Guia Del Producto de Prevencion de Amenazas Del Cliente de Mcafee Endpoint Security 10.6.0 - Windows 1-12-2023

Guía del producto de Prevención
de amenazas del cliente de McAfee

Endpoint Security 10.6.0 - Windows
Contenido
Descripción general del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Descripción general de Endpoint Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cómo funciona Endpoint Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Descripción general de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Funciones clave de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Cómo funciona Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Descripción general de la función. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Cómo funcionan los archivos de contenido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Cómo funcionan las reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Cómo las firmas protegen las aplicaciones y los sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Cómo funciona el IPS de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Cómo funciona McAfee GTI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Cómo funcionan los análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Cómo funciona el analizador de scripts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Cómo funcionan los análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Cómo funciona la utilización del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Cómo funciona el análisis de almacenamiento remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Primeros pasos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Uso de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Respuesta a solicitudes y detecciones de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Responder a un aviso de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Responder a un aviso de detección de amenaza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Ver y responder a las amenazas detectadas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Administrar elementos en cuarentena en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Cómo proporciona Prevención de amenazas la máxima protección cuando vuelve a analizar los
elementos en cuarentena. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Análisis en busca de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Analizar un archivo o carpeta específicos en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Analizar las áreas susceptibles de un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Analizar un sistema cliente que puede estar infectado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Administración de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . 35
Controlar el malware nuevo con archivos Extra.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Descargar y cargar un archivo Extra.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Cambiar versión de AMCore content en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Envío de muestras de amenazas para su análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Especificar el tiempo de retención y la ubicación de cuarentena en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . 37
Impedir que Prevención de amenazas bloquee los programas, las redes y los servicios de confianza. . . . . . . . . . . 37
Caracteres comodín en exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Impedir que las amenazas accedan a los sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Cómo obtienen acceso las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Tipos de reglas de protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Reglas de Protección de acceso definidas por McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Cómo se evalúan los destinos de subreglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Cómo se producen los exploits de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Excluir elementos de Prevención de exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Proteger archivos, el Registro, los procesos y los servicios con las reglas de Protección de acceso en un
sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Impedir que Protección de acceso bloquee los programas de confianza en un sistema cliente. . . . . . . 61
Configurar los ajustes de Prevención de exploits para bloquear amenazas en un sistema cliente. . . . . . . . . 62
Exclusión de elementos de la protección de Prevención de exploits en un sistema cliente. . . . . . . . . . . 62
Usar el nombre distintivo del firmante para excluir ejecutables en un sistema cliente. . . . . . . . . . 63
Análisis en busca de amenazas en los equipos cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Tipos de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Configure las opciones para todos los análisis en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Definir qué programas potencialmente no deseados se detectan en un sistema cliente. . . . . . . . . . . . . 68

Activar la detección de programas potencialmente no deseados en un sistema cliente. . . . . . . . . . . . . 69
Cuándo se vacía la caché de análisis global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos en un sistema cliente.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Elección del momento en que analizar archivos con el analizador en tiempo real. . . . . . . . . . . . . . . . . . 71
Procedimientos recomendados: reducción del impacto de los análisis en tiempo real en los usuarios. . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Configurar, planificar y ejecutar análisis en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configurar análisis predefinidos que se pueden ejecutar de forma manual o programada en un sistema
cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Procedimientos recomendados: reducción del impacto de los análisis bajo demanda en los usuarios de
un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Supervisión de la actividad de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . 79
Consulte el Registro de eventos para ver la actividad reciente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Nombres y ubicaciones de los archivos de registro de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Uso de reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Descripción general de las reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Tipos de reglas y sintaxis admitidas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Cómo funcionan las reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Creación de reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Crear o cambiar reglas expertas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Validar e implementar una regla experta en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Reglas expertas basadas en AAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Estructura de una regla AAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Relaciones válidas entre principal y secundarios de comandos AAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Cómo se evalúan los criterios de coincidencia en subreglas basadas en AAC. . . . . . . . . . . . . . . . . . . . . . 86
Comandos de AAC para crear reglas de archivo, procesos y Registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Comando Rule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Comando Initiator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Comando Process. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Comando Target. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Comando Match. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Valores de tipo de objeto de coincidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Comandos Include y Exclude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Valores de tipo de coincidencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Directrices de OBJECT_NAME. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Indicadores ACCESS_MASK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Comandos de AAC para consultar el estado del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Comando iDump. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Comando iEnv. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Comando iList. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Comando iReg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Comando iSystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Comando iTerminate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Comando iUser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Ejemplos de reglas de AAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Impedir la creación de archivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Impedir que los usuarios puedan cambiar un valor del registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Bloquear los parámetros de PowerShell especificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Permitir la creación de un archivo únicamente desde una carpeta excluida. . . . . . . . . . . . . . . . . . . . . . 126
Registrar variables de entorno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Solución de problemas de reglas basadas en AAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Reglas expertas heredadas y basadas en McAfee Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Estructura de regla de McAfee Host IPS heredada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Sintaxis heredada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Caracteres comodín. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Variables de entorno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Utilizar las palabras clave Include y Exclude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Secciones que son comunes a todos los tipos de clase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Tipos de clase. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Tipo de clase de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Tipo de clase de uso no válido de API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Tipo de clase de Servicios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

1| Descripción general del producto
Descripción general del producto

Descripción general de Endpoint Security
McAfee® Endpoint Security es una solución de seguridad integrada y ampliable que protege servidores, sistemas de equipos,
portátiles y tabletas contra amenazas conocidas y desconocidas. Las posibles amenazas incluyen malware, comunicaciones
sospechosas, sitios web no seguros y archivos descargados.
Endpoint Security facilita que múltiples tecnologías de defensa se comuniquen en tiempo real para analizar y proteger contra
amenazas.
Endpoint Security consiste en estos módulos de seguridad:
• Prevención de amenazas: evita que la amenazas accedan a los sistemas, analiza los archivos automáticamente cuando
se accede a ellos y ejecuta análisis dirigidos en busca de malware en los sistemas cliente.
• Firewall: supervisa la comunicación entre el equipo y los recursos de la red e Internet. Intercepta las comunicaciones
sospechosas.
• Control web: supervisa las búsquedas web y la actividad de navegación en los sistemas cliente y bloquea los sitios web y
descargas según las calificaciones de seguridad y el contenido.
• Protección adaptable frente a amenazas: analiza el contenido de su empresa y decide cómo responder en función de
la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptable frente a amenazas es un
módulo opcional de Endpoint Security.
El módulo Ajustes generales proporciona la configuración para las funciones comunes, tales como la seguridad de interfaz y el
registro. Este módulo se instala automáticamente si se instala cualquier otro módulo.
Todos los módulos se integran en una única interfaz de Endpoint Security en el sistema cliente. Cada módulo funciona
conjuntamente e independiente para proporcionar varios niveles de seguridad.
Cómo funciona Endpoint Security

Endpoint Security intercepta las amenazas, supervisa el mantenimiento general del sistema y proporciona información sobre el
estado y detecciones. El software cliente se instala en cada sistema para realizar estas tareas.
Usted o su administrador instalan uno o más módulos de Endpoint Security, personalizan las funciones y gestionan las
detecciones. Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación.
Módulos de cliente
El software cliente protege los sistemas mediante actualizaciones regulares, supervisión continua y generación de informes
detallados.
Guía del producto de Prevención de amenazas del cliente de McAfee Endpoint Security 10.6.0 - Windows 7
Servidor de TIE y Data Exchange Layer

El marco de trabajo de Endpoint Security se integra con McAfee® Threat Intelligence Exchange (TIE) y McAfee® Data Exchange
Layer (DXL) cuando utiliza la Protección adaptable frente a amenazas. Estos productos opcionales le permiten controlar
localmente la reputación de archivos y compartir la información inmediatamente en su entorno.
Si el servidor de TIE no está disponible, Protección adaptable frente a amenazas consulta a McAfee® Global Threat
Intelligence™ (McAfee GTI) la información de reputación.
McAfee GTI
Prevención de amenazas, Firewall, Control web y Protección adaptable frente a amenazas consultan a McAfee GTI la
información de reputación para determinar cómo gestionar los archivos en el sistema cliente.
McAfee Labs
El software cliente se comunica con McAfee Labs para obtener actualizaciones de motor y archivos de contenido. McAfee Labs
publica regularmente paquetes de contenido actualizado.
Cómo funciona
Cómo se mantiene actualizada su protección

Las actualizaciones regulares de Endpoint Security protegen sus equipos frente las amenazas más recientes.
Para realizar actualizaciones, el software cliente se conecta a un sitio de Internet. Endpoint Security comprueba si:
• Actualizaciones de los archivos de contenido que detectan amenazas. Los archivos de contenido incluyen definiciones de
amenazas tales como virus y spyware, y estas definiciones se actualizan a medida que se descubren nuevas amenazas.
• Ampliaciones de los componentes de software, como parches y hotfixes.
8 Guía del producto de Prevención de amenazas del cliente de McAfee Endpoint Security 10.6.0 - Windows
Descripción general de Prevención de amenazas

Prevención de amenazas de McAfee® Endpoint Security evita que las amenazas accedan a sistemas, analiza automáticamente
los archivos cuando se accede a ellos y ejecuta análisis dirigidos para malware en sistemas cliente.
Prevención de amenazas de Endpoint Security detecta las amenazas basadas en archivos de contenido de seguridad. Se
realizan de forma automática actualizaciones del contenido de seguridad a fin de hacer frente a vulnerabilidades específicas y
bloquear la ejecución de las amenazas emergentes.
Prevención de amenazas protege su entorno de lo siguiente:
• Virus, gusanos y troyanos

• Infracciones de los puntos de acceso
• Exploits de desbordamiento del búfer
• Uso no válido de API
• Intrusiones en la red
• Código y programas potencialmente no deseados
• Detección centrada en las vulnerabilidades
• Detección de exploits de día cero
Funciones clave de Prevención de amenazas

Las características clave de Prevención de amenazas protegen su entorno de amenazas y malware y corrigen problemas
limpiando o reparando los archivos infectados.
Protección
Proteja sus sistemas frente a intrusiones antes de que otros accedan a su entorno con estas funciones de Prevención de
amenazas.
• Protección de acceso: proteja los sistemas cliente de cambios no deseados restringiendo el acceso a determinados
archivos, datos compartidos y claves y valores de Registro, además de evitar o restringir la ejecución de procesos y
servicios que representen una amenaza.
• Prevención de exploits: Prevención de amenazas utiliza firmas en las actualizaciones de contenido para proteger frente
a los siguientes exploits:
Protección contra desbordamiento del búfer: impida la ejecución de código arbitrario debido a
desbordamientos del búfer.
Uso no válido de API: impida que aplicaciones desconocidas o comprometidas que se ejecutan en el sistema
realicen llamadas maliciosas a la API.
Prevención de intrusiones en la red (IPS de red): impida los ataques de denegación de servicio en la red y los
relacionados con el ancho de banda que deniegan o reducen el tráfico de la red.
Reglas expertas: proporcione parámetros adicionales y permita una flexibilidad superior a la de las reglas
personalizadas de Protección de acceso. Sin embargo, para crear reglas expertas, debe familiarizarse con la
sintaxis específica de McAfee.
Detección
Detecte amenazas cuando se produzcan en su entorno con estas funciones de Prevención de amenazas.
• Análisis en tiempo real: analice en busca de amenazas mientras se leen archivos en el disco o se escriben en este.
Realice análisis únicamente cuando el sistema esté inactivo. Se integra con la interfaz de análisis antimalware (AMSI)
para proporcionar un análisis mejorado en busca de amenazas en scripts no basados en navegador.
• Análisis bajo demanda: ejecute y planifique análisis predefinidos, lo que incluye análisis para detectar entradas de
Registro relacionadas con spyware que no se limpiaron anteriormente.
• Programas potencialmente no deseados: detecte programas potencialmente no deseados, como spyware y adware, e
impida que se ejecuten en su entorno.
• Cuarentena: ponga en cuarentena los elementos infectados e intente limpiarlos o repararlos. También puede
eliminarlos automáticamente.
• Antimalware de inicio al arranque: complementa la función ELAM de Windows 8 y versiones posteriores. ELAM obtiene
la lista de controladores de dispositivo cargados durante el ciclo de arranque y los analiza una vez que se ejecuten los
servicios de análisis.
Corrección
Corrija problemas de seguridad, controle las detecciones, mejorar el rendimiento y optimice la protección con estas funciones de
Prevención de amenazas.
• Acciones: realice la acción especificada cuando se produzcan las detecciones.

• Alertas: notifique las detecciones cuando se produzcan y limite el tráfico mediante filtros.
• Análisis planificados: realice análisis en momentos de poca actividad para mejorar el rendimiento del sistema y del
análisis.
• Archivos de registro (Cliente de Endpoint Security): consulte un historial de elementos detectados, que puede utilizar
para determinar si es necesario cambiar la configuración para mejorar la protección o el rendimiento del sistema.
Cómo funciona Prevención de amenazas

Prevención de amenazas incluye el software de protección en sí (incluidos el motor de análisis y los archivos de contenido),
que se instala en el sistema cliente.
Ajustes generales de Endpoint Security también se instala en el sistema cliente, incluido el Cliente de Endpoint Security.
Al utilizar McAfee Agent, el software cliente se comunica con McAfee® Global Threat Intelligence™ (McAfee GTI) para obtener
información de reputación y con McAfee Labs para actualizar los archivos de contenido y el motor.
Ejemplo de flujo de trabajo: Protección de acceso

Prevención de amenazas sigue este proceso básico para proteger los archivos, las claves de registro, los valores de registro, los
procesos y los servicios.
1. Si se administra, el administrador configura las reglas de protección en la directiva de Protección de acceso y la

implementa en el sistema cliente.
2. El administrador descarga los archivos de contenido más recientes de McAfee Labs.
3. Un usuario descarga un programa legítimo (no es malware), MiPrograma.exe, de Internet y lo ejecuta. MiPrograma.exe se
inicia y, a su vez, inicia un proceso secundario llamado Molestar.exe. Molestar.exe intenta cambiar el sistema operativo
para cargarse siempre que se inicie el sistema. Prevención de amenazas procesa la solicitud y comprueba si la acción
coincide con alguna regla de protección definida por McAfee o por el usuario. Prevención de amenazas evita que
Molestar.exe modifique el sistema operativo.
4. Prevención de amenazas registra los detalles.
Cómo funciona
Sistema cliente
Además de Prevención de amenazas, el sistema cliente incluye lo siguiente:
• Archivos de contenido (incluyen contenido de AMCore, también llamado firmas de malware, así como contenido de
Protección de acceso y Prevención de exploits): funcionan juntamente con el motor de análisis para identificar amenazas
y tomar medidas.
• Motor de análisis: analiza los archivos, las carpetas y los discos del sistema cliente, y compara los resultados con la
información sobre virus conocidos de los archivos de contenido.
• Ajustes generales de Endpoint Security: proporciona servicios, como actualización, registro, informes de eventos y
propiedades, planificación de tareas, comunicación y almacenamiento de configuraciones.
El servidor de McAfee
McAfee, que incluye McAfee Labs y el servicio de soporte de McAfee, proporciona los siguientes servicios.
• McAfee Labs (Biblioteca de amenazas): examina y almacena información detallada sobre malware y programas
potencialmente no deseados, además de cómo controlarlos.
• McAfee GTI (comprobación heurística de archivos sospechosos en la red): busca programas sospechosos y DLL que se
ejecutan en sistemas cliente protegidos por Prevención de amenazas. La función McAfee GTI envía la huella digital de
todos los archivos sospechosos a McAfee Labs para que la analicen y proporcionen una respuesta.
• Actualizaciones de contenido y motor: proporcionan protección contra vulnerabilidades específicas y bloquean la
ejecución de amenazas emergentes (incluidos los ataques de desbordamiento del búfer).
Descripción general de la función

Cómo funcionan los archivos de contenido
Cuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esos archivos con información
sobre amenazas conocidas almacenada en los archivos de contenido de AMCore. Prevención de exploits utiliza sus propios
archivos de contenido para protegerse contra exploits.
McAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos de contenido. Junto con las
firmas, los archivos de contenido incluyen información sobre la limpieza y reparación del daño que el malware detectado pueda
causar. Surgen nuevas amenazas, y McAfee Labs publica archivos de contenido actualizados con frecuencia.
Caution
Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor de análisis no puede
detectarla, lo que provoca que el sistema sea vulnerable a los ataques.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Archivos de
programa\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar a una versión anterior.
Paquete de contenido de AMCore

McAfee Labs publica paquetes de contenido de AMCore diariamente a las 7:00 de la tarde. (GMT/UTC). Si la aparición de una
nueva amenaza así lo requiere, es posible que los archivos de contenido de AMCore diarios se publiquen antes y, a veces, que se
retrase la publicación.
Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de Support Notification Service (SNS).
Véase KB67828.
El paquete de contenido AMCore contiene actualizaciones del motor de análisis y las firmas de Prevención de amenazas
basadas en los resultados de la continua investigación sobre amenazas.
Paquete de contenido de Prevención de exploit

El paquete de contenido de Prevención de exploits incluye:
• Firmas de protección de la memoria: Protección genérica contra desbordamiento del búfer (GBOP), validación del autor
de la llamada, Prevención genérica de la escalación de privilegios (GPEP) y Supervisión de API dirigida.
• Las firmas de prevención de intrusiones en la red protegen:
Sistemas situados en flujos secundarios en un segmento de red.
Los servidores y los sistemas que se conectan a ellos.

Frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o
reducen el tráfico de red.
• Firmas de protección de acceso: archivo, clave de Registro, valor de Registro, procesos y servicios.
• Lista de protección de aplicaciones: procesos protegidos por Prevención de exploits.
El contenido de Prevención de exploits es similar a los archivos de contenido de McAfee Host IPS. Véase KB51504. Para ver
KB51504, inicie sesión en ServicePortal y busque KB51504 en el Centro de conocimiento.
McAfee publica nuevos archivos de contenido de Prevención de exploits una vez al mes. Para cerciorarse de que Prevención
de amenazas utiliza los archivos de contenido más recientes, obtenga estos archivos de McAfee y actualice sus sistemas con
frecuencia.
Cómo funcionan las reglas de protección de aplicaciones
Las reglas de protección de aplicaciones especifican los procesos que supervisa Prevención de exploits para evitar el
desbordamiento del búfer o el uso no válido de la API. Solo se supervisan los procesos de la lista de reglas de protección
de aplicaciones con el estado de inclusión Incluir.
Cuando se inicia un proceso supervisado, Prevención de exploits inyecta sus DLL en el proceso para supervisar si se produce un
desbordamiento del búfer o un uso no válido de la API.
El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que están protegidas.
Prevención de amenazas muestras estas aplicaciones en la sección Reglas de protección de aplicaciones de la configuración
de Prevención de exploits. Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploits
reemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración de Prevención de exploits con las
reglas de protección de aplicaciones más recientes.
Puede activar, desactivar y modificar el estado de inclusión y los archivos ejecutables de las reglas de protección de aplicaciones
definidas en McAfee, pero no es posible eliminarlos. Además, puede crear y duplicar sus propias reglas de protección de
aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del contenido.
Si el estado de inclusión de la regla de protección de aplicaciones es:
• Incluir: prevención de exploits inyecta sus archivos DLL y supervisa el proceso para que no se produzcan infracciones.
Las aplicaciones protegidas incluyen aplicaciones de Microsoft como PowerPoint, Outlook, Excel; navegadores web y
procesos vulnerables como svchost.exe y servicios.
• Excluir: prevención de exploits no inyecta sus archivos DLL y no supervisa el proceso para que no se produzcan
infracciones.
Note
Establecer el estado de inclusión como Excluir es equivalente a agregar una exclusión en la sección Exclusiones y
especificar solo la información del proceso.
Por lo general, los procesos como slsvc.exe y mcshield.exe quedan excluidos debido a problemas conocidos de
compatibilidad o redundancia.
Si la lista incluye reglas de protección de aplicaciones en conflicto, las reglas con estado Excluir tienen prioridad sobre las de
estado Incluir.
Note
El Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas aplicaciones que se
estén ejecutando en el sistema cliente.
Cómo las firmas protegen las aplicaciones y los sistemas
Las firmas son colecciones de reglas que comparan el comportamiento con ataques conocidos y llevan a cabo una acción
cuando se detecta una coincidencia. McAfee proporciona firmas en las actualizaciones de contenido de Prevención de exploits.
Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas.
Tipos de firma
Prevención de amenazas incluye estos tipos de firma:
• Las firmas de archivos notifican o bloquean operaciones en rutas, unidades o archivos determinados, como ejecutar o
cambiar un nombre.
• Las firmas de servicios notifican o bloquean operaciones en servicios, como iniciar, detener o cambiar el modo de inicio.
• Las firmas de registro notifican o bloquean operaciones en claves y valores de registro, como crear o eliminar.
• Las firmas de procesos notifican o bloquean operaciones en procesos, como acceder o ejecutar.
• Las firmas de desbordamiento de búfer notifican o bloquean programas maliciosos insertados en el espacio de
memoria aprovechado por un ataque.
• Las firmas de Uso no válido de API notifican o bloquean llamadas a la API que pueden dar lugar a actividades
malintencionadas.
• Las firmas de IPS de red notifican o bloquean datos maliciosos que fluyen entre el sistema y el resto de la red.
Note
Las firmas de Desbordamiento de búfer y Uso no válido de API protegen determinados procesos, los cuales se definen en
la lista de reglas de protección de aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener el
comportamiento iniciado por dicho ataque.
Reglas de comportamiento
Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el comportamiento apropiado del sistema
operativo y las aplicaciones. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. La actividad que
no coincide con estas reglas se considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento
puede establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro proceso intenta
acceder a los archivos HTML, Prevención de exploits realiza la acción especificada. Este tipo de protección, denominada blindaje
y envoltura de aplicaciones, impide que se pongan en peligro las aplicaciones y los datos de estas, así como que se utilicen las
aplicaciones para atacar otras aplicaciones.
Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la ejecución de código
derivada de un ataque de desbordamiento del búfer, uno de los métodos de ataque más habituales.
Acciones
Una acción es lo que hace Prevención de exploits cuando se activa una firma.
• Bloquear: impide la operación.

• Informar: permite la operación e informa del evento.
Si no se selecciona ninguna acción, la firma se desactiva; Prevención de exploits permite la operación y no informa del evento.
El archivo de contenido de Prevención de exploits establece automáticamente la acción de las firmas en función del nivel de
gravedad. Por lo general, las firmas con un nivel de gravedad Alto se establecen como Bloquear e Informar. Puede modificar la
acción de una firma determinada en la sección Firmas de la configuración de Prevención de exploits. Los cambios que realice en
las acciones de las firmas se conservarán tras las actualizaciones del contenido.
Note
No se puede eliminar o cambiar firmas predeterminadas.
Niveles de gravedad
Cada firma tiene un nivel de gravedad predeterminado que describe el peligro potencial de un ataque.
• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La mayoría de estas
firmas son específicas para exploits bien identificados y, por lo general, no tienen que ver con el comportamiento.
Caution
Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo nivel de gravedad
sea Alto como Bloquear en todos los hosts.
• Medio: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de su entorno
(adecuado para clientes que protegen servidores web y Microsoft SQL Server).
Tip
Procedimiento recomendado: en los servidores críticos, configure las firmas cuyo nivel de gravedad sea Medio como
Bloquear tras afinar su ajuste.
• Bajo: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste en bloquear los
recursos de las aplicaciones y del sistema para que no se puedan modificar. Configurar las firmas cuyo nivel de gravedad
sea Bajo como Bloquear incrementa la seguridad el sistema, pero requiere ajustes adicionales.
• Informativo: firmas que indican un cambio de la configuración del sistema que puede suponer un riesgo benigno para la
seguridad o bien un intento de acceder a información del sistema de carácter confidencial. Los eventos de este nivel se
producen durante la actividad normal del sistema y, por lo general, no constituyen un indicio de ataque.
• Desactivado: firmas que están desactivadas en el archivo de contenido de Prevención de exploits.
Firmas personalizadas
Puede crear firmas personalizadas, también denominadas reglas, para mejorar la protección proporcionada por las firmas
predeterminadas. Por ejemplo, cuando se crea una carpeta con archivos importantes, puede crear una firma personalizada para
protegerla.
Puede crear:
• Reglas de Protección de acceso personalizadas para proteger archivos, servicios, claves y valores de registro, y procesos
específicos. Cree estas reglas haciendo clic en Agregar en la sección Reglas de la configuración de Protección de acceso.
• Reglas de Prevención de exploits expertas para evitar el desbordamiento del búfer y el uso no válido de la API, así
como para proteger los archivos, los servicios, el registro y los procesos. Cree estas reglas haciendo clic en Agregar regla
experta en la sección Firmas de la configuración de Prevención de exploits.
Note
No se pueden crear las reglas expertas de IPS de red.
Cómo funciona el IPS de red
La tecnología Prevención de intrusiones en la red (también conocida como IPS de red) supervisa la actividad de la red para
proteger los sistemas cliente frente a amenazas.
El controlador de filtro de protección IPS de red inspecciona todos los datos que fluyen entre el sistema del cliente y la red.
Compara los datos de red con los ataques basados en red conocidos de las firmas IPS de red. Si los datos coinciden con un
ataque conocido, IPS de red responde con la acción configurada, por ejemplo, el bloqueo de los datos del sistema.
La IPS de red también le permite bloquear automáticamente hosts de un intruso de red durante un periodo concreto, incluso
si la acción de la firma de IPS de red no se ha configurado en Bloquear. Utilice esta opción para proteger sus sistemas frente a
ataques de denegación de servicio de red que deniegan o degradan el tráfico de red.
Cómo funciona McAfee GTI
McAfee GTI utiliza heurística o reputación de archivos para buscar archivos sospechosos mediante el análisis en tiempo real y el
análisis bajo demanda.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central alojado por McAfee Labs a
fin de determinar si son malware. Al enviar hashes, la detección podría estar disponible antes que la próxima actualización de
archivos de contenido, cuando McAfee Labs publique la actualización.
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitirse
más detecciones también puede que se obtengan más falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra
establecido en Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la configuración de
Análisis en tiempo real y Análisis bajo demanda.
Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información de reputación de McAfee
GTI en la configuración de Ajustes generales.
Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.
Cómo funcionan los análisis en tiempo real
El analizador en tiempo real examina los archivos a medida que el usuario accede a ellos y proporciona una detección continua y
en tiempo real de las amenazas.
El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de filtro del sistema) y analiza
los archivos en la ubicación por donde entran al sistema por primera vez. Cuando se producen detecciones, el analizador en
tiempo real envía notificaciones a la interfaz del servicio.
También puede configurar el analizador en tiempo real para integrarse con AMSI, una interfaz genérica estándar que
proporciona Microsoft y es compatible con sistemas Windows 10 y Windows Server 2016. AMSI permite que las aplicaciones
y los servicios puedan integrarse con Prevención de amenazas, que proporciona una mejor protección contra el malware. La
integración con AMSI proporciona un análisis de amenazas mejorado en scripts no basados en navegador, como PowerShell,
wscript y CScript.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el sistema o el servicio de Endpoint Security.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada, la marca
como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows
notifica el problema y remite a la Tienda Windows para una reinstalación.
El analizador utiliza estos criterios para determinar si se debe analizar un elemento:
• La extensión del archivo coincide con la configuración.

• La información del archivo no está en la caché de análisis global.
• El archivo no se ha excluido, ni tampoco analizado previamente.
Análisis de lectura
Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:
1. El analizador bloquea la solicitud.

2. El analizador determina si el elemento se debe analizar o no.
• Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché su información y autoriza la

operación.
• Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el
archivo de contenido de AMCore cargado actualmente.
Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.

Si el archivo contiene una amenaza, el analizador deniega el acceso a este y realiza la acción configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
Utiliza la información en el archivo de contenido de AMCore cargado en ese momento para limpiar
el archivo.
Registra los resultados en el registro de actividades.
Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se debe
realizar (limpiar o eliminar el archivo).
Análisis de escritura
El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado. Cuando se selecciona el análisis de
escritura y se escribe un archivo en el disco:
1. El analizador determina si el elemento se debe analizar o no.

a. Si no es necesario analizar el archivo, el analizador almacena en caché su información y autoriza la operación.
b. Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas presentes en el archivo
de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador almacena en caché el resultado.

• Si el archivo contiene una amenaza, el analizador realiza la acción configurada. El analizador no deniega el
acceso al archivo.
Cómo funciona el analizador de scripts
El analizador de scripts de Prevención de amenazas intercepta y analiza los scripts antes de que se ejecuten.
ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca de scripts maliciosos antes
de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript para su procesamiento. Si ScriptScan detecta un script
malicioso, lo bloquea para que no se ejecute.
Note
ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts ejecutados por
wscript.exe o cscript.exe.
Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la posibilidad de activar uno o
más complementos de McAfee. Para que ScriptScan analice scripts:
• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera predeterminada.
• El complemento debe estar activado en el navegador.
Caution
Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará scripts maliciosos en esa
instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar ScriptScan para que pueda detectar scripts
maliciosos.
• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
Procedimiento recomendado: exclusiones de ScriptScan
Los sitios web que utilizan muchos scripts y las aplicaciones basadas en la Web podrían experimentar un rendimiento deficiente
cuando ScriptScan está activado. En lugar de desactivar ScriptScan, le recomendamos especificar exclusiones de URL para los
sitios web de confianza, tales como los de una intranet, o las aplicaciones web que se sabe que son seguras.
Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena de exclusión coincide con
cualquier parte de la URL, entonces se excluye la URL.
Al crear exclusiones de URL:
• No se admiten caracteres comodín.

• Unas URL más completas tienen un mejor rendimiento.
• No incluya números de puerto.
• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.
Cómo funcionan los análisis bajo demanda
El analizador bajo demanda analiza los archivos, las carpetas, la memoria y el registro en busca de malware que pueda haber
infectado el equipo.
Puede decidir cuándo y con qué frecuencia se realizan los análisis bajo demanda. Es posible analizar los sistemas manualmente,
en un momento planificado o durante el inicio. Utilice los análisis bajo demanda para complementar la protección continuada
que ofrece el analizador en tiempo real, como por ejemplo para analizar procesos inactivos y latentes.
La lista de detecciones del análisis bajo demanda se borra cuando empieza el siguiente análisis bajo demanda.
1. El analizador bajo demanda emplea los criterios siguientes para determinar si es necesario analizar el elemento:
• La extensión del archivo coincide con la configuración.

• El archivo no se ha almacenado en caché, excluido ni analizado previamente (si el analizador utiliza la caché de
análisis).
Note
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2. Si el archivo cumple los criterios de análisis, el analizador compara la información del elemento con las firmas de malware
conocido que se encuentran en los archivos de contenido de AMCore cargados en ese momento.
• Si el archivo está limpio, el resultado se almacena en caché y el analizador comprueba el siguiente elemento.
• Si el archivo contiene una amenaza, el analizador responde realizando la acción configurada. Por ejemplo, si la
acción es limpiar el archivo, el analizador:
Utiliza la información en el archivo de contenido de AMCore cargado en ese momento para limpiar el
archivo.
Registra los resultados en el registro de actividades.
Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del elemento y la
acción realizada.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda Windows instalada,
la marca como manipulada. Windows agrega la marca de manipulación al icono de la aplicación. Cuando intenta
ejecutarla, Windows notifica el problema y remite a la Tienda Windows para una reinstalación.
3. Si el elemento no cumple los requisitos de análisis, el analizador no lo comprueba. En su lugar, el analizador continúa hasta
que analiza todos los datos.
Cómo funciona la utilización del sistema
La utilización del sistema (regulación) determina la cantidad de tiempo de CPU asignado durante un análisis bajo demanda.
El analizador bajo demanda utiliza la configuración de la opción Establecer prioridad de Windows para definir la prioridad del
proceso y los subprocesos del análisis.
Note
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Configuración de la utilización del sistema
Configuración de la utilización
del sistema Esta opción... Procedimientos recomendados
Bajo Seleccione esta opción para

• Proporciona un rendimiento
mejorado del resto de las sistemas con actividad del
aplicaciones en ejecución. usuario final.
• Establece el número de
subprocesos del análisis en 1.
Por debajo de lo normal

• Establece un número de
subprocesos para que el
análisis sea igual al número de
CPU.
• Es la opción predeterminada
para los análisis bajo
demanda preconfigurados:
Análisis completo y Análisis
rápido.
Normal Seleccione esta opción para

• Permite que el análisis finalice
más rápido. sistemas que tienen grandes
volúmenes y poca actividad del
• Establece un número de
subprocesos del análisis igual al usuario final.
doble del número de CPU.

