Ajustes de la directiva del Agente de red
Expandir todo | Contraer todo
Para configurar la directiva del Agente de red:
- En el menú principal, vaya a Activos (dispositivos) → Directivas y perfiles.
- Haga clic en el nombre de la directiva del Agente de red.
Se abre la ventana de propiedades de la directiva del Agente de red.
Tenga en cuenta que para dispositivos basados en Windows, macOS y Linux, hay varias configuraciones disponibles.
Pestaña General
En esta pestaña, puede cambiar el estado de la directiva y modificar los ajustes que controlan la herencia de sus valores de configuración:
- A través del bloque Estado de la directiva, puede seleccionar uno de los modos posibles para la directiva:
- Activa
- Inactiva
Si selecciona esta opción, la directiva estará inactiva, pero quedará guardada en la carpeta Directivas. Podrá activarla cuando resulte necesario.
- En el grupo de ajustes Herencia de configuración, puede configurar las opciones de directiva:
- Heredar configuración de la directiva primaria
Si habilita esta opción, la directiva heredará los valores de configuración definidos en la directiva del grupo de nivel superior. Estos valores, en consecuencia, estarán bloqueados.
Esta opción está habilitada de manera predeterminada.
- Forzar la herencia de configuración en las directivas secundarias
Si habilita esta opción, cuando modifique la directiva y se apliquen los cambios, ocurrirá lo siguiente:
- Los valores de configuración de la directiva se propagarán a las directivas de los subgrupos de administración (es decir, a las directivas secundarias).
- En la ventana de propiedades de cada directiva secundaria, dentro del bloque Herencia de configuración de la sección General, se habilitará automáticamente la opción Heredar configuración de la directiva primaria.
Habilitar esta opción hace que los ajustes de las directivas secundarias se bloqueen.
Esta opción está deshabilitada de manera predeterminada.
Pestaña Configuración de eventos
Utilice esta pestaña para configurar ajustes relativos al registro de los eventos y a las notificaciones que se envían cuando ocurre un evento. Los eventos se organizan por nivel de importancia en las siguientes secciones de la pestaña Configuración de eventos:
- Error funcional
- Advertencia
- Información
Cada sección contiene una lista con los distintos tipos de eventos y, junto a ellos, la cantidad de días por los que cada evento se deja almacenado, por defecto, en el Servidor de administración. Al hacer clic en el botón Propiedades, podrá especificar los parámetros del registro de eventos y las notificaciones de los eventos seleccionados en la lista. De forma predeterminada, todos los tipos de eventos están sujetos a los ajustes de notificación generales configurados para el Servidor de administración entero. Si lo necesita, puede modificar ajustes puntuales para los tipos de eventos que requieran cambios.
Pestaña Configuración de la aplicación
Configuración
En la sección Configuración, puede configurar la directiva del Agente de red:
- Distribuir archivos solo a través de los puntos de distribución
Si habilita esta opción, los dispositivos cliente no descargarán sus actualizaciones directamente de los servidores de actualizaciones: las obtendrán únicamente de los puntos de distribución.
Si no habilita esta opción, los dispositivos cliente podrán obtener sus actualizaciones de distintas fuentes (directamente de los servidores de actualizaciones o de una carpeta local o de red).
Esta opción está deshabilitada de manera predeterminada.
- Tamaño máximo de la cola de eventos, en MB
- La aplicación podrá obtener información adicional sobre la directiva en el dispositivo
La aplicación de seguridad de un dispositivo administrado (por ejemplo, Kaspersky Endpoint Security para Windows) recibe, del Agente de red instalado en el mismo dispositivo, información sobre la directiva que para ella se ha aplicado. Si lo desea, puede ver esta información en la interfaz de la aplicación de seguridad.
