminada es McAfee Device Control con una licencia de prueba de 90 das.

Inicializacin de la consola de directivas de McAfee DLPEndpointLa primera vez que abre la consola de directivas de McAfee Data Loss Prevention Endpoint, se ejecutaun asistente de primera inicializacin.

El asistente puede ejecutarse en cualquier momento seleccionando Asistente Inicializacin en el menHerramientas de la consola de directivas de McAfee DLP Endpoint.

El instalador de Herramientas de administracin de McAfee DLP Endpoint y el asistente de inicializacinde la consola de directivas de McAfee DLP Endpoint utilizan tecnologa ActiveX. Para evitar que elinstalador sea bloqueado, verifique que est activado lo siguiente en Internet Explorer Herramientas |Opciones de Internet | Seguridad | Nivel personalizado: Solicitud automtica de los controles de ActiveX Descargar los controles firmados para ActiveX

Procedimiento1 En ePolicy Orchestrator, seleccione Men | Proteccin de datos | Directiva de DLP.

Se ejecuta el instalador de las herramientas de administracin de McAfee DLP Endpoint y, tras unabreve demora, aparecer la ventana de Bienvenida del asistente Instalacin de Herramientas de administracinde DLP. Realice los pasos del asistente.

2 Una vez finalizada la instalacin de las herramientas de administracin de McAfee DLP Endpoint,comienza la carga de la consola de directivas de McAfee DLP Endpoint. Si ya dispone de unadirectiva, se le pedir que la convierta al nuevo formato. Haga clic en Convertir y vaya al paso 4.

McAfee DLP Endpoint versin 9.3 incorpora varias definiciones de patrones de texto nuevas. Estasdefiniciones no se agregan a la directiva durante la conversin. Para agregar estas definicionesnuevas, utilice el asistente de Sincronizacin de plantillas.

3 Si no existe ninguna directiva anterior, aparecer el mensaje La directiva global de DLP no est disponible.Cargando una directiva predeterminada. Haga clic en Aceptar para continuar.

4 Cuando aparezca el mensaje Configuracin de agente no disponible. Cargando un agente predeterminado, haga clicen Aceptar.

4 Instalacin del software McAfee DLP EndpointInstalacin de la extensin de McAfee Data Loss Prevention Endpoint


5 Cuando aparezca el asistente Primera inicializacin de la consola de directivas de McAfee DLP Endpoint,realice los siguientes pasos:Opcin Descripcin1 de 8 Haga clic en Siguiente.2 de 8 Normalmente, las reglas de descubrimiento del sistema de archivos le ofrecen la opcin

de aplicar una directiva de gestin de derechos, marcar o poner en cuarentena losarchivos confidenciales. A pesar de que no lo recomendamos, puede agregar una opcinEliminar si selecciona la opcin Admitir borrado de descubrimientos en sistema de archivos.

Esta opcin no estar disponible hasta que actualice su instalacin del software McAfeeData Loss Prevention Endpoint a la versin completa.

Para la solucin de problemas, cuando sea necesario revisar una versin de fcil lecturade la directiva, seleccione Generar directiva detallada. Para la mayora de las instalaciones,recomendamos dejar estas casillas de verificacin sin seleccionar.En organizaciones muy grandes en las que el despliegue de McAfee DLP Endpoint 9,3 serealice por fases, las versiones anteriores del complemento deben coexistir. Seleccione elModo de compatibilidad con versiones anteriores apropiado: Sin compatibilidad (todos los endpoints son de la versin 9.3) McAfee DLP Endpoint Agent 9.2 y posteriores Agente de McAfee DLP Endpoint 9.1 y posteriorSeleccione su protocolo de acceso a directorios: Microsoft Active Directory u OpenLDAP.Cuando se usa Microsoft AD en organizaciones muy grandes en las que las ocasiones debsqueda pueden ser excesivas, seleccione Restringir bsquedas AD al dominio predeterminado.Cuando haya terminado todos los cambios, haga clic en Siguiente.