• Es la configuración
predeterminada para los
Configuración de la utilización
del sistema Esta opción... Procedimientos recomendados
análisis bajo demanda

personalizados.
Uso de la CPU durante los análisis

Se puede utilizar el Administrador de tareas de Windows para ver el uso de la CPU consumido por el proceso de servicio del
analizador de McAfee (mcshield.exe).
El proceso de análisis para análisis bajo demanda de Análisis completo y Análisis rápido se ejecuta con una prioridad baja.
No obstante, si no se está ejecutando ningún otro proceso durante un análisis, el proceso mcshield.exe puede consumir
hasta un 40 % de los recursos de la CPU no utilizados. Si otros procesos realizan solicitudes del sistema, mcshield.exe libera
los recursos de la CPU.
Cómo funciona el análisis de almacenamiento remoto
El análisis de almacenamiento remoto permite restaurar archivos que se hayan migrado al almacenamiento en el sistema local
antes del análisis.
El almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando resulta necesario,
Almacenamiento remoto migra automáticamente el contenido (datos) de archivos pertinentes del sistema cliente a un
dispositivo de almacenamiento, como una biblioteca en cinta. Cuando un usuario abre un archivo cuyos datos se han migrado,
Almacenamiento remoto recupera automáticamente los datos del dispositivo de almacenamiento.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo demanda
de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el analizador encuentra un archivo con
contenido migrado, restaura el archivo al sistema local antes del análisis.
Note
Esta opción no se aplica a los archivos almacenados en Microsoft OneDrive. El analizador bajo demanda no descarga
archivos de OneDrive ni analiza archivos que aún no se hayan descargado.
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Primeros pasos
Una vez instalado, Prevención de amenazas utiliza los archivos de contenido incluidos en el producto para proporcionar
seguridad general al entorno. Le recomendamos descargar los archivos de contenido más recientes y personalizar la
configuración para cumplir los requisitos antes de desplegar el producto en sistemas cliente.
Inmediatamente después de la instalación:
1. Establecer la seguridad de la interfaz de usuario: configure las opciones de acceso y la contraseña para impedir que los
usuarios accedan a componentes específicos o a la totalidad de la interfaz de Cliente de Endpoint Security.
2. Configurar el inicio de sesión en el cliente: especifique la ubicación de los archivos de registro para las funciones de
Endpoint Security, los tipos de información y el nivel de gravedad de los eventos a registrar.
Tip
Procedimiento recomendado: active el registro de depuración durante, al menos, las primeras 24 horas durante las
fases de prueba y piloto. Si no se producen problemas durante este tiempo, desactive el registro de depuración para
evitar que el rendimiento de los sistemas cliente se vea afectado.
3. Confirmar el motor y los archivos de contenido: verifique que los sistemas cliente tengan al menos el motor y los
archivos de contenido más recientes instalados mediante el Cliente de Endpoint Security.
4. Evitar intrusiones: asegúrese de que la protección de acceso y la prevención de exploits están activadas, especifique
las reacciones firmas y exclusiones y configurar reglas para impedir cambios no deseados en los archivos utilizados y la
configuración.
5. Configure los ajustes que se aplican a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente
• Nombres de detecciones que excluir de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
6. Configurar los análisis que se ejecutan automáticamente cuando se accede a los archivos: configure el analizador en
tiempo real para que detecte y actúe frente a amenazas potenciales cuando se accede a archivos en su entorno. Active la
detección de programas potencialmente no deseados.
7. Configurar y programar análisis específicos regulares configure los análisis bajo demanda para que hagan lo siguiente:
• Análisis de memoria diarios

• Análisis semanales o diarios de ubicaciones de usuarios activos, como la carpeta del perfil del usuario, la carpeta
Temp, las entradas de Registro, los archivos registrados y la carpeta de Windows
2| Uso de Prevención de amenazas en un sistema cliente
Uso de Prevención de amenazas en un sistema cliente

Respuesta a solicitudes y detecciones de amenazas
Responder a un aviso de análisis
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría pedirle confirmación para
continuar. El aviso aparece solo si el análisis se configura para permitirle aplazar, pausar, resumir o cancelar el análisis.
Si no selecciona una opción, el análisis empezará automáticamente.
Note
Windows 8 y 10 usan notificaciones del sistema (mensajes que aparecen para notificarle las alertas y avisos). Haga clic en la
notificación del sistema para mostrar la notificación en modo Escritorio.
Procedimiento
Cuando se le pida, seleccione una de estas opciones.
Note
Las opciones que se muestran dependen de la configuración del análisis.
Analizar ahora Iniciar el análisis inmediatamente.
Ver análisis Ver detecciones correspondientes a un análisis en

curso.
Pausar análisis Pausa el análisis.

Dependiendo de la configuración, si hace clic en
Pausar análisis podría reconfigurar el análisis para
ejecutarse solo cuando esté inactivo. Haga clic en
Reanudar análisis para reanudar el análisis desde el
punto en el que se detuvo.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela el análisis.
Aplazar análisis Aplaza el análisis durante el número de horas

especificado.
Las opciones de análisis planificado determinan
cuántas veces puede aplazar el análisis durante una
hora. Es posible que no pueda aplazar el análisis
más de una vez.
Cerrar Cierra la página de análisis.
Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca información antes de continuar,
dependiendo de cómo se haya realizado la configuración.
Responder a un aviso de detección de amenaza
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entrada antes de continuar,
dependiendo de cómo se haya realizado la configuración.
Note
Windows 8 y 10 usan notificaciones del sistema (mensajes que aparecen para notificarle las alertas y avisos). Haga clic en la
notificación del sistema para mostrar la notificación en modo Escritorio.
Procedimiento
En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas.
Note
Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.
Ver y responder a las amenazas detectadas en un sistema cliente
Dependiendo de su configuración, puede responder a las detecciones de amenazas desde el Cliente de Endpoint Security.
Procedimiento
1. Abra Cliente de Endpoint Security.
2. Haga clic en Analizar ahora para abrir la página Analizar sistema.
3. Desde Análisis en tiempo real, haga clic en Ver detecciones.
Note
Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería de usuario está
desactivada.
4. Desde la página Análisis en tiempo real, seleccione una de estas opciones.
Limpiar Intenta limpiar el elemento (archivo, entrada de

registro) y colocarlo en cuarentena.
Note: Endpoint Security usa información

de los archivos de contenido para limpiar los
archivos. Si el archivo de contenido no tiene
limpiador o el archivo se ha dañado y no se
puede reparar, el analizador niega el acceso
al mismo. En este caso, McAfee recomienda
eliminar el archivo de Poner en cuarentena
y restaurarlo desde una copia de seguridad
limpia.
Eliminar Elimina el elemento que contiene la amenaza.
Eliminar entrada Elimina una entrada de la lista de detección.
Cerrar Cierra la página de análisis.
Note
Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible. Por ejemplo, Limpiar
no está disponible si el archivo ya se ha eliminado.
Administrar elementos en cuarentena en un sistema cliente
Puede eliminar los elementos en cuarentena, restaurarlos o volver a analizarlos, u obtener más información sobre la
amenaza.
Por ejemplo, es posible que pueda restaurar un elemento después de descargar una versión posterior de contenido que
contenga información que limpie la amenaza.
Los elementos en cuarentena pueden incluir varios tipos de objetos analizados, como archivos, registros y todo lo que
Endpoint Security analice en busca de malware. Prevención de amenazas limpia o elimina los elementos que se detectan
como amenazas y guarda copias en un formato no ejecutable en la carpeta de cuarentena.
Para obtener más información acerca de los nombres de detección de malware, consulte la página Ver malware reciente de
McAfee Labs.
Procedimiento
2. Haga clic en Poner en cuarentena en el lado izquierdo de la página.
La página muestra todos los elementos en cuarentena.
Note
Si el Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra un mensaje de error de
comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.
3. Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Para... Haga lo siguiente
Cambiar el tamaño relativo de los paneles. Haga clic y arrastre el marco deslizante entre los
paneles.
Ordenar elementos de la tabla por nombre o tipo Haga clic en el encabezado de columna de la
de amenaza. tabla.
4. En la página Cuarentena, realice acciones en elementos seleccionados.
Para... Siga estos pasos
Eliminar elementos en cuarentena. Seleccione elementos, haga clic en Eliminar y haga

clic de nuevo en Eliminar para confirmar.
Note: Los archivos eliminados no se

pueden restaurar.
Restaurar elementos en cuarentena. Seleccione elementos, haga clic en Restaurar y,

a continuación, haga clic de nuevo en Restaurar
para confirmar.
Endpoint Security restaura los elementos a su

ubicación original y los quita de la cuarentena.
Note: Si un elemento aún es una amenaza

válida, Endpoint Security lo devolverá a la
cuarentena la próxima vez que se acceda a
dicho elemento.
Volver a analizar elementos. Seleccione elementos, luego haga clic en Volver a

analizar.
Por ejemplo, puede volver a analizar un elemento
tras actualizar la protección. Si el elemento ya
no es una amenaza, lo puede restaurar a su
ubicación original y quitarlo de la cuarentena.
Ver un elemento en el Registro de eventos. Seleccione un elemento y haga clic en el vínculo

Ver en Registro de eventos en el panel de
detalles.
La página Registro de eventos se abre, y el
evento relacionado con el elemento seleccionado
aparecerá resaltado.
Obtener más información sobre una amenaza. Seleccione un elemento y haga clic en el vínculo
Obtenga más información sobre esta amenaza
en el panel de detalles.
Se abre una nueva ventana de navegador en
el sitio web McAfee Labs con más información
acerca de la amenaza que provocó que el
elemento se pusiera en cuarentena.
Cómo proporciona Prevención de amenazas la máxima protección cuando vuelve a analizar

los elementos en cuarentena
Cuando se vuelve a analizar elementos en cuarentena, Prevención de amenazas utiliza la configuración de análisis diseñada
para proporcionar la máxima protección.
Tip
Procedimiento recomendado: vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos. Por ejemplo,
puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es una amenaza, lo puede restaurar a
su ubicación original y quitarlo de la cuarentena.
Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el análisis, las condiciones de
análisis pueden cambiar, lo cual puede afectar a la detección de elementos en cuarentena.
Cuando se vuelven a analizar los elementos en cuarentena, Prevención de amenazas siempre:
• Analiza archivos codificados mediante MIME.

• Analiza archivos de almacenamiento comprimidos.
• Fuerza una búsqueda de McAfee GTI en los elementos.
• Establece el nivel de sensibilidad de McAfee GTI en Muy alto.
Note
Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la detección de una amenaza.
Por ejemplo, si los metadatos de los elementos (ruta o ubicación de Registro) cambian, volver a analizar puede producir un
falso positivo incluso aunque el elemento siga infectado.
Análisis en busca de amenazas

Analizar un archivo o carpeta específicos en un sistema cliente
Para analizar inmediatamente un archivo o carpeta individuales que sospecha que está infectado, haga clic con el botón derecho
en el Explorador de Windows.
El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la configuración. Con las
credenciales de administrador, puede cambiar estos análisis en la configuración Análisis bajo demanda.
Procedimiento
1. En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y seleccione Analizar
en busca de amenazas desde el menú emergente.
Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.
2. Haga clic en los botones en la parte superior de la página para controlar el análisis.
Pausar análisis Pausa el análisis antes de que se complete.
Cancelar análisis Cancela un análisis en ejecución.
3. Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el tiempo
transcurrido y las posibles detecciones.
Nombre de detección Identifica el nombre del malware detectado.
Tipo Muestra el tipo de amenaza.
Archivo Identifica el archivo infectado.
Acción realizada Describe la última acción de seguridad

emprendida en el archivo infectado:
• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
4. Seleccione una detección en la tabla y haga clic en Limpiar o Eliminar para limpiar o eliminar el archivo infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén disponibles.
5. Haga clic en Cerrar para cerrar la página.
Analizar las áreas susceptibles de un sistema cliente
Ejecute un Análisis rápido en las áreas de un sistema cliente que sean más susceptibles a sufrir una infección.
Procedimiento
2. Haga clic en Escanear sistema.
3. En la página Analizar sistema, haga clic en Analizar ahora para un Análisis rápido.
Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.
Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real, dependiendo de la
configuración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la página Análisis en tiempo
real y administrar las detecciones en cualquier momento.
Cliente de Endpoint Security muestra el estado del análisis en otra página.
Tip
Procedimiento recomendado: la fecha de creación de contenido de AMCore indica la última vez que se actualizó
el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la protección antes de ejecutar el
análisis.
4. Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.

• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
Analizar un sistema cliente que puede estar infectado
Ejecutar un Análisis completo en un sistema cliente que sospeche que está infectado
Procedimiento
2. Haga clic en Escanear sistema.
3. En la página Analizar sistema, haga clic en Analizar ahora para un Análisis completo.
Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.
Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real, dependiendo de la
configuración y de si se ha detectado una amenaza. Haga clic en este botón para abrir la página Análisis en tiempo
real y administrar las detecciones en cualquier momento.
Cliente de Endpoint Security muestra el estado del análisis en otra página.
Tip
Procedimiento recomendado: la fecha de creación de contenido de AMCore indica la última vez que se actualizó
el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la protección antes de ejecutar el
análisis.
4. Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.

• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
3| Administración de Prevención de amenazas en un sistema cliente
Administración de Prevención de amenazas en un

sistema cliente
Controlar el malware nuevo con archivos Extra.DAT en un sistema
cliente
Cuando se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfee Labs distribuye
un archivo Extra.DAT. Los archivos Extra.DAT contienen información que Prevención de amenazas utiliza para gestionar el
nuevo malware.
Note
Puede descargar los archivos Extra.DAT para amenazas específicas desde la página Actualizaciones de seguridad de
McAfee Labs.
Prevención de amenazas es compatible con el uso de un solo archivo Extra.DAT a la vez. En una situación en la que necesite
dos archivos Extra.DAT, uno positivo para Prevención de amenazas y otro negativo para Protección adaptable frente a
amenazas, puede solicitar un archivo combinado a McAfee Labs.
Cada archivo Extra.DAT tiene una fecha de caducidad integrada. Cuando se carga el archivo Extra.DAT, la fecha de caducidad se
compara con la fecha de compilación del contenido de AMCore instalado en el sistema. Si la fecha de compilación del contenido
de AMCore es más reciente que la fecha de caducidad del archivo Extra.DAT, este se considera caducado. El motor ya no lo
cargará ni utilizará. El archivo Extra.DAT se elimina del sistema en la siguiente actualización.
Si la siguiente actualización de contenido de AMCore incluye información en el archivo Extra.DAT, este se elimina.
Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Archivos de programa\Common

Files\mcafee\engine\content\avengine\extradat.
Descargar y cargar un archivo Extra.DAT en un sistema cliente
Descargue el archivo Extra.DAT y utilice el Cliente de Endpoint Security para cargarlo.
Antes de empezar
El modo de interfaz para el Cliente de Endpoint Security se establece en Acceso total o se debe haber iniciado sesión como
administrador.
Un archivo Extra.DAT protege los sistemas cliente frente a brotes importantes de malware hasta la siguiente actualización
de contenido planificada.
Procedimiento
1. Descargue el archivo Extra.DAT.
a. Haga clic en el vínculo de descarga que proporciona McAfee Labs, especifique una ubicación donde guardar el
archivo Extra.DAT y haga clic en Guardar.
b. Si es necesario, descomprima el archivo EXTRA.ZIP.
3. En el menú Acción, seleccione Cargar Extra.dat.
4. Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a continuación, haga
clic en Abrir.
5. Haga clic en Aplicar.
Resultados
Las nuevas detecciones en el archivo Extra.DAT surtirán efecto inmediatamente.
Cambiar versión de AMCore content en un sistema cliente

Para cambiar la versión del contenido de AMCore en un sistema cliente independiente, utilice el Cliente de Endpoint Security.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en la carpeta Archivos de
programa\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar a una versión anterior.
Note
Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.
Procedimiento
2. En el menú Acción , seleccione Revertir contenido de AMCore.
3. Seleccione la versión para cargar del elemento desplegable.
Resultados
Las detecciones en el contenido de AMCore que se ha cargado se aplican inmediatamente.
Envío de muestras de amenazas para su análisis
Si encuentra una amenaza potencial que el analizador no detecta o un falso positivo, envíe una muestra de la amenaza a McAfee
Labs.
McAfee Labs analiza la muestra y estudia su inclusión o exclusión en la siguiente actualización de archivos de contenido.
Acceda al sitio web Enviar una muestra de virus o malware para obtener información sobre el envío de una muestra a McAfee
Labs.
Especificar el tiempo de retención y la ubicación de cuarentena en un

sistema cliente
Puede configurar la ubicación de la carpeta de cuarentena y cuánto tiempo desea mantener los elementos en cuarentena.
Antes de empezar
administrador.
Los elementos en cuarentena pueden incluir varios tipos de objetos analizados, como archivos, registros y todo lo que
Endpoint Security analice en busca de malware. Prevención de amenazas limpia o elimina los elementos que se detectan
como amenazas y guarda copias en un formato no ejecutable en la carpeta de cuarentena. Puede eliminar los elementos
en cuarentena, restaurarlos o volver a analizarlos, u obtener más información sobre la amenaza. Por ejemplo, es posible
que pueda restaurar un elemento después de descargar una versión posterior de contenido que contenga información que
limpie la amenaza.
Procedimiento
2. Haga clic en Prevención de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas en la
página Configuración.
3. Haga clic en Mostrar opciones avanzadas.
4. Haga clic en Opciones.
5. Establezca la configuración en la página y haga clic en Aplicar.
Impedir que Prevención de amenazas bloquee los programas, las

redes y los servicios de confianza
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee un archivo utilizado por
una base de datos o un servidor. Un archivo bloqueado puede hacer que se produzcan errores en la base de datos o el servidor.
Tip
Procedimiento recomendado: para mejorar el rendimiento de los análisis en tiempo real y bajo demanda, utilice las técnicas
de elusión de análisis en lugar de agregar exclusiones de archivos y carpetas.
Las exclusiones de las listas son mutuamente exclusivas. Cada exclusión se evalúa por separado de otras exclusiones de la lista.
Note
Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.
Especificar
Para esta elementos que Dónde Excluir ¿Usar
función... excluir configurar elementos por comodines?
Protección de Procesos (para Protección de Ruta o nombre

acceso todas las reglas acceso de archivo del
o para una regla proceso, hash
especificada) MD5 o firmante
Prevención de Procesos Prevención de Ruta o nombre Todos excepto

exploits exploits de archivo del hash MD5
proceso, hash
MD5 o firmante
Módulos autores Ruta o nombre

de llamadas de archivo del
módulo autor de
llamada, hash
MD5 o firmante
API Nombre de la API
Firmas ID de firma No
Direcciones IP Direcciones IP No
o intervalos
(formato IPv4)
Servicios Nombre del No

servicio
Todos los análisis Nombres de Opciones Nombre de Sí

detección detección
(distingue entre
mayúsculas y
minúsculas)
Especificar
Para esta elementos que Dónde Excluir ¿Usar
función... excluir configurar elementos por comodines?
Programas Nombre Sí
potencialmente
no deseados
Análisis en Archivos, tipos de Análisis en Nombre de Sí

tiempo real archivo y carpetas tiempo real archivo o carpeta,
tipo de archivo
• Predeterminad
o o antigüedad del
archivo
• Riesgo alto
• Riesgo bajo
URL de ScriptScan Nombre de URL No
Análisis bajo Archivos, carpetas Análisis bajo Nombre de Sí

demanda y unidades demanda archivo o carpeta,
tipo de archivo
• Análisis rápido
o antigüedad del
• Análisis
completo archivo
• Análisis con el
botón derecho
del ratón
Análisis bajo Archivos, carpetas Tareas → Agregar Nombre de Sí

demanda y unidades tarea → Análisis archivo o carpeta,
personalizado personalizado tipo de archivo
o antigüedad del
archivo
Procedimientos recomendados: exclusiones recomendadas para los análisis en tiempo real