El Agente de red le brinda los siguientes datos a la aplicación:
- Evitar que el servicio del Agente de red se detenga o se elimine sin autorización e impedir cambios en su configuración
Cuando esta opción está habilitada, una vez que el Agente de red se encuentre instalado en un dispositivo administrado, no se lo podrá eliminar ni reconfigurar a menos que se tengan los privilegios necesarios. El servicio del Agente de red no se podrá detener. Esta opción no tiene efecto en los controladores de dominio.
Habilite esta opción para proteger el Agente de red en estaciones de trabajo operadas con derechos de administrador local.
Esta opción está deshabilitada de manera predeterminada.
- Utilizar contraseña de desinstalación
Si habilita esta opción y hace clic en el botón Modificar, podrá especificar la contraseña para la utilidad klmover y la desinstalación remota del Agente de red.
Esta opción está deshabilitada de manera predeterminada.
Repositorios
En la sección Repositorios, puede seleccionar los tipos de objetos sobre los que el Agente de red enviará detalles al Servidor de administración. La directiva del Agente de red podría impedirle modificar algunos ajustes de esta sección. Los ajustes de la sección Repositorios solo están disponibles en dispositivos con Windows:
- Detalles de las aplicaciones instaladas
- Incluir información sobre parches
Se enviará información al Servidor de administración sobre los parches de las aplicaciones instaladas en los dispositivos clientes. Si habilita esta opción, podría aumentar la carga del Servidor de administración y del sistema de administración de bases de datos (DBMS). También podría aumentar el volumen de la base de datos.
Esta opción está habilitada de manera predeterminada. Está disponible solo para Windows.
- Detalles de las actualizaciones de Windows Update
Si esta opción está habilitada, se enviará información al Servidor de administración sobre las actualizaciones de Microsoft Windows Update que deban instalarse en los dispositivos cliente.
Aunque deshabilite esta opción, ocasionalmente encontrará actualizaciones en la sección Actualizaciones disponibles de las propiedades de un dispositivo. Esto podría suceder, por ejemplo, cuando los dispositivos de la organización tengan vulnerabilidades que puedan repararse con esas actualizaciones.
Esta opción está habilitada de manera predeterminada. Está disponible solo para Windows.
- Detalles de las vulnerabilidades de software y las actualizaciones correspondientes
Si esta opción está habilitada, se enviará información al Servidor de administración sobre las vulnerabilidades que se detecten en las aplicaciones de terceros instaladas en los dispositivos administrados (incluidas las aplicaciones de Microsoft) y sobre las actualizaciones disponibles para reparar vulnerabilidades en aplicaciones de terceros (excluidas, en este caso, las aplicaciones de Microsoft).
Si habilita la opción Detalles de las vulnerabilidades de software y las actualizaciones correspondientes, aumentarán la carga en la red, la carga en el disco del Servidor de administración y el uso de recursos del Agente de red.
Esta opción está habilitada de manera predeterminada. Está disponible solo para Windows.
Para administrar las actualizaciones de software de Microsoft, use la opción Detalles de las actualizaciones de Windows Update.
- Detalles del Registro de hardware
Actualizaciones y vulnerabilidades de software
En la sección Actualizaciones y vulnerabilidades de software, puede configurar la búsqueda de actualizaciones de Windows y habilitar la búsqueda de vulnerabilidades en los archivos ejecutables. La configuración en la sección Actualizaciones y vulnerabilidades de software está disponible solo en dispositivos que ejecutan Windows:
- En Permitir que los usuarios administren la instalación de actualizaciones de Windows Update, puede limitar las actualizaciones de Windows que los usuarios podrán instalar manualmente en sus dispositivos a través de Windows Update.
Si selecciona una nueva opción en Permitir que los usuarios administren la instalación de actualizaciones de Windows Update luego de que Windows Update encuentre actualizaciones para un dispositivo con Windows 10, la nueva opción no entrará en vigor sino hasta que se instalen esas actualizaciones.