3 de 8 Este paso no est disponible al instalar McAfee Device ControlEscriba nombres de usuario para la autorizacin para la aplicacin manual de marcas ohaga clic en uno de los botones para buscar nombres de usuario en Active Directory uOpen LDAP (opcional). Haga clic en Siguiente.

Recomendamos crear un grupo basado en funciones, como DLP Manual Tagging Users, yque dicho grupo se utilice al configurar Access Control.

4 de 8 Escriba una contrasea y confrmela (obligatorio). En el software McAfee DLP Endpointse necesitan contraseas seguras, es decir, con un mnimo de 8 caracteres y al menosuna mayscula, una minscula, un dgito y un carcter especial (smbolo). En caso deampliacin, esta no se implementar hasta que cambie una contrasea o utilice unadirectiva nueva.Si no desea que se informe a la base de datos de los eventos de generacin de clave desistemas endpoint, desactive la casilla de verificacin. Si desea utilizar cadenas dedesafo/respuesta cortas (de 8 dgitos en lugar de 16), marque la casilla.Haga clic en Siguiente.

5 de 8 Desplcese al recurso compartido de almacenamiento de la lista blanca y, a continuacin,haga clic en Siguiente. Es necesaria la ruta UNC de la lista blanca para aplicar la directiva aePolicy Orchestrator. Se muestran los lmites de tamao, pero no se pueden cambiar enel asistente de Inicializacin.

6 de 8 Modifique las opciones del servicio de ventanas emergentes del agente (opcional). Lasfunciones gestionadas de ventanas emergentes del agente se muestran pero no sepueden modificar en el asistente de Inicializacin. Se puede configurar la directiva de

Instalacin del software McAfee DLP EndpointInstalacin de la extensin de McAfee Data Loss Prevention Endpoint 4


Opcin Descripcincierre manual o automtico de las ventanas emergentes y de bloqueo de cdigo deautorizacin.Modifique los mensajes de notificacin predeterminados (opcional). Seleccione los tiposde evento de uno en uno y escriba el mensaje en el campo de texto. Haga clic enSiguiente.

7 de 8 Desplcese al recurso compartido de almacenamiento de pruebas y, a continuacin, hagaclic en Siguiente. Es necesaria la ruta de almacenamiento de pruebas para aplicar ladirectiva a ePolicy Orchestrator. Seleccione una cuenta de usuario y una contrasea parala copia de pruebas (opcional). Defina la opcin de Replicacin de pruebas necesaria. Hagaclic en Siguiente.

8 de 8 Haga clic en Finalizar.

6 Responda al mensaje Aplicar la configuracin inicial?. Si no ha omitido ninguno de los pasos obligatorios, haga clic en S y aplique la directiva inicial. Si ha omitido alguno de los pasos obligatorios, haga clic en No para completar la inicializacin.

Se necesita una contrasea y el recurso compartido de almacenamiento de pruebas para completarla inicializacin. Es necesario llevar a cabo los pasos marcados como obligatorios para completar ladirectiva. Se pueden omitir durante la inicializacin y completarlos posteriormente. Si no ha aplicadola directiva, seleccione Archivo | Guardar para guardar la directiva en un archivo.

7 Haga clic en Finalizar.

Ampliacin de la licenciaEl software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versin completade McAfee Data Loss Prevention Endpoint, con dos opciones de licencia para cada una de ellas: 90 dasde prueba y por tiempo ilimitado. La instalacin predeterminada es McAfee Device Control con unalicencia de prueba de 90 das.

Antes de empezarAntes de comenzar esta tarea, adquiera su licencia de ampliacin y consiga una clave deactivacin de su representante de ventas de McAfee.

Procedimiento1 En la barra de mens de la consola de directivas de McAfee DLP Endpoint, seleccione Ayuda |

Actualizar licencia.La ventana Ver y actualizar licencia muestra la clave de activacin (predeterminada) actual y la fecha decaducidad.

2 Haga clic en Actualizar.3 Escriba o pegue la clave de activacin en el campo Clave de activacin y haga clic en Aplicar.

Aparecer un mensaje de advertencia indicando que debe iniciar una sesin de nuevo para quesurta efecto el cambio.