Microsoft ofrece recomendaciones sobre ubicaciones que excluir de los analizadores de nivel de archivo, como el analizador en
tiempo real de Prevención de amenazas. Para obtener más información sobre estas recomendaciones, consulte los siguientes
artículos de KB.
Para garantizar la compatibilidad con... Consulte este artículo de KB
Microsoft SQL Server KB67211
Para garantizar la compatibilidad con... Consulte este artículo de KB
Microsoft Exchange KB51471
Controlador de dominio de Windows con Active KB57308

Directory o el servicio de replicación de archivos
(FRS)/replicación de sistema de archivos distribuido
(DFSR)
Caracteres comodín en exclusiones
Utilice caracteres comodín para representar caracteres al excluir archivos, carpetas, nombres de detección y programas
potencialmente no deseados.
Caracteres comodín válidos
Carácter comodín Nombre Representa
? Signo de interrogación Un solo carácter.

Este comodín se aplica
solamente si el número de
caracteres coincide con la
longitud del nombre de archivo o
carpeta. Por ejemplo: la exclusión
W?? excluye WWW, pero no WW o
WWWW.
Puede utilizar un único carácter
"?" como la raíz de una ruta
de archivo. Por ejemplo, ?:\ABC
coincide con la carpeta ABC
en el nivel raíz de todas las
unidades.
* Asterisco Varios caracteres, excepto la

barra invertida (\).
No se puede usar *\ al principio
de una ruta de archivo. Utilice
**\ en su lugar. Por ejemplo:
**\ABC\*.
Carácter comodín Nombre Representa
** Doble asterisco Cero o más caracteres, incluida la

barra invertida (\).
Este comodín corresponde a cero
o más caracteres. Por ejemplo:
C:\ABC\**\XYZ corresponde a
C:\ABC\DEF\XYZ y C:\ABC\XYZ.
Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C:\ABC\*\XYZ corresponde a
C:\ABC\DEF\XYZ.
Impedir que las amenazas accedan a los sistemas

La primera línea de defensa contra el malware es proteger los sistemas cliente de las amenazas. Protección de acceso
protege archivos, claves y valores de registro, procesos y servicios. Prevención de exploits impide el desbordamiento del
búfer, el uso ilegal de API y los exploits de red.
McAfee ofrece firmas definidas por McAfee en las actualizaciones de contenido de Prevención de exploits. Cuando se
actualiza el archivo de contenido, las firmas se actualizan en caso necesario.
Protección de acceso
Protección de acceso impide que se realicen cambios no deseados en los sistemas cliente al restringir el acceso a
determinados archivos, recursos compartidos, claves y valores de registro, y evita o restringe que los procesos y servicios
ejecuten comportamientos de amenaza. .
Protección de acceso utiliza tanto reglas definidas por McAfee (firmas) y reglas definidas por el usuario (también
denominadas reglas personalizadas) para notificar o bloquear el acceso a elementos. Protección de acceso compara una
acción solicitada con una lista de reglas y actúa según la regla.
Puede crear reglas expertas para detener el desbordamiento del búfer y los exploits de uso ilegal de API.
Desbordamiento del búfer y uso no válido de la API

La protección de desbordamiento del búfer evita que los desbordamientos del búfer con exploits ejecuten código arbitrario.
Esta tecnología supervisa las aplicaciones de la lista de protección de aplicaciones y utiliza las firmas en el archivo de
contenido de Prevención de exploits para proteger esas aplicaciones. Prevención de exploits supervisa las llamadas a la API
en modo usuario y reconoce cuándo son el resultado de un desbordamiento del búfer.
Uso ilegal de API supervisa la interfaz de programación de aplicaciones de Windows (API) y la protege contra las llamadas
maliciosas a la API realizadas por aplicaciones desconocidas o comprometidas que se ejecutan en el sistema.
Puede crear reglas expertas para detener el desbordamiento del búfer y los exploits de uso ilegal de API.
IPS de red
Prevención de intrusiones en la red (IPS de red) ofrece protección frente a ataques de denegación de servicio de red y
ataques orientados al ancho de banda que deniegan o reducen el tráfico de red. IPS de red examina todos los datos que
fluyen entre el sistema cliente y el resto de la red, y los compara con las firmas de IPS de red de McAfee. Cuando se identifica
un ataque, los datos dañinos se descartan o se bloquean para que no pasen por el sistema.
No se pueden crear las reglas personalizadas o expertas de IPS de red.
Note
Host Intrusion Prevention 8.0 puede instalarse en el mismo sistema que Endpoint Security 10.6. Si las opciones Host IPS o
IPS de red en McAfee Host IPS están activadas, las funciones Prevención de exploits y Prevención de intrusiones en la red
estarán desactivadas aunque se activen en la configuración de Prevención de amenazas.
Cómo obtienen acceso las amenazas
Las amenazas logran acceder a su sistema mediante diversos puntos de acceso.
Punto de acceso Descripción
Macros Como parte de los documentos de procesamiento

de textos y aplicaciones de hoja de cálculo.
Archivos ejecutables Programas aparentemente inofensivos pueden

incluir virus con el programa esperado.
Algunas extensiones de archivo habituales
son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Scripts Los scripts como ActiveX y JavaScript están asociados

a páginas web y correo electrónico y, si se permite su
ejecución, pueden incluir virus.
Mensajes de Internet Relay Chat (IRC) Los archivos enviados con estos mensajes pueden
contener malware fácilmente como parte del
mensaje. Por ejemplo, los procesos de inicio
automático pueden contener amenazas de troyanos
y gusanos.
Archivos de ayuda de navegadores y aplicaciones La descarga de estos archivos de ayuda expone el

sistema a ejecutables y virus incrustados.
Punto de acceso Descripción
Correo electrónico Bromas, juegos e imágenes como parte de los

mensajes de correo electrónico con datos adjuntos.
Combinaciones de todos estos puntos de acceso Los creadores de malware sofisticado combinan
todos estos métodos de entrega e incluso incrustan
una pieza del malware en otra para intentar tener
acceso al sistema.
Tipos de reglas de protección de acceso
Utilice las reglas de protección de acceso predeterminadas o cree reglas personalizadas para proteger los puntos de acceso del
sistema.
Las reglas definidas por McAfee predeterminadas se aplican siempre antes de las reglas definidas por el usuario.
Tipo de regla Descripción Puede... No puede...
Reglas definidas por Estas reglas impiden

• Habilitar y • Eliminar estas reglas.
McAfee los cambios en la deshabilitar estas • Cambiar los archivos
configuración y los reglas. y la configuración
archivos utilizados
• Cambiar los ajustes protegidos por estas
habitualmente. de bloqueo y reglas.
McAfee ofrece firmas generación de • Añadir subreglas o
definidas por McAfee informes para estas nombres de usuario a
en las actualizaciones reglas. estas reglas.
de contenido de
• Añadir archivos
Prevención de exploits. ejecutables incluidos
Cuando se actualiza y excluidos a estas
el archivo de reglas.
contenido, las firmas
se actualizan en caso
necesario.
Reglas definidas por el Estas reglas

• Activar y desactivar
usuario complementan estas reglas.
la protección
• Cambiar la
proporcionada por las configuración de
bloqueo y generación
Tipo de regla Descripción Puede... No puede...
reglas definidas por de informes para

McAfee. estas reglas.
• Una tabla Ejecutables • Añadir y suprimir

vacía indica que se estas reglas.
aplica la regla a • Cambiar la

todos los ejecutables. configuración de
estas reglas.
• Una tabla Nombres
de usuario vacía
indica que se aplica
la regla a todos los
usuarios.
Exclusiones
En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. De lo contrario, las exclusiones se aplican a
todas las reglas. Las exclusiones son opcionales.
Regla de ejemplo para proteger un proceso
Cree una regla de protección de acceso para evitar que el Indicador de comandos (cmd.exe) se utilice para ejecutar PowerShell
(powershell.exe):
1. Agregue el ejecutable cmd.exe a la regla.

2. Agregue una subregla y seleccione:
• Tipo de subregla Procesos

• Operación Ejecutar
3. Agregue un archivo ejecutable de destino de subregla y especifique "powershell.exe" como nombre del archivo.
Reglas de Protección de acceso definidas por McAfee
Utilice las reglas de Protección de acceso definidas por McAfee para proteger el ordenador de cambios no deseados.
Regla definida Configuración

por McAfee Descripción predeterminada Ventajas Riesgos
Ejecución de Impide que el Informar Impide que Puede bloquear

archivos de la software se el adware y la instalación de
carpeta Archivos instale a través el spyware software legítimo.
de programa instalen y

descargados por del navegador ejecuten archivos

parte de web. ejecutables desde Tip:
navegadores la carpeta de Procedimient
descargas. o
recomendado
: desactive
esta regla
antes de
instalar la
aplicación o
agregar los
procesos
bloqueados a
la lista de
exclusión.
Cambio de Protege las claves Impide que Puede bloquear

cualesquiera de Registro en el malware la instalación de
registros de HKEY_CLASSES_R modifique los software legítimo.
extensiones de OOT donde se registros de
archivo registran las extensiones de
Tip:
extensiones de archivos y se
Práctica
archivo. ejecute en modo recomendada
Esta regla es una silencioso. : desactive la
alternativa más regla al
restrictiva que instalar
Hijacking .EXE aplicaciones
y otras válidas que
extensiones modifican los
ejecutables. registros de
extensiones
de archivos en
el Registro.
Cambio de Protege los Impide que los

directivas de valores de gusanos alteren
derechos de Registro que cuentas que
usuario contienen poseen derechos
información de de administrador.

seguridad de
Windows.
Creación de Impide la Impide que el Puede bloquear

nuevos archivos creación de adware y el la instalación de
ejecutables en la nuevos archivos spyware creen software legítimo.
carpeta Archivos ejecutables en la archivos .EXE
de programa carpeta Archivos y .DLL, y
Tip:
de programa. que instalen
Procedimient
nuevos archivos o
ejecutables en la recomendado
carpeta Archivos : desactive
de programa. esta regla
antes de
instalar la
aplicación o
agregar los
procesos
bloqueados a
la lista de
exclusión.
Creación de Impide la creación Impide la creación Puede impedir

nuevos archivos de archivos de archivos .EXE que un software
ejecutables en la desde cualquier y .DLL en la legítimo cree
carpeta Windows proceso, no solo a carpeta de estos archivos en
través de la red. Windows. la carpeta de
Windows.

Tip:
Práctica
recomendada
: agregue a la
lista de
exclusión los
procesos que
deban colocar
archivos en la
carpeta de
Windows.
Desactivación Protege las

del Editor del entradas del
Tip:
Registro y del Registro de
Procedimient
Administrador de Windows, con o
tareas lo que evita recomendado
la desactivación : en caso de
del Editor del un brote,
Registro y el desactive esta
Administrador de regla para
tareas. poder
cambiar el
Registro o
abra el
Administrador
de tareas para
detener los
procesos
activos.
Ataques de Impide que Impide que el

• Informar
doppelgänging los ataques malware cargue
• Bloquear
en los procesos de "Proceso y ejecute código
Doppelgänging" arbitrario en
cambien el contexto
procesos. de procesos

legítimos o de
confianza.
Ejecución Impide que Protege frente

• Informar
del malware se ejecuten al malware
• Bloquear Tip:
Mimikatz los archivos mimikatz
Procedimient
ejecutables impidiendo su o
denominados ejecución. recomendado
"mimikatz". : si observa
falsos
positivos,
agregue los
procesos
bloqueados a
la lista de
exclusión.
Ejecución de Impide que el Protege contra Puede bloquear

scripts de host de scripts en muchos troyanos la instalación
Windows Script Windows ejecute y mecanismos de o ejecución
Host (CScript.exe scripts VBScript instalación web de scripts
o Wscript.exe) y JavaScript en cuestionables y aplicaciones
de carpetas de cualquier carpeta utilizados por de terceros
usuario comunes cuyo nombre aplicaciones de legítimos.
contenga la adware y
palabra "temp". spyware.
Tip:
Procedimient
o
recomendado
: si observa
falsos
positivos,
agregue los
procesos
bloqueados a
la lista de
exclusión.

Ejecutando Impide que Impide que

• Informar
subsistema de un usuario el malware
• Bloquear
Windows para administrador diseñado para
Linux ejecute el sistemas Linux
subsistema de ataque a equipos
Windows para Windows.
Linux (WSL).
Hijacking .EXE Protege las claves Impide que

u otras de Registro de el malware
extensiones archivos modifique las
ejecutables ejecutables .EXE claves de Registro
y .BAT, entre y se ejecute el
otros, en virus junto con
HKEY_CLASSES_R otro ejecutable.
OOT.
La regla es
una alternativa
menos restrictiva
a Cambio
de cualesquiera
registros de
extensiones de
archivo.
Instalación de Impide que se Impide que Puede bloquear

objetos auxiliares instalen en el el adware, el la instalación de
del navegador o equipo host spyware y los objetos auxiliares
extensiones de objetos auxiliares troyanos se del navegador
shell del navegador. instalen en los por parte
La regla no sistemas. de aplicaciones
impide la función legítimas.
de los objetos
auxiliares del
navegador que ya
estén instalados.

Tip:
Procedimient
o
recomendado
: agregue las
aplicaciones
personalizada
s o de terceros
que sean
legítimas a la
lista de
exclusión para
permitir que
instalen estos
objetos.
Instalación de Impide la Protege contra Puede bloquear

nuevos CLSID, instalación o los programas de la instalación
APPID y TYPELIB el registro de adware y spyware de algunas
nuevos servidores que se instalan aplicaciones
COM. automáticamente comunes, como
como Adobe Flash.
complementos
COM en
Tip:
aplicaciones de
Procedimient
Internet Explorer o
o Microsoft recomendado
Office. : permita las
aplicaciones
legítimas que
registran
complemento
s COM
agregándolas
a la lista de
exclusión.

Modificación Impide que se Impide que los

de procesos creen o ejecuten virus y troyanos
centrales de archivos con los se ejecuten con
Windows nombres que más el nombre de
se falsifican. un proceso de
Esta regla Windows.
excluye archivos
auténticos de
Windows.
Modificación de Bloquea los Impide que

configuraciones procesos para los troyanos
de Internet que no de página de
Explorer modifiquen la inicio, el adware
configuración de y el spyware
Internet Explorer. modifiquen la
configuración del
navegador, como
la página de inicio
o los favoritos.
Modificar Impide que los Captura el tráfico Puede bloquear

configuración de procesos que no de red y lo envía a los procesos
red se encuentren sitios de terceros legítimos que
en la lista de para proteger de necesiten
exclusión puedan los proveedores cambiar la
modificar las de servicios configuración de
opciones de red por niveles la red.
del sistema. que transmiten
datos, como su
comportamiento
de navegación.

Tip:
Procedimient
o
recomendado
: desactive la
regla mientras
esté
realizando
cambios o
agregue los
procesos que
deban
cambiar la
configuración
de la red a la
lista de
exclusión.
Registro de Bloquea adware, Impide que los Puede bloquear

programas para spyware, troyanos procesos que los procesos
su ejecución y virus no están en la legítimos que
automática cuando intentan lista de exclusión necesiten
registrarse para registren registrarse para
cargarse cada vez procesos que se cargarse al iniciar
que se reinicia el ejecutan cada vez el sistema.
sistema. que se reinicia el
sistema.