Seleccione un elemento en la lista desplegable:
- Permitir a los usuarios instalar todas las actualizaciones de Windows Update aplicables
Los usuarios podrán instalar cualquier actualización de Microsoft Windows Update que resulte adecuada para sus dispositivos.
Seleccione esta opción si prefiere no interferir en la instalación de actualizaciones.
Cuando un usuario instala actualizaciones de Microsoft Windows Update manualmente, puede suceder que los archivos de actualización se descarguen de los servidores de Microsoft y no del Servidor de administración. Esto puede ocurrir si el Servidor de administración no ha descargado aún esas actualizaciones. Descargar actualizaciones de los servidores de Microsoft genera tráfico adicional.
- Permitir a los usuarios instalar solo actualizaciones aprobadas de Windows Update
Los usuarios podrán instalar cualquier actualización de Microsoft Windows Update que resulte adecuada para sus dispositivos y que usted haya aprobado.
Podría suceder, por ejemplo, que primero quiera instalar las actualizaciones en un entorno de prueba para verificar que no interfieran con el funcionamiento de los dispositivos, y solo entonces, en caso de no detectarse problemas, permitir que las actualizaciones aprobadas se instalen en los dispositivos cliente.
Cuando un usuario instala actualizaciones de Microsoft Windows Update manualmente, puede suceder que los archivos de actualización se descarguen de los servidores de Microsoft y no del Servidor de administración. Esto puede ocurrir si el Servidor de administración no ha descargado aún esas actualizaciones. Descargar actualizaciones de los servidores de Microsoft genera tráfico adicional.
- No permitir que los usuarios instalen actualizaciones de Windows Update
Los usuarios no podrán instalar manualmente ninguna actualización de Microsoft Windows Update en sus dispositivos. Toda actualización que resulte adecuada se instalará respetando la configuración que usted defina.
Seleccione esta opción si desea administrar la instalación de actualizaciones en forma central.
Podría utilizar esta opción, por ejemplo, para optimizar el cronograma de instalación de actualizaciones y evitar sobrecargas en la red. Puede programar la instalación para que se lleve a cabo fuera del horario laboral a fin de no interferir con la productividad de los usuarios.
- Utilice el grupo de opciones Modo de búsqueda de Windows Update para seleccionar el modo de búsqueda de actualizaciones:
- Activo
Si selecciona esta opción, el Servidor de administración (asistido por el Agente de red) hará que el Agente de Windows Update del dispositivo cliente realice una solicitud al origen de actualizaciones (los servidores de Windows Update o WSUS). Tras ello, el Agente de red transmitirá al Servidor de administración la información que reciba del Agente de Windows Update.
Esta opción solo tiene efecto si la tarea Buscar vulnerabilidades y actualizaciones requeridas tiene habilitada la opción Conectarse al servidor de actualizaciones para actualizar los datos.
Esta opción está seleccionada de manera predeterminada.
- Pasivo
Si selecciona esta opción, el Agente de red se comunicará periódicamente con el Servidor de administración para enviarle información sobre las actualizaciones obtenidas durante la última sincronización entre el Agente de Windows Update y el origen de actualizaciones. Si el Agente de Windows Update no se sincroniza con un origen de actualizaciones, la información sobre actualizaciones del Servidor de administración se vuelve obsoleta.
Seleccione esta opción si desea obtener actualizaciones de la caché del origen de actualizaciones.
- Deshabilitado
Si selecciona esta opción, el Servidor de administración no solicitará información sobre las actualizaciones.
Seleccione esta opción si, por ejemplo, desea probar primero las actualizaciones en su dispositivo local.
- Analizar los archivos ejecutables en busca de vulnerabilidades al iniciarlos
Si habilita esta opción, cuando se inicie un archivo ejecutable, se lo analizará en busca de vulnerabilidades.
Esta opción está deshabilitada de manera predeterminada.