4 Haga clic en Aceptar para cerrar el cuadro de mensaje y en Cerrar para cerrar la ventana Ver y actualizarlicencia; a continuacin, cierre la sesin en ePolicy Orchestrator.

5 Inicie sesin en ePolicy Orchestrator para completar la ampliacin.

4 Instalacin del software McAfee DLP EndpointInstalacin de la extensin de McAfee Data Loss Prevention Endpoint


6 En el men Configuracin de los agentes, seleccione Editar configuracin global de los agentes.a En la ficha Prueba, configure el Recurso compartido de almacenamiento.

Se necesita un recurso compartido de almacenamiento para la aplicacin de la configuracin enePolicy Orchestrator.

b En la ficha Seguimiento de archivos, compruebe el Modo de funcionamiento necesario.Proteccin de contenido completo y control de dispositivos es la opcin predeterminada cuando amplia lalicencia.

c En la ficha Varios, seleccione los mdulos que necesite.No active mdulos que no utilice. Aumentan el tamao del agente de McAfee DLP Endpoint yralentizan el funcionamiento de forma innecesaria.

Puede configurar otras opciones en este momento o aceptar los valores predeterminados ymodificar las opciones ms adelante.

7 Haga clic en Aceptar.8 En la barra de herramientas, haga clic en Aplicar.

Los cambios de directiva se aplican a ePolicy Orchestrator.9 En ePolicy Orchestrator, realice una llamada de activacin para desplegar los cambios de directiva

en las estaciones de trabajo.

Incorporacin del paquete McAfee DLP Endpoint en ePolicyOrchestrator

Todos los equipos de la empresa con datos protegidos por software de McAfee deben tener instalado elMcAfee Agent, lo que los convierte en equipos gestionados. Para agregar proteccin frente a fuga dedatos, debe desplegar tambin el complemento McAfee DLP Endpoint para McAfee Agent. Lainstalacin puede realizarse usando la infraestructura de ePolicy Orchestrator.

ProcedimientoPara ver las definiciones de las opciones, haga clic en ? en la interfaz.1 En McAfee ePolicy Orchestrator, seleccione Men | Software | Repositorio principal.2 En el repositorio principal, seleccione Acciones | Incorporar paquete.3 Seleccione el tipo de paquete Producto o actualizacin (.ZIP), busque ..\HDLP_Agente_9_3_0_xxx.zip y

haga clic en Siguiente. Aparece la pgina Incorporar paquete.4 Revise los detalles de la pantalla y haga clic en Guardar.

El paquete se agrega al repositorio principal.

Instalacin del software McAfee DLP EndpointIncorporacin del paquete McAfee DLP Endpoint en ePolicy Orchestrator 4


4 Instalacin del software McAfee DLP EndpointIncorporacin del paquete McAfee DLP Endpoint en ePolicy Orchestrator


5 Instalacin de una ampliacin de versinLa ampliacin del software tiene consecuencias sobre la configuracin de ePolicy Orchestrator y delsoftware McAfee DLP Endpoint.

Analizador de eventosTras ampliar la suite de software McAfee DLP Endpoint en ePolicy Orchestrator, debe reiniciar elanalizador de eventos deePolicy Orchestrator mediante Herramientas administrativas | Servicios.

Figura 5-1 Reinicio del analizador de eventos

Compatibilidad con versiones anterioresEl software McAfee DLP Endpoint versin 9.3 incluye varios cambios que convierten las directivas enincompatibles con versiones anteriores del software cliente de McAfee DLP Endpoint. En empresas degran tamao, la ampliacin de los agentes de McAfee DLP Endpoint en todos los nodos de estacionesde trabajo puede llevar varias semanas o incluso meses.La inicializacin de la consola de directivas de McAfee DLP Endpoint versin 9.3 tiene una opcin decompatibilidad con versiones anteriores que, cuando se selecciona, permite la comunicacin conclientes anteriores y nuevos. La compatibilidad con versiones anteriores puede establecerse como "sincompatibilidad" (solo McAfee DLP Endpoint 9.3), agente de DLP 9.1 y posterior o agente de DLP 9.2 yposterior.