Tip:
Procedimient
o
recomendado
: desactive
esta regla
antes de
instalar la
aplicación o
agregar los
procesos
bloqueados a
la lista de
exclusión.
Acceso remoto Impide el acceso Impide que se Impide la

a archivos o de lectura y extienda un instalación de
carpetas locales escritura al gusano entre actualizaciones
equipo desde los recursos o parches
equipos remotos. compartidos. en sistemas
En un entorno gestionados
típico, esta regla mediante la
es adecuada para inserción de
estaciones de archivos.
trabajo, pero no
en los servidores.
Tip:
Procedimient
o
recomendado
: active esta
regla solo
cuando se
esté
produciendo
un ataque en
los equipos.

Creación remota Impide que Impide que

• Informar
de archivos otros equipos se ejecuten
• Bloquear
de ejecución realicen una el spyware
automática conexión y creen y el adware
o modifiquen distribuidos en
archivos de CD.
ejecución
automática
(autorun.inf).
Los archivos
de ejecución
automática
se utilizan
para iniciar
automáticamente
archivos de
programa,
generalmente
archivos de
configuración de
CD.
Creación o Bloquea el acceso Limita el alcance Impide la

modificación de escritura a de la infección instalación de
remota de todos los recursos durante un actualizaciones
archivos o compartidos. brote impidiendo o parches
carpetas En un entorno el acceso de en sistemas
típico, esta regla escritura. La regla gestionados
es útil para bloquea malware mediante la
estaciones de que de otro inserción de
trabajo, pero no modo limitaría archivos.
para servidores, seriamente el uso
y solo cuando del equipo o la
los equipos están red.
activamente bajo
ataque.
Creación o Impide que otros Protege contra los

modificación equipos realicen gusanos o virus

remota de conexiones y que se extienden

archivos de modifiquen rápidamente y
tipo portable ejecutables, como atraviesan una
ejecutable los archivos en la red mediante
(PE), .INI, .PIF y carpeta Windows. los recursos
ubicaciones de Esta regla afecta compartidos
núcleo del solo a los abiertos o
sistema tipos de archivo administrativos.
normalmente
infectados por los
virus.
Ejecución de Bloquea el inicio Protege contra el Aunque esta regla

archivos desde de cualquier malware que se proporciona la
las carpetas de ejecutable desde guarda y ejecuta mayor protección,
usuario común cualquier carpeta desde la carpeta podría bloquear
cuyo nombre Temp del usuario la instalación
contenga la o del sistema. de aplicaciones
palabra "temp". Este malware legítimas.
puede incluir
datos adjuntos
ejecutables
en correos
electrónicos
y programas
descargados.
Ejecución de Impide que Impide que los Puede bloquear

archivos de las aplicaciones ejecutables y los los procesos
carpetas de instalen software datos adjuntos legítimos que
usuario comunes desde el de correos utilizan la carpeta
por parte navegador o el electrónicos se Temp durante la
de programas cliente de correo ejecuten en instalación.
comunes electrónico. páginas web.

Tip:
Procedimient
o
recomendado
: desactive
esta regla
antes de
instalar la
aplicación o
agregar los
procesos
bloqueados a
la lista de
exclusión.
Cómo se evalúan los destinos de subreglas
Cada destino se agrega con una directiva Incluir o Excluir.
Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de evaluación verdadero si:
• Al menos una inclusión se evalúa como verdadero. y

• Todas las exclusiones se evalúan como falso.
Excluir tiene prioridad sobre Incluir. Por ejemplo:
• Si una misma subregla incluye un archivo C:\marketing\jjohns y excluye el mismo archivo, la subregla no se activa para
dicho archivo.
• Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla se activa si el archivo
no es C:\marketing\jjaime.
• Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjohns, la subregla se activa para
C:\marketing\cualquiera, pero no se activa para C:\marketing\jjohns.
Cómo se producen los exploits de desbordamiento del búfer
Los atacantes utilizan los exploits de desbordamiento del búfer para ejecutar código ejecutable, lo que permite al atacante
controlar el equipo de destino o poner en peligro sus datos.
El desbordamiento de búfer aprovecha el desbordamiento del búfer de memoria de tamaño fijo reservado para un proceso de
entrada. Un gran porcentaje de los ataques son ataques de desbordamiento del búfer que intentan sobrescribir la memoria
adyacente en el marco de la pila.
Los dos tipos de vulnerabilidades de desbordamiento del búfer son:
• Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas de usuario (más
comunes).
• Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el usuario realice una entrada. Cuando un
programa recibe una entrada por parte del usuario, los datos se almacenan en la parte superior de la pila. Los datos incluyen la
información de memoria de la dirección de retorno requerida por la aplicación al llamar a funciones internas. Cuando se procesa
la pila, la función de aplicación llamada procesa la entrada del usuario almacenada en la pila. La información de memoria de la
dirección de retorno se utiliza para determinar la dirección del código del autor de la llamada que devuelve la aplicación una vez
finaliza el procesamiento de la función llamada.
A continuación se describe un ataque por desbordamiento del búfer basado en pila:
1. Desbordar la pila. Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los
datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para ellos en la pila. Esta
situación solo supone un problema si se combina con una entrada maliciosa.
2. Vulnerar el desbordamiento. El programa espera por información del usuario. Si el atacante introduce un comando
ejecutable que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.
3. Realizar acciones maliciosas. La carga útil del exploit, también llamado Código shell realiza acciones maliciosas en el
sistema. Estas acciones pueden incluir agregar nuevos usuarios, cambiar los permisos del usuario, crear o modificar
archivos en el sistema, o descargar y ejecutar malware. En un principio, el programa se bloquea debido al desbordamiento
del búfer. Si el atacante proporcionó una dirección de memoria de retorno que hace referencia a la carga útil maliciosa, el
programa intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, se ejecuta la carga útil
maliciosa.
4. Vulnerar los permisos. La carga útil ahora se ejecuta con los mismos permisos que la aplicación que ha sido puesta en
peligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisos heredados de una cuenta
de servicio, el código atacante puede ahora adquirir un control total del sistema operativo.
Excluir elementos de Prevención de exploits
Si un evento de infracción de Prevención de exploits es un falso positivo, puede agregar una exclusión para evitar que la
prevención de exploits bloquee el elemento.
Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un conector lógico OR de manera que, si
una exclusión coincide, el evento de infracción no se produce. Las exclusiones no distinguen entre mayúsculas y minúsculas.
Protección de acceso: exclusiones de registro, procesos y archivos

Para archivos, procesos y elementos del registro, puede excluir por nombre de archivo o ruta, hash MD5 o firmante. Especifique
estas exclusiones en la directiva Protección de acceso o junto con otras exclusiones en la directiva Prevención de exploits.
Al especificar exclusiones, tenga en cuenta lo siguiente:
• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.
• Si especifica más de un identificador, se aplicarán todos los identificadores.
• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al
mismo archivo), la exclusión no es válida.
• Se aceptan caracteres comodín para todo excepto para hash MD5.
Protección de acceso: exclusiones de los servicios
Para Protección de acceso (servicios), puede excluir por el nombre del servicio en la ficha Servicios del Administrador de tareas.
Especifique estas exclusiones en la directiva Protección de acceso o junto con otras exclusiones en la directiva Prevención de
exploits.
Exclusiones de desbordamiento del búfer y uso ilegal de API

Cuando se produce un evento de infracción de Desbordamiento del búfer o Uso ilegal de API, el evento incluye un proceso
asociado y un módulo autor de llamada, una API o una firma posibles. Si cree que el evento de infracción es un falso positivo,
puede agregar una exclusión que permita uno o varios de estos identificadores. Especifique estas exclusiones en la directiva
Prevención de exploits.
Por ejemplo, supongamos que el comportamiento del cliente desencadena la Firma 2834, Java - creación de archivos
sospechosos en la carpeta Temp. La firma indica que la aplicación Java está intentando crear un archivo en la carpeta Temp de
Windows. Un evento activado por esta firma puede ser motivo de alarma, puesto que se podría utilizar una aplicación Java para
descargar malware en la carpeta Temp de Windows. En este ejemplo, podría tener sospechas razonables de que se ha instalado
un troyano. No obstante, si el proceso crea normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con la
aplicación Java, cree una exclusión que permita esta acción.
Para excluir completamente un proceso de protección contra desbordamiento del búfer o el uso ilegal de API existen varias
opciones:
• Crear una exclusión y especificar solo la información del proceso.

• Establecer el estado de inclusión para el proceso en Excluir en la lista de protección de aplicaciones.
• Eliminar el proceso de la lista de protección de aplicaciones. (No recomendado)
En cada uno de estos casos, la prevención de exploits no supervisa el proceso.
Si desea que la protección contra desbordamiento del búfer o el uso ilegal de API supervise un proceso, excepto para una firma
determinada:
• Asegúrese de que el proceso se encuentra en la lista de protección de aplicaciones con el estado de inclusión Incluir.
• Cree una exclusión y especifique el ID de firma e información del proceso.
En estos casos, la prevención de exploits supervisa el proceso para todas las demás firmas.
Si crea una exclusión para una firma determinada y especifica ** para el nombre del proceso, el efecto es el mismo que la
desactivación de la firma.
Solo necesita crear exclusiones para procesos que están en la lista de protección de aplicaciones con el estado de inclusión
establecido en Incluir.
Al especificar exclusiones, tenga en cuenta lo siguiente:
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Las exclusiones por Módulo de autor de llamada o API no se aplican a la Prevención de ejecución de datos (DEP).
• Si especifica más de un identificador, se aplicarán todos los identificadores.
• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash MD5 no se aplican al
mismo archivo), la exclusión no es válida.
• Se aceptan caracteres comodín para todo excepto para hash MD5.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas. Si no se especifica
ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.
Exclusiones de IPS de red
Para la protección IPS de red, puede excluir por direcciones IP (formato IPv4) o por rango. Para excluir un rango de direcciones IP,
introduzca un punto inicial y un punto final de rango. Por ejemplo:
203.0.113.0-203.0.113.255
Especifique estas exclusiones en la directiva Prevención de exploits.
Proteger archivos, el Registro, los procesos y los servicios con las reglas de Protección de acceso en un
sistema cliente
Cambie el comportamiento de las reglas definidas por McAfee o cree reglas personalizadas para proteger los puntos de acceso
de su sistema.
Antes de empezar
administrador.
Tip
Procedimiento recomendado: para obtener más información sobre la creación de reglas de Protección de acceso para
protegerse frente a ransomware, consulte PD25203, KB89335 y KB89540.
Procedimiento
4. Haga clic en Prevención de exploits.
5. Cambie una regla definida por McAfee: en la sección Reglas, haga doble clic en la regla.
a. En la página Editar regla definida por McAfee, configure las opciones.
b. En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos veces para
guardar la regla.
6. Crear una regla personalizada: en la sección Reglas, haga clic en Agregar.
a. En la página Agregar regla, configure las opciones.
b. En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y, después, haga clic en
Guardar.
El archivo ejecutable es el proceso que realiza la operación de la subregla en el destino de la subregla.
Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
c. En la sección Nombres de usuario, haga clic en Agregar y configure las propiedades del nombre de usuario.
Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
d. En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla.
Tip
Procedimiento recomendado: para evitar que el rendimiento se vea afectado, no seleccione la operación Leer.
e. En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en Guardar dos veces.
7. Especifique el comportamiento de la regla: En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para
la regla.
• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

• Para deshabilitar la regla, anule la sección tanto de Bloquear como de Informar.
Impedir que Protección de acceso bloquee los programas de confianza en un sistema cliente
Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en directivas o en reglas.
Note
Las exclusiones de protección de acceso no se aplican al tipo de subregla Servicios de Windows.
Procedimiento
5. Realice una de las siguientes acciones:
Para... Haga lo siguiente...
Excluir elementos de todas las reglas. 1. En la sección Exclusiones haga clic en

Agregar para agregar elementos a fin de
excluirlos de todas las reglas.
2. En la página Agregar ejecutable, configure
las propiedades del ejecutable.
3. Haga clic en Guardar y luego en Aplicar para
guardar la configuración.
Especificar procesos para su inclusión o a. Editar una regla definida por el usuario
exclusión en una regla definida por el usuario. existente o agregar una regla.
b. En la página Agregar regla o Editar regla, en
la sección Ejecutables, haga clic en Agregar
para agregar un ejecutable que excluir o
incluir.
c. En la página Agregar ejecutable, configure

las propiedades del ejecutable, y también si
desea incluirlo o excluirlo.
d. Haga clic en Guardar dos veces y luego en
Aplicar para guardar la configuración.
Configurar los ajustes de Prevención de exploits para bloquear amenazas en un sistema cliente
Para impedir que las aplicaciones ejecuten código arbitrario en el sistema cliente, configure las exclusiones, firmas
predeterminadas y reglas de protección de aplicaciones de Prevención de exploits.
Antes de empezar
administrador.
Se puede establecer la acción para firmas definidas por McAfee. Puede activar, desactivar, eliminar y cambiar el estado de
inclusión de reglas de protección de aplicaciones definidas por McAfee. También puede crear y duplicar sus propias reglas de
protección de aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones de contenido.
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
Procedimiento
Exclusión de elementos de la protección de Prevención de exploits en un sistema cliente
Si Prevención de exploits bloquea un programa de confianza, añada una exclusión para el nombre del proceso. En caso de
desbordamiento del búfer y uso ilegal de API, también se puede excluir por módulo autor de llamada, API o ID de firma. En
caso de IPS de red, excluya por la dirección IP o el ID de firma. Excluir servicios por nombre de servicio.
Procedimiento

5. Realice una de las siguientes acciones:
Excluir elementos de todas las reglas. a. En la sección Exclusiones haga clic en

Agregar para agregar elementos a fin de
excluirlos de todas las reglas.
b. En la página Agregar exclusión, seleccione el
tipo de exclusión y, a continuación, configure
las propiedades de exclusión.
c. Haga clic en Guardar y luego en Aplicar para
Especificar procesos para su inclusión o a. Edite una regla definida por el usuario
exclusión en una regla de protección de existente o agregue una regla de
aplicaciones definida por el usuario. (Solo protección de aplicaciones.
desbordamiento del búfer y uso no válido de API) b. En la página Agregar regla o Editar regla,
en la sección Ejecutables, haga clic en
Agregar para agregar ejecutables que excluir
o incluir.
c. En la página Agregar ejecutable, configure
las propiedades del ejecutable.
d. Haga clic en Guardar dos veces y luego en
Aplicar para guardar la configuración.
Usar el nombre distintivo del firmante para excluir ejecutables en un sistema cliente
El nombre distintivo del firmante (SDN) es necesario al activar la comprobación de una firma digital y excluir solo los
archivos firmados por un firmante del proceso especificado.
Procedimiento
1. Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2. En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3. En la ficha General haga clic en Ver certificado.
4. En la ficha Detalles, seleccione el campo Sujeto.
Aparecerá el nombre distintivo del firmante (SDN).
Por ejemplo, Firefox tiene este SDN:
CN = Mozilla Corporation
OU = Release Engineering
O = Mozilla Corporation
L = Mountain View
S = California
C = US
Note
Los campos del SDN aparecerán en orden inverso al formato requerido.
5. Copie el contenido del campo Sujeto a una ubicación temporal.