Opciones de reinicio
En la sección Opciones de reinicio, puede determinar la acción que se llevará a cabo cuando se necesite reiniciar el sistema operativo de un dispositivo administrado para que una aplicación pueda instalarse, desinstalarse o utilizarse correctamente. Los ajustes en Opciones de reinicio están disponibles solo en dispositivos que ejecutan Windows:
- No reiniciar el sistema operativo
Cuando termine la operación, los dispositivos cliente no se reiniciarán automáticamente. Para que la operación se complete, deberá reiniciar los dispositivos en forma manual o utilizando, por ejemplo, una tarea de administración de dispositivos. Los resultados de la tarea y el estado de cada dispositivo darán cuenta de que hay un reinicio pendiente. Esta opción es útil cuando la tarea va a ejecutarse en servidores y dispositivos que necesitan operar continuamente.
- Reiniciar el sistema operativo automáticamente si es necesario
Los dispositivos cliente se reiniciarán automáticamente siempre que resulte necesario para completar la operación. Esta opción es útil cuando la tarea se realiza en dispositivos que admiten una breve interrupción para apagarse o reiniciarse.
- Solicitar al usuario una acción
A través de un recordatorio en pantalla, se le pedirá a cada usuario que reinicie su dispositivo manualmente. Puede configurar algunos ajustes avanzados para esta opción: el texto del mensaje que se le muestra al usuario, la frecuencia con la que se muestra este mensaje y el tiempo que se espera antes de reiniciar el dispositivo por la fuerza (sin que el usuario confirme el reinicio). Esta opción es la más adecuada para estaciones de trabajo en las que los usuarios deben poder seleccionar el momento más conveniente para reiniciar.
Esta opción está seleccionada de manera predeterminada.
- Repetir la solicitud cada (min)
Si habilita esta opción, la aplicación le solicitará al usuario que reinicie su sistema operativo con la frecuencia especificada.
Esta opción está habilitada de manera predeterminada. El intervalo por defecto es de 5 minutos. Los valores disponibles están entre 1 y 1440 minutos.
Si no habilita esta opción, la solicitud se mostrará una sola vez.
- Forzar reinicio después de (min)
Tras mostrarle una solicitud al usuario y aguardar el tiempo especificado, la aplicación reiniciará el sistema operativo por la fuerza.
Esta opción está habilitada de manera predeterminada. El tiempo de espera por defecto es de 30 minutos. Los valores disponibles están entre 1 y 1440 minutos.
- Forzar el cierre de aplicaciones en sesiones bloqueadas
Las aplicaciones abiertas en el dispositivo cliente podrían impedir que se lo reinicie. Si el usuario está editando un documento en un procesador de textos, por ejemplo, y no ha guardado el archivo, el procesador de textos no permitirá que el dispositivo se reinicie.
Si habilita esta opción, las aplicaciones que se estén ejecutando en un dispositivo bloqueado se cerrarán por la fuerza y, tras ello, el dispositivo se reiniciará. Los usuarios podrían perder los cambios que no hayan guardado.
Si no habilita esta opción, los dispositivos bloqueados no se reiniciarán. El estado de la tarea en tales dispositivos indicará que hay un reinicio pendiente. Los usuarios tendrán que cerrar manualmente todas las aplicaciones abiertas para luego reiniciar sus dispositivos.
Esta opción está deshabilitada de manera predeterminada.
Windows Desktop Sharing
En la sección Windows Desktop Sharing, puede habilitar y configurar la auditoría de las acciones del administrador realizadas en un dispositivo remoto cuando se comparte el acceso al escritorio. Los ajustes en el Windows Desktop Sharing están disponibles solo en dispositivos que ejecutan Windows:
- Habilitar auditoría
Habilite esta opción si desea auditar las operaciones que el administrador realice en el dispositivo remoto. Los registros de las acciones del administrador en el dispositivo remoto se computan:
- En el registro de eventos del dispositivo remoto
- en un archivo con la extensión syslog ubicado en la carpeta de instalación del Agente de red del dispositivo remoto
- en la base de datos de eventos de Kaspersky Security Center Cloud Console
La auditoría de las acciones del administrador está disponible cuando se cumplen las siguientes condiciones:
- La licencia de Administración de vulnerabilidades y parches está en uso
- El administrador tiene permiso para ejecutar el acceso compartido al escritorio del dispositivo remoto
Si no necesita auditar las operaciones del administrador en el dispositivo remoto, no habilite esta opción.