5


Elementos no admitidosSi la directiva contiene cualquiera de las opciones siguientes cuando se selecciona el modo decompatibilidad con versiones anteriores, la directiva no se podr aplicar a ePolicy Orchestrator. Estoselementos no admitidos son acumulativos, es decir, en la seccin McAfee Data Loss PreventionEndpoint 9.2 y superior se muestran las funciones de la versin 9.2 no admitidas en la versin 9.1. Enlo que respecta a la compatibilidad con endpoints de la versin 9.1, se aplican las dos secciones.Tabla 5-1 Elementos no admitidos en el modo de compatibilidad con versiones anteriores Modo de compatibilidad Elementos no admitidosModo de compatibilidadcon versiones anterioresde McAfee Data LossPrevention Endpoint 9,1 ysuperior

Una regla de proteccin de acceso a archivos de la aplicacin, correoelectrnico, sistema de archivos, almacenamiento extrable opublicacin web contiene una definicin de propiedades de documentosque contiene a su vez una propiedad de nombres de archivos.

Una regla de proteccin de acceso a archivos de la aplicacin contieneuna accin Almacenar pruebas.

Una regla de descubrimiento o proteccin contiene una categora decontenido o un grupo de marcas.

Una regla de proteccin de acceso a archivos de la aplicacin contieneuna definicin del tipo de archivo.

Una directiva contiene una regla de descubrimiento de almacenamientode correo electrnico.

Una regla del Portapapeles limita el pegado en todas las aplicaciones. Una directiva contiene una regla de dispositivos TrueCrypt.

Modo de compatibilidadcon versiones anterioresde McAfee Data LossPrevention Endpoint 9.2 ysuperior

Una directiva contiene una definicin de servidor o una directiva deSeclore FileSecure, o una regla de proteccin restringe una regla alcifrado de Seclore.

Una directiva contiene una regla de disco duro fijo o de dispositivosCitrix.

Una definicin de patrn de texto contiene uno de los validadoresintroducidos en la versin 9.3.

Una regla de proteccin del portapapeles contiene una definicin deaplicaciones.

Una regla de acceso de archivos de almacenamiento extrable contieneuna extensin de archivo.

Una definicin de propiedades de documentos solo contiene unparmetro de tamao de archivo.

Consultas y asignaciones de equiposLas consultas y los paneles se guardan al ampliar el software McAfee DLP Endpoint, siempre que sigael procedimiento recomendado. Si elimina la extensin existente de Data Loss Prevention antes deinstalar una nueva, se perdern todas las consultas y paneles.Para personalizar una consulta de muestra, recomendamos utilizar la opcin Duplicar, para cambiar elnombre de la consulta antes de modificarla. Para utilizar las nuevas consultas de muestra de Misconsultas en un panel, utilice la opcin Publicar. Si existe una consulta pblica con el mismo nombre,elimine o cambie el nombre de la consulta pblica en primer lugar.

5 Instalacin de una ampliacin de versin


ePolicy Orchestrator necesita que todos los nombres de las consultas sean exclusivos. La primera vezque instale el software McAfee DLP Endpoint en ePolicy Orchestrator, se instalarn las consultas demuestra como Consultas pblicas. Para verlas, seleccione Informes | Consultas, y desplace hacia abajo lasconsultas que aparecen a la izquierda de la pantalla. Al ampliar McAfee DLP Endpoint, ePolicyOrchestrator detecta que los nombres de las consultas de muestra ya estn en uso y, en su lugar,instala las muestras en Mis consultas. No obstante, para utilizar una consulta en un panel, debe tratarsede una consulta pblica.

Contenido Ampliacin del software McAfee DLP Endpoint Ampliacin por fases Restauracin de la directiva despus de la ampliacin

Ampliacin del software McAfee DLP EndpointLa ampliacin de una versin anterior del software McAfee DLP Endpoint a la versin 9.3 en ePolicyOrchestrator es similar a una instalacin limpia.