6. Edite la información para invertir el orden de los elementos, quitar saltos de línea y separar los elementos con una
coma.
Por ejemplo, el formato requerido de nombre distintivo del firmante es:
C=US, S=CALIFORNIA, L=MOUNTAIN VIEW, O=MOZILLA CORPORATION, OU=RELEASE ENGINEERING, CN=MOZILLA CORPORATION
7. Cuando cree exclusiones, copie y pegue los detalles del certificado como una sola línea de texto en el campo Firmado
por.
Análisis en busca de amenazas en los equipos cliente

Tipos de análisis
Puede configurar sus sistemas para realizar análisis automáticamente en tiempo real y bajo demanda de forma manual o
planificada.
Prevención de amenazas Opciones incluye ajustes que se aplican a todos los tipos de análisis.
• Análisis en tiempo real: configure el analizador en tiempo real en los ajustes de Análisis en tiempo real. Cuando se
accede a archivos, carpetas y programas, el analizador en tiempo real intercepta la operación y analiza el elemento
según los criterios definidos en la configuración.
• Análisis bajo demanda
Manual Ejecute un análisis bajo Configure el comportamiento

demanda predefinido en de análisis completos y
cualquier momento desde el rápidos en la configuración de
Cliente de Endpoint Security Análisis bajo demanda.
haciendo clic en Analizar
sistema y, a continuación,
seleccionando un tipo de
análisis.
Análisis rápido ejecuta una

comprobación rápida de las
áreas de su sistema que
son más susceptibles de
infectarse.
Análisis completo realiza
una comprobación
exhaustiva de todas las
áreas de su sistema. (Se
recomienda realizarlo si
sospecha que su equipo
está infectado).
Analice un archivo o Configure el comportamiento

una carpeta individual en del Análisis con el botón
cualquier momento desde derecho del ratón en la
el Explorador de Windows configuración del Análisis bajo
haciendo clic con el botón demanda.
derecho en el archivo o
carpeta y seleccionando
Analizar en busca de
amenazas en el menú
emergente.
Ejecute un análisis bajo Configure análisis

demanda personalizado como personalizados en la
administrador desde el configuración de Ajustes
Cliente de Endpoint Security: generales Tareas.
Seleccione
Configuración →
Ajustes generales →
Tareas.
Seleccione la tarea que
desea ejecutar.
Haga clic en Ejecutar
ahora.
Tip: Procedimiento
recomendado: utilice
personalizados manuales
para asociar una tarea de
análisis con una reacción,
como una infección de
malware.
Planificada Cuando un análisis bajo

demanda planificado está a
punto de empezar, Endpoint
Security muestra un aviso de
análisis en la parte inferior
de la pantalla. Puede iniciar
el análisis inmediatamente o
aplazarlo, si está configurado.
Planifique los análisis bajo Configure el comportamiento

demanda predefinidos en las de análisis completos y
opciones de Configuración → rápidos en la configuración de
Ajustes generales → Tareas. Análisis bajo demanda.
Análisis rápido: De forma

predeterminada, el Análisis
rápido está activado y se
ha planificado su ejecución
para cada día a las 19 horas.
Análisis completo: De forma
predeterminada, el Análisis
completo está activado y se
ha planificado su ejecución
para el miércoles a las 12 de
la noche.
Tip: Procedimiento
el Análisis completo
semanal para
complementar la
protección continua
del análisis en
tiempo real. El
análisis completo incluye
menos exclusiones y
comprueba activamente
todos los archivos de
código malicioso.
Compruebe el
archivo de registro
OnDemandScan_Activity para
obtener estadísticas de
análisis, como la hora de
inicio, la hora de finalización
y el tiempo necesario para
completar el análisis. Desde
la página Registro de eventos
del Cliente de Endpoint
Security, haga clic en Ver
directorio de registros. La
actividad de las tareas de
análisis más reciente aparece
en la parte inferior del
archivo.
Planifique análisis bajo Configure análisis

demanda personalizados en personalizados en la
la configuración de Ajustes configuración de Ajustes
generales Ajustes generales. generales Tareas.
Tip: Procedimiento
personalizados y
planificados para los
análisis específicos, como
los análisis diarios de
memoria.
Configure las opciones para todos los análisis en un sistema cliente
Defina los ajustes de Prevención de amenazas que se aplicarán a los análisis en tiempo real y bajo demanda.
Antes de empezar
administrador.
Estos ajustes se aplicarán a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes de eliminarlos
automáticamente
• Nombres de detecciones que excluir de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
• Comentarios de telemetría basados en McAfee GTI
Procedimiento
Definir qué programas potencialmente no deseados se detectan en un sistema cliente
Especifique los programas que desee que los analizadores en tiempo real y bajo demanda traten como programas no
deseados.
Antes de empezar
administrador.
Note
Los analizadores detectan tanto los programas que especifique como los especificados en los archivos de contenido de
AMCore.
Procedimiento
5. Desde Detecciones de programas potencialmente no deseados:
• Haga clic en Añadir para especificar el nombre y la descripción opcional de un archivo o programa que desee
tratar como un programa potencialmente no deseado.
Note
La Descripción aparece como el nombre de detección cuando se produce una detección.
• Haga doble clic en el nombre o descripción de un programa potencialmente no deseado ya existente para
cambiarlo.
• Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic en Eliminar para quitarlo
de la lista.
Activar la detección de programas potencialmente no deseados en un sistema cliente
Habilite los analizadores en tiempo real y bajo demanda para detectar programas potencialmente no deseados y especificar
las respuestas cuando se encuentre uno.
Antes de empezar
administrador.
Procedimiento
1. Configure las opciones de Análisis en tiempo real.
a. Abra Cliente de Endpoint Security.
b. Haga clic en Prevención de amenazas en la página principal Estado.
c. Haga clic en Mostrar opciones avanzadas.
d. Haga clic en Análisis en tiempo real.
e. En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no
deseados.
f. En Acciones, configure las respuestas a los programas no deseados.
2. Configure las opciones de Análisis bajo demanda.

a. Abra Cliente de Endpoint Security.
b. Haga clic en Prevención de amenazas en la página principal Estado.
c. Haga clic en Mostrar opciones avanzadas.
d. Haga clic en Análisis bajo demanda.
e. Para cada tipo de análisis (Análisis completo, Análisis rápido y Análisis con el botón derecho del ratón):
• Seleccione Detectar programas no deseados.

• En Acciones, configure las respuestas a los programas no deseados.
Cuándo se vacía la caché de análisis global
La caché de análisis global almacena los resultados de análisis limpios. El analizador en tiempo real y el analizador bajo demanda
pueden comprobar la caché para evitar el análisis de archivos conocidos como limpios y mejorar el rendimiento.
• La caché de análisis global de Prevención de amenazas se vacía cuando:

Cambia la configuración del Análisis en tiempo real o del Análisis bajo demanda.
El archivo de contenido de AMCore diario incluye un DAT de confianza actualizado. Los DAT de confianza se
publican cada 1 o 2 semanas, según sea necesario para obtener certificados nuevos.
El sistema se reinicia en modo seguro.
• Se vacía un objeto individual de la caché cuando:

El objeto ha cambiado en el disco.
El objeto caduca.
De forma predeterminada, los elementos de la caché se vacían tras de cinco días, si no se ha vaciado toda la
caché llegado ese momento. La caducidad de un elemento puede diferir del valor predeterminado si la caché
está llena. Los elementos de la caché a los que se ha accedido recientemente se conservan; los elementos más
antiguos caducan y se eliminan.
Si el proceso está firmado por un certificado de confianza, el certificado firmante se almacena en caché y se conserva allí tras el
reinicio del sistema. Es menos probable que el analizador analice archivos a los que accedan procesos que estén firmados por
un certificado de confianza almacenado en caché, lo que permite evitar el análisis y mejorar el rendimiento.
Configurar análisis que se ejecuten automáticamente cuando se accede a los archivos en un sistema
cliente
Active y configure análisis en tiempo real, que incluyen la configuración en función del tipo de proceso y la definición de
mensajes que enviar cuando se detecta una amenaza.
Antes de empezar
administrador.
Procedimiento
4. Haga clic en Análisis en tiempo real.
5. Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y cambiar opciones.
6. Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos para procesos de
riesgo alto o bajo.
• Use la configuración Estándar: configure los parámetros de análisis en la ficha Estándar.

• Configure distintas opciones para los procesos de riesgo alto y bajo: seleccione la ficha (Estándar, Riesgo alto o
Riesgo bajo) y configure los parámetros de análisis para cada tipo de proceso.
Elección del momento en que analizar archivos con el analizador en tiempo real
Puede especificar cuándo debe examinar archivos el analizador en tiempo real: al escribir en el disco, al leer el disco o cuando lo
decida McAfee.
Al escribir en el disco ("análisis de escritura")
Caution
La opción de análisis de escritura no impide el acceso a los archivos, ni antes ni después del análisis, de modo que puede
provocar que su sistema sea vulnerable a los ataques.
Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que se haya escrito en el disco y
cerrado. Un proceso puede llevar a cabo una operación de lectura, apertura o ejecución en el archivo antes de que el analizador
realice un análisis de escritura, lo que podría acarrear una infección. Las aplicaciones también podrían encontrarse con errores
de tipo SHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis de escritura.
El analizador en tiempo real examina los archivos cuando:
• Se crean o modifican en la unidad de disco duro local.

• Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también está activada la opción En
unidades de red).
• Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también está activada la opción En
unidades de red).
Al leer el disco ("análisis de lectura")
Tip
Procedimiento recomendado: Active la opción de análisis de escritura para proporcionar seguridad contra brotes.
Cuando se selecciona el análisis de lectura, el analizador impide el acceso a los archivos a menos que se determine que están
limpios.
El analizador en tiempo real examina los archivos cuando:
• Se leen, abren o ejecutan desde la unidad de disco duro local.

• Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción En unidades de red).
Dejar que McAfee decida
Tip
Procedimiento recomendado: active esta opción para obtener la mejor protección y el mejor rendimiento.
Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza para optimizar el análisis. La lógica
de confianza mejora la seguridad y aumenta el rendimiento mediante la elusión de análisis, lo que evita análisis innecesarios.
Por ejemplo, McAfee analiza algunos programas y considera que son de confianza. Si McAfee verifica que no se han manipulado
estos programas, el analizador podría llevar a cabo un análisis reducido u optimizado.
Procedimientos recomendados: reducción del impacto de los análisis en tiempo real en los
usuarios
Para minimizar el impacto que tienen los análisis en tiempo real sobre un sistema, seleccione opciones que eviten que el
rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Tip
Procedimiento recomendado: para obtener más información acerca de solución de problemas con el uso elevado de la
CPU del analizador en tiempo real, consulte KB89354.
Elección de las opciones de rendimiento

Algunas opciones de análisis pueden afectar negativamente al rendimiento del sistema. Por este motivo, seleccione estas
opciones únicamente si necesita analizar determinados elementos. Seleccione o anule la selección de estas opciones en la
configuración del Análisis en tiempo real.
• Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que se encuentren
actualmente en la memoria cada vez que:
Vuelve a activar el análisis en tiempo real.
Los archivos de contenido se actualizan.

Se inicia el servicio Prevención de amenazas.
El sistema se inicia.
dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule la selección de
esta opción para reducir el tiempo de inicio del sistema.
• Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados por McAfee o
Microsoft) o los archivos del servicio Instalador de confianza de Windows. anule la selección de esta opción para
mejorar el rendimiento de los instaladores de aplicaciones de Microsoft de gran tamaño.
Analice únicamente aquello que necesite
El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione
estas opciones solo si necesita analizar tipos específicos de archivos. Seleccione o anule la selección de estas opciones en la
sección Qué analizar de la configuración de Análisis en tiempo real.
• En unidades de red: analiza los recursos de las unidades de red asignadas. anule la selección de esta opción para
mejorar el rendimiento. Si anula la selección de esta opción, Protección adaptable frente a amenazas no analizará los
archivos en las unidades de red.
• Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia de seguridad. en la
mayoría de los entornos no es necesario seleccionar esta configuración.
• Archivos de almacenamiento comprimidos: Examina el contenido de archivos de almacenamiento (comprimidos),
incluidos los archivos .jar. Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden
infectar el sistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído el archivo de
almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquier malware.
Tip
Procedimiento recomendado: para obtener más información acerca de cómo solucionar el bajo rendimiento con
aplicaciones basadas en Java, consulte KB58727.
Configurar, planificar y ejecutar análisis en un sistema cliente
Planifique análisis completos y rápidos predeterminados, o bien cree y planifique análisis personalizados del Cliente de
Endpoint Security en la configuración de Tareas de las Opciones de Ajustes generales.
Antes de empezar
administrador.
Procedimiento
2. En el menú Acción , seleccione Configuración.
4. En Ajustes generales, haga clic en Tareas.
5. Configure los parámetros en la página.
Crear un análisis personalizado. a. Haga clic en Agregar.

b. Introduzca el nombre, seleccione Análisis
personalizado en la lista desplegable y haga
clic en Siguiente.
c. Configure los parámetros del análisis y
planifíquelo. A continuación, haga clic en
Aceptar para guardar el análisis.
Cambiar la configuración del análisis.

• Haga doble clic en el análisis, efectúe los
cambios necesarios y haga clic en Aceptar para
guardarlo.
Para cambiar los parámetros de los análisis

rápidos y completos, vaya a la configuración
de Prevención de amenazas, en Análisis bajo
demanda → Avanzado y, a continuación, haga clic
en la ficha correspondiente.
Cambiar la programación para realizar un análisis a. Haga doble clic en Análisis rápido o Análisis
rápido o uno completo. completo.
b. Haga clic en la ficha Planificación, modifique
la planificación y haga clic en Aceptar para
De forma predeterminada, el Análisis rápido
está activado y se ha planificado su ejecución
para cada día a las 19 horas. De forma
predeterminada, el Análisis completo está
activado y se ha planificado su ejecución para
el miércoles a las 12 de la noche.
Eliminar un análisis personalizado.

• Seleccione el análisis correspondiente y, a
continuación, haga clic en Eliminar.
Crear una copia del análisis. a. Seleccione el análisis correspondiente y, a

continuación, haga clic en Duplicar.
b. Introduzca el nombre, configure los

parámetros y haga clic en Aceptar para
guardar el análisis.
Ejecutar un análisis.
• Seleccione la tarea y haga clic en Ejecutar ahora.
Si la tarea ya se está ejecutando, incluyendo en
pausa o aplazada, el botón cambia a Ver.
Configurar análisis predefinidos que se pueden ejecutar de forma manual o programada en un

sistema cliente
Configure el comportamiento de tres análisis bajo demanda: Análisis rápido, Análisis completo y Análisis con el botón
derecho del ratón.
Antes de empezar
administrador.
Note
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más opciones de
configuración de análisis.
Procedimiento
4. Haga clic en Análisis bajo demanda.
5. Haga clic en una ficha para configurar las opciones del análisis especificado.
• Análisis completo
• Análisis con el botón derecho del ratón
Procedimientos recomendados: reducción del impacto de los análisis bajo demanda en los
usuarios de un sistema cliente
Para minimizar el impacto de los análisis bajo demanda sobre un sistema, seleccione opciones que eviten que el
rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Analizar solo cuando el sistema está inactivo

La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutar el análisis bajo demanda
solo cuando el equipo esté inactivo.
Si esta opción está activada, Prevención de amenazas pausa el análisis cuando detecta actividad del disco o del usuario (por
ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas reanuda el análisis si el usuario no accede al sistema
durante tres minutos.
Como opción, puede:
• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del usuario.
• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios acceden mediante una conexión de
Escritorio remoto (RDP). Prevención de amenazas depende del icono de la bandeja del sistema de McAfee para determinar si
el sistema está inactivo. En sistemas a los que solo se accede mediante RDP, el icono de la bandeja del sistema no se inicia y el
analizador bajo demanda no se ejecuta nunca. Para evitar este problema, agregue UpdaterUI.exe al script de inicio de sesión.
Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la pestaña Ajustes de la Tarea de
análisis.
Pausar análisis automáticamente

Para mejorar el rendimiento, puede pausar el análisis bajo demanda cuando el sistema se alimente de la batería. También se
puede interrumpir el análisis cuando se ejecute una aplicación en modo de pantalla completa como, por ejemplo, un navegador,
un reproductor multimedia o una presentación. El análisis se reanuda inmediatamente cuando el sistema se conecta a una
fuente de energía o ya no se está ejecutando en modo de pantalla completa.
• No analizar si el sistema funciona mediante la batería

• No analizar si el sistema está en modo de presentación (disponible cuando Analizar en cualquier momento está
activado)
Para los análisis personalizados, seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la Tarea de
análisis. Para los análisis rápidos y completos, seleccione estas opciones en la sección Rendimiento de la ficha Configuración
del → Análisis bajo demanda → Análisis completo o Análisis rápido.
Permitir que los usuarios aplacen los análisis

Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisis planificados en
incrementos de una hora, hasta 24 horas, o para siempre. Cada aplazamiento realizado por un usuario puede durar una hora.
Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, el usuario puede aplazar el análisis dos veces (dos
horas). Cuando se supera el número de horas máximo especificado, el análisis continúa.
Para análisis personalizados, seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha
Configuración de la Tarea de análisis. Para los análisis rápidos y completos, seleccione esta opción en la sección Rendimiento
Configuración → Análisis bajo demanda → Análisis completo o Análisis rápido.
Limitar la actividad de análisis con análisis incrementales

Utilice los análisis incrementales o reanudables para limitar cuándo se produce la actividad del análisis bajo demanda y analizar
igualmente todo el sistema en varias sesiones. Para usar análisis incrementales, añada un límite al análisis planificado. El análisis
se detiene cuando se alcanza el límite de tiempo. La próxima vez que se inicia esta tarea, continúa el análisis desde el lugar de la
estructura del archivo y la carpeta en que se detuvo el análisis previo.
Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la pestaña Planificación de la Tarea de
análisis.
Compruebe el archivo de registro OnDemandScan_Activity para obtener estadísticas de análisis, como la hora de inicio, la
hora de finalización y el tiempo necesario para completar el análisis. Desde la página Registro de eventos del Cliente de
Endpoint Security, haga clic en Ver directorio de registros. La actividad de las tareas de análisis más reciente aparece en la
parte inferior del archivo.
Configuración del uso del sistema