Esta opción está deshabilitada de manera predeterminada.
- Máscaras de los archivos cuya lectura se debe supervisar
La lista contiene máscaras de archivos. Cuando la auditoría está habilitada, la aplicación monitorea los archivos de lectura del administrador que coinciden con las máscaras y guarda información sobre los archivos leídos. La lista está disponible si se ha marcado la casilla Habilitar auditoría. Puede editar máscaras de archivos y agregar máscaras nuevas a la lista. Cada máscara de archivo nueva se debe especificar en la lista en una línea nueva.
De forma predeterminada, están especificadas las siguientes máscaras de archivos:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
- Máscaras de los archivos cuya modificación se debe supervisar
La lista contiene las máscaras de archivos en el dispositivo remoto. Cuando la auditoría está habilitada, la aplicación monitorea los cambios realizados por el administrador en los archivos que coinciden con las máscaras y guarda información sobre esas modificaciones. La lista está disponible si se ha marcado la casilla Habilitar auditoría. Puede editar máscaras de archivos y agregar máscaras nuevas a la lista. Cada máscara de archivo nueva se debe especificar en la lista en una línea nueva.
De forma predeterminada, están especificadas las siguientes máscaras de archivos:*.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt, *.pdf.
Administrar parches y actualizaciones
En la sección Administrar parches y actualizaciones, puede configurar la descarga y distribución de actualizaciones, así como la instalación de parches, en los dispositivos administrados. Habilite o deshabilite la opción Instalar automáticamente las actualizaciones y parches de estado Sin definir que estén disponibles para los componentes.
Conectividad
La sección Conectividad incluye tres subsecciones:
- Red
- Perfiles de conexión
- Programación de conexiones
En la subsección Red, puede configurar la conexión al Servidor de administración, habilitar el uso de un puerto UDP y especificar el número de ese puerto UDP.
- En el grupo de opciones Conexión con el Servidor de administración, puede configurar los siguientes ajustes:
- Usar puerto UDP
Si necesita que los dispositivos administrados se conecten al servidor proxy de KSN a través de un puerto UDP, habilite la opción Usar puerto UDP y especifique un número de puerto UDP. Esta opción está habilitada de manera predeterminada. El puerto UDP predeterminado de conexión al servidor proxy de KSN es 15111.
- Número de puerto UDP
En este campo, puede indicar el número del puerto UDP. El número de puerto predeterminado es el 15000.
El sistema decimal se usa para los registros.
En dispositivos cliente con Windows XP Service Pack 2, el puerto UDP 15000 estará bloqueado por el firewall integrado. Deberá abrir el puerto manualmente.
- Utilizar el punto de distribución para forzar la conexión con el Servidor de administración
Seleccione esta opción si seleccionó la opción Ejecutar servidor push en la ventana de configuración del punto de distribución. De lo contrario, el punto de distribución no funcionará como un servidor push.
En la subsección Perfiles de conexión no se pueden añadir nuevos elementos a la lista Perfiles de conexión al Servidor de administración, así que el botón Agregar está inactivo. Tampoco se pueden modificar los perfiles de conexión preestablecidos.