Antes de empezar Realice una copia de seguridad de la directiva. En la consola de directivas de McAfee

DLP Endpoint, use el icono Guardar (o Archivo | Guardar) para guardar el archivoGlobalPolicy.opg en el disco.

Cierre la sesin de ePolicy Orchestrator y cierre la ventana del navegador. Desinstale lasherramientas de administracin de McAfee DLP Endpoint desde el Panel de control deWindows.

Si quiere poder ver eventos anteriores en Administrador de incidentes de DLP, no elimine la extensinde McAfee DLP Endpoint existente en ePolicy Orchestrator. Al quitar la extensin, se quitan todos loseventos de la base de datos de DLP.

Procedimiento1 En ePolicy Orchestrator, seleccione Men | Software | Extensiones.2 Haga clic en Instalar extensin y, acto seguido, haga clic en Examinar y seleccione el archivo .zip del

administrador de directivas de McAfee DLP Endpoint (..\HDLP_extension_9_3_0_xxx.zip). Haga clicen Abrir y, a continuacin, haga clic dos veces en Aceptar.Si est realizando la instalacin sin eliminar la extensin anterior, aparecer una advertencia paraindicarle que la nueva extensin sustituir a la existente. Haga clic en Aceptar.La extensin queda instalada y aparece en la lista de extensiones.

3 Cierre sesin en ePolicy Orchestrator y, a continuacin, vuelva a iniciar sesin.Si no hace esto, es posible que no funcionen las nuevas funciones no compatibles con la versinpreviamente instalada.

4 En Herramientas administrativas | Servicios de Windows, compruebe que elMcAfee ePolicy OrchestratorAnalizador de eventos tenga el estado Iniciado.El Analizador de eventos normalmente se inicia de forma automtica (salvo en las ampliaciones),pero no es mala idea comprobarlo.

Instalacin de una ampliacin de versinAmpliacin del software McAfee DLP Endpoint 5


Ampliacin por fasesUna ampliacin correcta al software McAfee Data Loss Prevention Endpoint versin 9,3 desde unaversin anterior requiere seguir un procedimiento por fases que tiene en cuenta muchas variables.Implica tambin el cumplimiento de ciertos requisitos previos.

Antes de comenzarAntes de comenzar una ampliacin, deber hacer lo siguiente: Compruebe que todos los equipos estn listos para la ampliacin. Puede comprobar la

versin de cliente de los equipos en la red en el panel DLP: Panel Resumen de estado de McAfeeePolicy Orchestrator. Busque en el informe DLP: Versin del agente para asegurarse de que todas lasversiones del producto sean McAfee DLP 9.1 o posterior.

Ample todos los clientes de McAfee DLP Endpoint a McAfee Data Loss Prevention 9.1 o posterior. Nose admiten versiones de clientes anteriores.

Realice una copia de seguridad de la directiva de DLP actual. La grabacin de la directiva enun disco permite convertir la directiva en el nuevo formato para reutilizarla. Puede crear una copiade seguridad de la directiva desde la consola de directivas de McAfee DLP Endpoint. La opcinGuardar como del men Archivo guarda la directiva en el formato .opg.

Guarde la configuracin del agente y los grupos de asignacin de equipos. Puede guardarla configuracin del agente y los grupos de asignacin de equipos desde la pgina Men | Directiva |Catlogo de directivas de McAfee ePolicy Orchestrator. Seleccione el producto (Data Loss Prevention x.x.0.0) yla categora (Grupo de asignacin de equipos o Configuracin de los agentes) en las listas desplegables y editela seleccin. En la pgina Editar, puede seleccionar Guardar en archivo y especificar un destino para elarchivo de la copia de seguridad.