El Uso del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante el análisis. En los sistemas con
actividad por parte del usuario final, establezca el valor de uso del sistema en Bajo.
Se puede utilizar el Administrador de tareas de Windows para ver el uso de la CPU consumido por el proceso de servicio del
analizador de McAfee (mcshield.exe).
El proceso de análisis para análisis bajo demanda de Análisis completo y Análisis rápido se ejecuta con una prioridad baja.
No obstante, si no se está ejecutando ningún otro proceso durante un análisis, el proceso mcshield.exe puede consumir
hasta un 40 % de los recursos de la CPU no utilizados. Si otros procesos realizan solicitudes del sistema, mcshield.exe libera
los recursos de la CPU.
Para los análisis personalizados, seleccione Uso del sistema en la sección Rendimiento de la pestaña Ajustes en Tarea de
análisis. Para los análisis rápidos y completos, seleccione esta opción en la sección Rendimiento Ajustes → Análisis bajo
demanda → Análisis completo o Análisis rápido.
Analice solo aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por este motivo, seleccione
estas opciones solo si necesita analizar tipos específicos de archivos.
Para los análisis personalizados, seleccione o anule la selección de estas opciones en la sección Qué analizar de la pestaña
Ajustes en Tarea de análisis. Para los análisis rápidos y completos, seleccione o anule la selección de estas opciones en la
sección Qué analizar en Configuración → Análisis bajo demanda → Análisis completo o Análisis rápido.
• Archivos que se han migrado al almacenamiento Algunas soluciones de almacenamiento de datos offline sustituyen
los archivos con un archivo stub. Cuando el analizador se encuentra con un archivo stub, que indica que se ha migrado
el archivo, el analizador restaura el archivo al sistema local antes de proceder con el análisis. El proceso de restauración
puede afectar negativamente al rendimiento del sistema.
anule la selección de esta opción, a menos que necesite específicamente analizar los archivos del almacenamiento.
Note
Esta opción no se aplica a los archivos almacenados en Microsoft OneDrive. El analizador bajo demanda no
descarga archivos de OneDrive ni analiza archivos que aún no se hayan descargado.
• Archivos de almacenamiento comprimidos Incluso si un archivo de almacenamiento contiene archivos infectados,

los archivos no podrán infectar el sistema hasta que se haya extraído el archivo. Una vez extraído el archivo, el
análisis en tiempo real examina los archivos y detecta cualquier malware.
Note
Procedimiento recomendado: dado que el análisis de archivos de almacenamiento comprimidos puede afectar
negativamente al rendimiento del sistema, anule la selección de esta opción para mejorar dicho rendimiento.
4| Supervisión de la actividad de Prevención de amenazas en un sistema cliente
Supervisión de la actividad de Prevención de amenazas

en un sistema cliente
Consulte el Registro de eventos para ver la actividad reciente
El Registro de eventos en el Cliente de Endpoint Security muestra un registro de eventos que se producen en el sistema
protegido por McAfee.
Procedimiento
2. Haga clic en Registro de eventos en la parte izquierda de la página.
Esta página muestra todos los eventos que Endpoint Security ha registrado en el sistema en los últimos treinta días.
Si el Cliente de Endpoint Security no puede acceder a Administrador de eventos, muestra un mensaje de error de
comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.
3. Seleccione un evento en el panel superior para ver los detalles en el panel inferior.
Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y arrástrelo entre los paneles.
4. En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar los eventos.
5. Vaya al Registro de eventos.
De forma predeterminada, el Registro de eventos muestra veinte eventos por página. Para mostrar más eventos por
página, seleccione una opción en la lista desplegable Eventos por página.
Nombres y ubicaciones de los archivos de registro de Prevención de

amenazas
Los archivos de registro de actividades, errores y depuración registran eventos que se producen en los sistemas en los que
esté activado Endpoint Security
Todos los archivos de registro de actividades y depuración se almacenan en la siguiente ubicación predeterminada:
%ProgramData%\McAfee\Endpoint Security\Logs
Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo independiente. Los módulos
almacenan los registros de errores en un solo archivo, EndpointSecurityPlatform_Errors.log.
La activación del registro de depuración para cualquier módulo también lo activa para las funciones del módulo Ajustes
generales, como por ejemplo Autoprotección.
4| Supervisión de la actividad de Prevención de amenazas en un sistema cliente
Archivos de registro
Módulo Función o tecnología Nombre de archivo
Prevención de amenazas La activación del registro ThreatPrevention_Activity.log

de depuración para cualquier
tecnología de Prevención de ThreatPrevention_Debug.log
amenazas también lo activa para
el Cliente de Endpoint Security.
Prevención de exploits ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Análisis en tiempo real OnAccessScan_Activity.log
OnAccessScan_Debug.log
Análisis bajo demanda OnDemandScan_Activity.log
• Análisis completo OnDemandScan_Debug.log
• Análisis con el botón derecho
del ratón
Protección de acceso AccessProtection_Activity.log
AccessProtection_Debug.log
Ajustes generales EndpointSecurityPlatform_Errors.

log
Contiene registros de errores de
todos los módulos.
De manera predeterminada, los archivos de registro de instalación se almacenan aquí:
%TEMP%\McAfeeLogs, que es la carpeta TEMP de usuario de Windows.
5| Uso de reglas expertas
Uso de reglas expertas

Descripción general de las reglas expertas
Las reglas expertas son reglas personalizadas basadas en texto que se crean en la directiva Prevención de exploits en
Prevención de amenazas.
Las reglas expertas proporcionan parámetros adicionales y aportan mucha más flexibilidad que las reglas personalizadas que
pueda crear en la directiva de protección de acceso. Pero, para crear reglas expertas, debe comprender las sintaxis propias de
McAfee.
McAfee Endpoint Security incluye dos tecnologías de McAfee y motores de reglas para las reglas expertas: Arbitrary Access
Control (AAC) y McAfee Host IPS Core heredado.
Cada regla experta solo es compatible con un tipo de motor de reglas. No se pueden mezclar tipos de motor de reglas distintos
en la misma regla. Por ejemplo, no puede combinar una regla basada en McAfee Host IPS, como una regla de Uso no válido
de API, con una regla basada en ACC, como una regla de Archivos. Endpoint Security no es compatible con las firmas con
múltiples reglas.
Tip
Procedimiento recomendado: antes de escribir reglas expertas, le recomendamos que se familiarice con el lenguaje de
programación TcI.
Reglas expertas basadas en AAC

AAC es una tecnología propia de McAfee que utiliza Prevención de amenazas para proteger los recursos clave. Puede ampliar
esta protección mediante la creación de reglas para proteger archivos, procesos y elementos de Registro específicos. Las
reglas expertas basadas en AAC utilizan una sintaxis nueva que se utiliza junto con el intérprete del lenguaje de comandos de
herramienta (Tcl) versión 7.6.
• Archivos: Protege los archivos.

• Procesos: Protege los procesos.
• Registro: Protege las claves de Registro y valores de Registro.
También puede crear reglas de archivos, procesos y Registro personalizadas en la directiva de Protección de acceso en
Prevención de amenazas. Sin embargo, estas reglas no proporcionan toda la funcionalidad disponible con las reglas expertas.
Reglas expertas basadas en McAfee Host IPS heredadas

Estas reglas expertas siguen la misma sintaxis que las reglas creadas utilizando el método experto en McAfee Host IPS. Endpoint
Security admite los siguientes tipos de clase heredada:
• Desbordamiento del búfer: Evita las vulneraciones de desbordamiento del búfer para aplicaciones en la lista de
protección de aplicaciones.
• Uso no válido de API: Evita el uso no válido de la API de prevención de exploits. Las reglas expertas solo pueden ampliar
la funcionalidad de las firmas de uso no válido de API proporcionadas por el contenido de prevención de exploits.
Las reglas expertas no pueden hacer referencia a las API que ya no se tratan en una firma de uso no válido de API
disponibles en el contenido.
• Servicios: Protege los servicios de Windows (únicamente Windows versiones 8.0 y anteriores). También puede crear
reglas de servicios personalizadas en la directiva de Protección de acceso en Prevención de amenazas. Sin embargo,
estas reglas no proporcionan toda la funcionalidad disponible con las reglas expertas.
Tipos de reglas y sintaxis admitidas
Endpoint Security proporciona dos sintaxis para crear los distintos tipos de regla experta.
Sintaxis de McAfee Host IPS

Tipo de regla Sintaxis basada en AAC heredada
Archivos
Registro
Procesos
Desbordamiento del búfer
Uso no válido de API
Servicios
Programa (solo para McAfee

Host IPS)
La regla de tipo Procesos de AAC reemplaza a la regla de tipo Programa de McAfee Host IPS , que no es compatible con
Endpoint Security.
Note
Cómo funcionan las reglas expertas

Prevención de amenazas implementa reglas expertas en el sistema cliente igual que cualquier otra regla.
Las firmas en el contenido de Prevención de exploits proporcionan protección predeterminada de McAfee Labs. Si necesita
proteger recursos adicionales, puede crear reglas personalizadas en la directiva de protección de acceso. Para disfrutar de una
mayor personalización, cree reglas expertas en la directiva de prevención de exploits.
Cuando se escribe una regla experta para cualquier tipo de clase, la Prevención de exploits genera automáticamente el ID de
regla y le permite configurar:
• Nombre
• Gravedad (únicamente con fines de documentación)
• Reacción (informar, bloquear o ambos)
• Tipo de regla
• Notas
Puede introducir o pegar la sintaxis de la regla en el panel de Contenido de la regla o utilizar la plantilla para definir la sintaxis
de la regla.
Creación de reglas expertas

Crear o cambiar reglas expertas en un sistema cliente
Utilice reglas expertas cuando necesite crear reglas contra desbordamientos del búfer, usos ilegales de API o de servicios,
o reglas de archivos, procesos o registro más complejas que las permitidas por las reglas de protección de acceso
personalizadas.
Antes de empezar
administrador.
Endpoint Security no limita el número de reglas expertas que puede crear.
Tip
Procedimiento recomendado Para aislar cualquier posible problema, cada vez que cree una regla, compruebe que
se ha implementado correctamente en el sistema cliente. Compruebe si hay errores de compilación en el archivo
EndpointSecurityPlatform_Errors.log.
Procedimiento

4. En la sección Firmas:
• Crear una regla: haga clic en Agregar regla experta.

• Editar una regla definida por el usuario existente: haga doble clic en la regla de la tabla.
5. Rellene los campos de la página Comprobador de reglas expertas.
Endpoint Security asigna automáticamente el número de ID, que comienza por 20000.
a. Seleccione la gravedad y la acción de la regla.
La gravedad proporciona información únicamente; no tiene ningún efecto en la acción de la regla.
b. Seleccione el tipo de regla que se creará.
Note
c. Agregue el código de la regla al campo Contenido de la regla.

6. Guarde la regla y, a continuación, la configuración.
7. Valide la nueva regla experta en el sistema cliente.
Validar e implementar una regla experta en un sistema cliente
Valide que la sintaxis de una regla experta es correcta e impleméntela en un sistema cliente de prueba para verificar que
funciona correctamente antes de implementarla a mayor escala. La comprobación de sintaxis está disponible solo para las
reglas de tipo Archivo, Registro y Procesos.
Antes de empezar
administrador.
Procedimiento
5. En la sección Firmas, haga doble clic en una regla experta definida por el usuario.
6. En la ventana Comprobador de reglas expertas, haga clic en Comprobar.
El botón Comprobar no está disponible para las reglas del tipo Desbordamiento del búfer, Uso no válido de API o Servicios.
Si el comprobador detecta errores de sintaxis:
a. Revise el archivo EndpointSecurityPlatform_errors.log para obtener más información sobre el error de sintaxis.
b. Corrija el error en el Cliente de Endpoint Security.
c. Haga clic en Comprobar.
Cuando todos los errores se corrigen, el botón Implementar está disponible.
7. Haga clic en Implementar para guardar e implementar la regla o Cerrar para cancelar los cambios y cerrar la ventana
Comprobador de reglas expertas.
Reglas expertas basadas en AAC

Estructura de una regla AAC
Las reglas definen los límites del comportamiento aceptable y le indican a AAC cómo reaccionar si la acción filtrada coincide con
las especificaciones de la regla.
El comando Rule a nivel de raíz define la regla. Cada identificador de regla experta puede contener únicamente una definición
de regla y varias subreglas. El comando Match define las subreglas, cada una de las cuales tiene una función asignada: Initiator o
Target.
Como las subreglas de Initiator siempre se aplican a los objetos PROCESS, el comando Process proporciona un método de acceso
directo para la definición de las secciones Initiator.
Note
Los comandos para la creación de reglas AAC distinguen entre mayúsculas y minúsculas.
Esta es la estructura básica de las reglas basadas en AAC:
Regla {iniciador {Coincidencia... {Incluir... {...} Excluir... {...} Destino}} {Coincidencia...

{Incluir... {...} Excluir... {...} } } }
Note
Endpoint Security no es compatible con las firmas con múltiples reglas.
Relaciones válidas entre principal y secundarios de comandos AAC
La sintaxis AAC define qué comandos pueden ser principal y cuáles secundarios de otros comandos.
Comando Principal Secundario
Rule No aplicable Initiator
Process
Target
Comando Principal Secundario
Initiator Rule Match
Process Rule Include
Excluir
Target Regla Match
Match Initiator Include
Target Excluir
Include Proceso No aplicable
Match
Excluir Proceso No aplicable
Match
Cómo se evalúan los criterios de coincidencia en subreglas basadas en AAC
Los criterios de coincidencia de cada subregla especifican si se debe Incluir o Excluir la directiva. El motor de reglas evalúa el
evento filtrado según los criterios de coincidencia de la subregla.
La subregla coincide con el evento filtrado si se cumplen las dos condiciones siguientes:
• Al menos una subregla Initiator coincide con el proceso que ha iniciado la acción descrita por el evento.
• Al menos una subregla Target coincide con el tipo de objeto que es sujeto de la acción.
Al evaluar un evento de filtrado frente a una subregla, el motor de reglas realiza la lógica OR entre los criterios coincidentes del
mismo tipo y la lógica AND entre las coincidencias de tipo diferente. El motor de reglas evalúa en primer lugar las coincidencias
con la directiva Exclude y, a continuación, evalúa las coincidencias con la directiva Include.
La subregla se evalúa como TRUE si se cumplen ambas de las condiciones siguientes:
• Excluir las coincidencias que se evalúen como FALSE.

• Incluir las coincidencias que se evalúen como TRUE.
Ejemplo
Rule { Initiator { Match PROCESS { Include OBJECT_TYPE_A { … } Include OBJECT_TYPE_B { condition 1 }

Include OBJECT_TYPE_B { condition 2 } Exclude OBJECT_TYPE_C { … } } Target { Include OBJECT_TYPE_D
{ condition 1 } Include OBJECT_TYPE_D { condition 2 } } }
Esta regla devuelve TRUE si los dos siguientes son verdaderos:
• Una de las siguientes condiciones de Initiator es TRUE:

La condición 1 del OBJECT_TYPE_A 1 y del OBJECT_TYPE_B es TRUE.
La condición 2 del OBJECT_TYPE_A y del OBJECT_TYPE_B es TRUE.
OBJECT_TYPE_A es TRUE y OBJECT_TYPE_C es FALSE.
• Una de las siguientes condiciones de Target es TRUE:

La condición 1 de OBJECT_TYPE_D es TRUE.
La condición 2 de OBJECT_TYPE_D es TRUE.
Comandos de AAC para crear reglas de archivo, procesos y Registro
Comando Rule
El comando Rule define una regla AAC. Cada identificador de regla experta solo puede contener una definición de regla.
Descripción
Este comando no acepta argumentos y puede contener uno más comandos Initiator, Process y Target. Solo es necesario el
comando Target.
Sintaxis
Rule { Initiator … Process … Target … }
Comando Initiator
El comando Initiator en un comando Rule define las coincidencias del iniciador AAC. Únicamente los procesos pueden ser
iniciadores.
Descripción
Este comando no admite argumentos y solo puede contener comandos de Match.
Un comando Rule debe contener al menos un comando Initiator y puede contener múltiples comandos Initiator. Si no se
especifica el valor, la regla utiliza ** para indicar todos los procesos.
Sintaxis
Rule { … Initiator { Match … } … }
Comando Process
El comando Process proporciona un método de acceso directo para la definición de las secciones InitiatorMatch.
Descripción
Este comando no requiere ningún argumento y puede contener múltiples comandos Include y Exclude.
Un comando Rule puede contener múltiples comandos Process. El comando Process es opcional. Si no se especifica, la regla utiliza
el valor ** para indicar todos los procesos.
Sintaxis
Rule { ... Process { } ...

}
La sintaxis es un acceso directo para:
Rule { ... Initiator { Match PROCESS { } } ...

}
Comando Target
El comando Target define el destino de ACC que coincide para la regla.
Descripción
Este comando no admite argumentos y solo puede contener comandos de Match.
Rule debe contener al menos un comando Target y puede contener múltiples comandos Target.
Sintaxis
Rule { Target { Match … } ...