En la subsección Programación de conexiones, puede especificar los intervalos de tiempo durante los cuales el Agente de red enviará datos al Servidor de administración:
- Establecer conexión cuando sea necesario
- Establecer conexión en los intervalos que especifique
En la subsección Programación de conexiones, puede especificar los intervalos de tiempo durante los cuales el Agente de red enviará datos al Servidor de administración:
Sondeo de red con puntos de distribución
En la sección Sondeo de red con puntos de distribución, puede configurar el sondeo automático de la red. Los ajustes de sondeo solo están disponibles en dispositivos con Windows. Puede utilizar las siguientes opciones para habilitar el sondeo y definir una frecuencia de sondeo:
- Red de Windows
Si esta opción está habilitada, el punto de distribución sondeará la red de manera automática, siguiendo la programación que se defina a través de los vínculos Establecer programación de sondeo rápido y Establecer programación de sondeo completo.
Si se deshabilita esta opción, el Servidor de administración no sondeará la red.
Esta opción está habilitada de manera predeterminada.
- Intervalos IP
Si esta opción está habilitada, el punto de distribución realizará sondeos de intervalos IP en forma automática, siguiendo la programación que se defina a través del vínculo Establecer programación de sondeo.
Si esta opción no está habilitada, el punto de distribución no hará sondeos de intervalos IP.
Esta opción está deshabilitada de manera predeterminada.
- Controladores de dominio
Si se habilita esta opción, el punto de distribución sondeará automáticamente los controladores de dominio de acuerdo con la programación que configuró al hacer clic en el botón Configurar programación de sondeos.
Si esta opción no está habilitada, el punto de distribución no hará sondeos de controladores de dominio.
La frecuencia de sondeo de controladores de dominio para las versiones del Agente de red anteriores a la versión 10.2 se puede configurar en el campo Intervalo de sondeo (min). El campo estará disponible si se habilita esta opción.
Esta opción está deshabilitada de manera predeterminada.
Configuración de red para puntos de distribución
En la sección Configuración de red para puntos de distribución, puede configurar los ajustes de acceso a Internet:
- Usar servidor proxy
- Dirección
- Número de puerto
- No usar el servidor proxy para direcciones locales
Si habilita esta opción, no se usará un servidor proxy para establecer conexión con los dispositivos de la red local.
Esta opción está deshabilitada de manera predeterminada.
- Autenticación del servidor proxy
Si se selecciona esta casilla, en los campos de entrada se podrán especificar las credenciales para la autenticación del servidor proxy.
Esta casilla no está marcada de manera predeterminada.
- Nombre de usuario
- Contraseña
Proxy de KSN (puntos de distribución)
En la sección Proxy de KSN (puntos de distribución), puede configurar la aplicación para que utilice el punto de distribución para reenviar las solicitudes KSN desde los dispositivos administrados:
- Habilitar el proxy de KSN en el lado del punto de distribución
El servicio de proxy de KSN se ejecuta en el dispositivo que se utiliza como punto de distribución. Utilice esta función para redistribuir y optimizar el tráfico de la red.
Esta característica no estará disponible si el dispositivo que actúa como punto de distribución utiliza un sistema operativo Linux o macOS.
El punto de distribución enviará a Kaspersky las estadísticas de KSN que se enumeran en la declaración de Kaspersky Security Network. De forma predeterminada, la declaración de KSN se encuentra en %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Esta opción está deshabilitada de manera predeterminada. Esta opción solo se activa si la opción Acepto utilizar Kaspersky Security Network está activada en la ventana de propiedades del Servidor de administración.
Puede asignar un nodo de un clúster activo-pasivo a un punto de distribución y habilitar el servidor proxy de KSN en ese nodo.
- Puerto
El número del puerto de TCP que los dispositivos administrados utilizarán para conectarse al Servidor proxy de KSN. El número de puerto predeterminado es el 13111.
- Puerto UDP
Si necesita que los dispositivos administrados se conecten al servidor proxy de KSN a través de un puerto UDP, habilite la opción Usar puerto UDP y especifique un número de puerto UDP. Esta opción está habilitada de manera predeterminada. El puerto UDP predeterminado de conexión al servidor proxy de KSN es 15111.
Principio de página