Figura 5-2 Salvaguarda de la configuracin de los agentes

5 Instalacin de una ampliacin de versinAmpliacin por fases


Restauracin de la directiva despus de la ampliacinTras ampliar el software McAfee DLP Endpoint, debe restaurar la directiva de DLP, los grupos deasignacin de equipos y las configuraciones de agentes de la anterior instalacin.Instale e inicialice la consola de directivas de McAfee DLP Endpoint. Consulte las secciones Ampliacindel software McAfee Data Loss Prevention Endpoint e Inicializacin de la consola de directivas deMcAfee DLP Endpoint de este manual. Una vez finalizada la instalacin bsica, contine con esteprocedimiento.

Procedimiento1 Restaure la directiva.

a Inicie la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Abrir, y localice ellugar donde guard la copia de seguridad de la directiva de DLP anterior.

b Cuando se le indique, haga clic en Convertir para convertirla.c Seleccione Herramientas | Opciones y verifique en la seccin Modo de compatibilidad con versiones anteriores

que la versin necesaria est seleccionada.d Haga clic en Aplicar para guardar la directiva en McAfee ePolicy Orchestrator.

2 Restaure los grupos de asignacin de equipos.a En ePolicy Orchestrator, seleccione Directiva | Catlogo de directivas. En la lista desplegable Producto,

seleccione las directivas de Data Loss Prevention 9.3.0.0.b En la lista desplegable Categora, seleccione Grupo de asignacin de equipos.c Seleccione Acciones | Nueva directiva, escriba el nombre de la directiva y cree una nueva directiva

de grupo de asignacin de equipos.d Haga clic en Cargar de archivo y vaya al archivo de copia de seguridad del grupo de asignacin de

equipos.

Figura 5-3 Restauracin de la configuracin del grupo de asignacin de equipos3 Restaurar la configuracin de los agentes

a En ePolicy Orchestrator seleccione Sistema | Catlogo de directivas. En la lista desplegable Producto,seleccione las directivas de Data Loss Prevention 9.3.0.0.

b En la lista desplegable Categora, seleccione Configuracin de los agentes.

Instalacin de una ampliacin de versinRestauracin de la directiva despus de la ampliacin 5


c Escriba un nombre y cree una configuracin de los agentes.d Haga clic en Cargar desde un archivo y vaya al archivo de copia de seguridad de la configuracin de

los agentes.Vase tambin Inicializacin de la consola de directivas de McAfee DLP Endpoint en la pgina 36

5 Instalacin de una ampliacin de versinRestauracin de la directiva despus de la ampliacin


6 Despliegue de McAfee DLP EndpointLas directivas de McAfee DLP Endpoint las implementa el softwareMcAfee Agent en los equipos deendpoint.El primer paso es el despliegue del software cliente de McAfee DLP Endpoint, un complemento deMcAfee Agent, a los endpoints.

Contenido Despliegue del software cliente Despliegue de directivas con ePolicy Orchestrator

Despliegue del software clienteEl despliegue del software cliente de McAfee DLP Endpoint es el paso final de la instalacin delsoftware y el primer paso del despliegue de directivas.

Procedimientos Definicin de una regla predeterminada en la pgina 47

Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,recomendamos definir una regla predeterminada antes de desplegarlo en los equiposgestionados.

Despliegue del cliente de McAfee DLP Endpoint con ePolicy Orchestrator en la pgina 48Antes de poder aplicar directivas, el cliente de McAfee DLP Endpoint debe desplegarse enlos equipos de endpoint mediante ePolicy Orchestrator.

Verificacin de la instalacin en la pgina 50Despus de instalar el software McAfee DLP Endpoint, debe verificar la instalacin en laconsola de Eventos operativos de DLP.

Definicin de una regla predeterminadaPara comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,recomendamos definir una regla predeterminada antes de desplegarlo en los equipos gestionados.La regla descrita es un ejemplo de una regla sencilla que se puede utilizar para probar el sistema.

6


ProcedimientoPara ver las definiciones de las opciones, pulse F1.1 Cree una regla de clasificacin:

a En el panel de navegacin de la consola de directivas de McAfee DLP Endpoint, en Pro

Documents

dlp_930_pg_TP000036-a02_es-es