}
Comando Match
El comando Match define los criterios que utiliza AAC para coincidir un evento.
Descripción
Este comando utiliza un comando obligatorio, object_type_value, el cual especifica qué tipo de objeto ACC que distingue entre
mayúsculas y minúsculas se hace coincidir y puede contener múltiples comandos Include y Exclude.
El comando Match se puede utilizar únicamente en los comandos Initiator y Target.
Sintaxis
Rule { Initiator Match object_type_value { Include … Exclude … } } Target Match object_type_value

{ Include … Exclude … } } }
Valores de tipo de objeto de coincidencia
El comando Match tiene un argumento necesario: object_type_value, que es el tipo de objeto de AAC que distingue entre
mayúsculas y minúsculas con el que debe coincidir.
En la siguiente tabla se enumeran los valores válidos de object_type_value.
object_type_value de Tipo de objeto de

coincidencia Descripción coincidencia válido Notas
FILE Controla el acceso a un Target

archivo.
KEY Controla el acceso a los Target

datos de clave y valor
en un objeto de clave.
PROCESS Controla el acceso Si PROCESS no se utiliza

• Initiator
a un controlador de en la coincidencia de
• Target
procesos. Initiator, debe utilizar
THREAD.
Si el acceso que se
bloqueará es CREATE, el
tipo de objeto debe ser
SECTION en lugar de
PROCESS.
SECTION Controla el acceso a la Target

creación de un objeto
de sección.
THREAD Controla el acceso Si THREAD no se utiliza

• Initiator
a un controlador de en la coincidencia de
• Target
subprocesos. Initiator, debe utilizar
PROCESS.
object_type_value de Tipo de objeto de

coincidencia Descripción coincidencia válido Notas
VALUE Controla el acceso a los Target

datos de valor en un
objeto de clave.
Comandos Include y Exclude
Los comandos Include y Exclude especifican los datos que se utilizan para la comparación.
Descripción
Los comandos Include y Exclude requieren dos argumentos:
• MATCH_type, que determina las entradas en Include o Exclude con los operadores OR o AND
• Los datos reales que deben coincidir El cuerpo del comando puede contener varias entradas de datos. Cada entrada de
datos debe comenzar por -v o -l.
Sintaxis
Regla { Coincidencia Initiator { Include MATCH_type < -type PATH > { -v data | -l data ... } } }
}
Rule { Coincidencia Initiator { Exclude MATCH_type < -type PATH > { -v data | -l data ... } } }
}
Argumentos
Argumento Descripción
-v Especifica que va a interpretar la siguiente entrada

como un valor único.
-l Especifica que va a interpretar la siguiente entrada

como una lista Tcl en la que cada entrada se divide
automáticamente en su propia entrada coincidente.
-pfx Especifica la cadena que se va a anteponer a todas

las entradas de datos siguientes.
Argumento Descripción
Las cadenas siguen en vigor hasta que se utilice -pfx

de nuevo. Para eliminar el valor actual, utilice esta
opción sin incluir ninguna cadena.
-sfx Especifica la cadena que se va a adjuntar a todas las

entradas de datos siguientes.
Las cadenas siguen en vigor hasta que se utilice -sfx
de nuevo. Para eliminar el valor actual, utilice esta
opción sin incluir ninguna cadena.
-type PATH Interpreta todas las entradas del cuerpo como rutas
y elimina automáticamente los separadores finales
de directorio: / o \.
Esto resulta muy útil para evitar que se dupliquen
los separadores cuando se agregan cadenas a los
valores con la opción -sfx.
Accesos directos para MATCH_type

Puede utilizar los siguientes accesos directos en lugar de crear una entrada MATCH_type.
Sintaxis
Include/Exclude -processor_mode user|kernel
Include/Exclude -vtp_trust true|false
Include/Exclude -access access_types
El valor de access_types es una lista de tokens de acceso separados por un delimitador en la que se distingue entre mayúsculas y
minúsculas. Los caracteres válidos son los de espacio, tabulación, coma o barra vertical |.
Los tokens de acceso válidos son:
• CLEANUP
• CLOSE
• CONNECT_NAMED_PIPE
• CREATE
• DELETE
• ENUM
• EXECUTE
• LOAD_IMAGE
• LOAD_KEY
• OBJECT_EXISTS
• OPEN_NAMEDSECTION
• POST
• QUERY
• READ
• REPLACE_KEY
• RESTORE_KEY
• SET_REPARSE
• SET_SECURITY
• START_DEVICE
• TERMINATING
• WRITE
• WRITE_ATTRIBUTE
Valores de tipo de coincidencia
El valor MATCH_type determina qué entradas en Incluir o Excluir son ORed o ANDed. Los comandos con el mismo valor de
MATCH_type devuelven uno de los dos valores (OR). Los comandos con valores MATCH_type diferentes devuelven ambos valores
(AND).
Cada valor Match_type utiliza un tipo de datos específico para sus valores posibles. Los tipos de datos admitidos son:
• INTx/UINTx: todos coinciden con valores numéricos.

• Cadena: una cadena de texto.
• Bitmask: un valor numérico expresado en notación hexadecimal, que se evalúa de forma lógica.
Note
Los valores de MATCH_types distinguen mayúsculas de minúsculas.
Valor de tipo de Válido en tipos de

coincidencia Descripción Tipo de datos objeto
ACCESS_MASK Especifica el tipo de UINT64 - Bitmask Todo

acceso.
AUTHENTICATION_ID Coincide con un Cadena Todo

identificador SID de

SDDL de cuenta textual.

Esta coincidencia
puede utilizarse para
identificar una cuenta
de usuario específica
en la implementación
de directivas.
Para obtener
información sobre
las cadenas de
SDDL, consulte http://
msdn.Microsoft.com/
en-us/library/Windows/
Desktop/aa379602 (v =
vs. 85). aspx.
CACHE_ATTRIBUTE Coincide con un Bitmask

• PROCESS
atributo de la caché
• FILE
para el objeto en
cuestión.
Puesto que es un
tipo de coincidencia
de máscara de bits,
los bits coincidentes
se consideran una
coincidencia.
CERT_NAME Coincide con el nombre Cadena

• PROCESS
de certificado de firma
• THREAD
del objeto, pero no
• SECTION
se comprueba si el
certificado se asocia a
la raíz.
Si el objeto es
del tipo PROCESS o
THREAD, el certificado
se obtiene del módulo
de entrada principal.
Esta coincidencia nunca

devuelve “true” si el
objeto no está firmado.
CERT_NAME_CHAINED Coincide con el nombre Cadena

• PROCESS
de certificado de firma
• THREAD
del objeto, y el
• SECTION
certificado de firma
debe estar asociado a
la raíz del almacén de
certificados.
Si el objeto es
del tipo PROCESS o
THREAD, el certificado
se obtiene del módulo
de entrada principal.
Esta coincidencia nunca
devuelve “true” si el
objeto no está firmado.
DESCRIPTION Coincide con el recurso Cadena

• PROCESS
"FileDescription"
• FILE
extraído de la sección
• SECTION
de recursos del archivo
PE.
DLL_LOADED Coincide con un Bitmask PROCESS

archivo DLL cargado
en un objeto PROCESS
especificado.
Esto resulta útil
principalmente para
restringir las
coincidencias de
Initiator, tales como las
exclusiones de servicio
svchost.exe. Por lo
general, el nombre DLL
es el nombre base del
archivo DLL sin una

ruta de acceso o
extensión de archivo. Es
decir, “MFEVTPA”
coincide, mientras que
“MFEVTPA.DLL” o
“c:\program
files\common
files\mcafee\systemcor
e\mfevtpa.dll”. Los
datos coincidentes se
extraen directamente
de las estructuras de
proceso donde el
archivo DLL es
conocido por su
nombre base y el
nombre de archivo de
imagen asociada no
está presente.
Para que coincida al
cargar el archivo DLL,
establezca la parte del
valor de la máscara
de bits de nombre y
valor a 1. Para que
coincida cuando no se
ha cargado el archivo
DLL, establézcalo en 0.
ENV_VAR Especifica un nombre Par de valores con

• PROCESS
de variable de entorno nombre: String, String
• THREAD
y su valor. Este criterio
solo coincide si tanto
el nombre como el
valor coinciden con las
variables de entorno
extraídas del PEB.

FILE_ATIME Coincide con la última INT64

• PROCESS
vez que se accedió al
• FILE
fichero.
FILE_ATTRIBUTES Coincide con los bits de Bitmask

• PROCESS
atributos de archivo.
• FILE
FILE_CTIME Coincide con la hora de INT64

• PROCESS
creación del archivo.
• FILE
FILE_MTIME Coincide con la última INT64

• PROCESS
vez que se modificó el
• FILE
archivo.
FILE_PROPERTIES Hace coincidir la UINT64 - Bitmask FILE

máscara de bits con
las propiedades de
archivo comunicadas
por el Objetivo. Los bits
definidos son:
• NETWORK (0x1): el
archivo está en una
ruta de red.
• REMOVABLE (0x2): el
unidad extraíble.
• FLOPPY (0x4): el
unidad de disquete.
• CD (0x8): el archivo
está en una unidad de
CD.
• DFS (0x10): el archivo
está en DFS.
• REDIRECTOR (0x20):
el archivo se

abre mediante un
redirector.
GROUP_SID Hace coincidir el SID Cadena

• PROCESS
textual proporcionado
• THREAD
(es decir, S-1-5-18) con
respecto a los grupos
a los que pertenece el
token de usuario.
Los criterios devuelven
“true” si se encuentra
al menos un grupo
coincidente.
IMAGE_BASE_ADDRESS Especifica la dirección UINT64 SECTION

base virtual de una Disponible solo durante
imagen. las devoluciones de
Esto resulta útil llamada de la imagen
para recuperar la de carga, máscara de
dirección base de una acceso configurada en
imagen durante una LOAD_IMAGE.
notificación de carga de
imagen.
IMAGE_ENTRY_POINT Especifica el UINT64 SECTION

desplazamiento de Disponible solo durante
punto de entrada (en las devoluciones de
bytes) de una imagen. llamada de la imagen
Esto resulta útil para de carga, máscara de
recuperar la dirección acceso configurada en
de punto de entrada LOAD_IMAGE.
de una imagen durante
una notificación de
carga de imagen.
IMAGE_PROPERTIES Especifica diferentes UINT64 - Bitmask SECTION

propiedades de Disponible solo durante
imagen, en función las devoluciones de
de su disponibilidad llamada de la imagen

durante una de carga, máscara de

notificación de carga de acceso configurada en
imagen. LOAD_IMAGE.
Los bits definidos son:
• 64 bits: imagen de 64
bits.
• SYSTEM_MODE:
imagen de modo del
sistema.
• MAPPED_TO_ALL_PRO
CESSES: se ha
asignado la imagen a
todos los procesos.
IS_TRANSACTED Coincide (true) si el UINT8: valor booleano

• PROCESS
archivo es parte de una
• THREAD
transacción NTFS (TxF).
• FILE
Para los tipos de objeto
• SECTION
PROCESS o THREAD,
coincide si el objeto
de archivo de respaldo
del archivo ejecutable
principal es parte de
una transacción NTFS
(TxF).
MD5 Indica el resumen de UINT8

• PROCESS
MD5 del archivo de
• THREAD
respaldo. Si el objeto
• FILE
es del tipo PROCESS
• SECTION
o THREAD, el MD5 se
calcula con respecto a
su módulo ejecutable
principal.
NT_ACCESS_MASK Coincide con la UINT64 - Bitmask

• PROCESS
máscara de acceso NT
• THREAD
nativa de la operación
• FILE
de E/S para los intentos

de acceso a archivos, • REGISTRY

registros, procesos
y subprocesos.
Asegúrese de utilizar
las máscaras de acceso
adecuadas para el tipo
de objeto tal como se
describe en Microsoft
MSDN.
• FILE: https://
msdn.microsoft.com/
en-us/library/
windows/desktop/
aa364399(v=vs.85).as
px
• PROCESS: https://
msdn.microsoft.com/
en-us/library/
windows/desktop/
ms684880(v=vs.85).as
px
• THREAD: https://
msdn.microsoft.com/
en-us/library/
windows/desktop/
ms686769(v=vs.85).as
px
• REGISTRY: https://
msdn.microsoft.com/
en-us/library/
windows/desktop/
ms724878(v=vs.85).as
px
Por ejemplo,
para utilizar
NT_ACCESS_MASK para
bloquear llamadas
a CreateFile()
con GENERIC_WRITE,

la máscara de
bits debe ser
FILE_GENERIC_WRITE.
Note: Debido a
las limitaciones del
sistema operativo,
no se puede
bloquear
PROCESS_QUERY_LI
MITED_INFORMATIO
N, pero se puede
utilizar en reglas
ALLOW con fines
informativos.
OBJECT_NAME Especifica el nombre Cadena Todo

de objeto. Se acepta
cualquier combinación
de caracteres comodín.
OBJECT_SIZE Coincide con el tamaño INT64

• FILE
del archivo o, para una
• SECTION
sección, con el tamaño
de la imagen durante la
carga.
OPERATION_STATUS Coincide con el estado INT32 FILE

de la operación para
un evento posterior. No
es útil con eventos no
publicados.
OS_VERSION Compara la versión UINT32 Todo

del sistema operativo
especificada con la
actual. La versión del
sistema operativo debe

especificarse con el
formato:
OS_Version =
Major_Version * 1000
+ Minor_Version * 10
+ ServicePack. A modo
de ejemplo: VistaRtm
= 6000; VistaSp1=6001;
Win7=6010;
Win7Sp1=6011;
Win8=6020
PE Coincide con un UINT8 FILE

valor de datos de
"1" si el archivo
de destino es un
archivo PE (ejecutable
portátil, archivo
binario ejecutable de
Windows).
Note: No
se admiten
coincidencias de
PROCESS/THREAD
de Initiator porque,
por definición, son
archivos PE.
PE_MD5 Compara el resumen UINT8

• PROCESS
de MD5 calculado
• THREAD
en los archivos PE
• FILE
con los criterios de
• SECTION
coincidencia.
El resumen se calcula
según los cálculos
de valor de hash
de archivos PE de
Microsoft Authenticode:
se omite la suma
de comprobación de
encabezado del archivo

PE de 4 bytes, así
como la entrada de la
tabla de certificados,
que forma parte
de directorios del
encabezado opcional.
PE_SHA1 Compara los datos UINT8

• PROCESS
coincidentes con la
• THREAD
suma de hash SHA-1
• FILE
calculada en los
• SECTION
archivos PE.
PE_SHA2_256 Compara los datos UINT8

• PROCESS
coincidentes con la
• THREAD
suma de hash
• FILE
SHA2-256 calculada en
• SECTION
los archivos PE.

• PROCESS
coincidentes con la
• THREAD
suma de hash
• FILE
• SECTION
los archivos PE.

• PROCESS
coincidentes con la
• THREAD
suma de hash
• FILE
• SECTION
los archivos PE.
PROCESSOR_MODE Coincide si la UINT8

• PROCESS
coincidencia se evalúa
• THREAD
en el contexto de
una operación de E/S
originada en modo de
usuario o en modo de
kernel.

Esto es especialmente
útil para excluir
procesos de
coincidencia de una
regla si el proceso
se está ejecutando en
modo de usuario.
Note: No utilice
este tipo en las
operaciones del
registro.
KPROCESSOR_MODE
0 = kernelmode
1 = usermode
PROCESS_CMD_LINE Coincide con la línea Cadena

• PROCESS
de comandos del
• THREAD
proceso, extraída del
PEB (bloque de entorno
del proceso), una
estructura de datos
utilizada por Microsoft
Windows para guardar
información sobre
procesos en ejecución.
PROCESS_ID/ Coincide con un UINT64: ID de

• PROCESS
THREAD_ID ID de subproceso subproceso
• THREAD
especificado.

Note: Recuerde
que, cuando utiliza
este tipo de
coincidencia, los ID
de subprocesos y
procesos se reciclan
rápidamente en
el entorno de
Windows.
PROCESS_STATE_BITS Compara el nombre Bitmask

• PROCESS
o la máscara de
• THREAD
bits especificados
con stateID/stateBits
y que han sido
transferidos por el
objeto ProcessInfo
Initiator o Target. La
comparación devuelve
“true” si está presente
stateBits con stateID
en ProcessInfo y si
la operación bit a bit
AND entre stateBits
y la máscara de
bits transferida por
el objeto coincidente
produce un resultado
distinto a cero.
PRODUCT_NAME Coincide con el Cadena

• PROCESS
recurso "ProductName"
• FILE
extraído de la sección
• SECTION
de recursos de los
archivos PE.

REMOTE_MACHINE_AD Cadena Este tipo de

DRESS coincidencia es
Note: Este tipo
válido en la
solo se utiliza para
la generación de coincidencia PROCESS
informes. Initiator (requiere
OBJECT_NAME para
Si se utiliza para coincidir con
coincidencias, hace SYSTEM:REMOTE) o FILE
coincidir el tipo Target.
especificado con la E/S
de archivo iniciada por
una dirección IP de
cliente SMB específica
en formato IPv4 o IPv6.
En otras palabras, este
tipo no coincide con la
E/S de archivo iniciada
en el sistema local que
va a un servidor SMB.
Solo coincide con la E/S
de cliente que va al
servidor SMB local. Este
tipo de coincidencia es
útil principalmente para
generar los detalles del
evento.
SESSION_ID Compara los criterios UINT32

• PROCESS
de coincidencia
• THREAD
especificados con el ID
de sesión al que el
proceso o subproceso
pertenecen. Se puede
utilizar tanto para
objetos Initiator como
Target.
SHA1 Compara la suma de UINT8

• PROCESS
hash SHA-1 del archivo
• THREAD

de respaldo con los • FILE

datos coincidentes. • SECTION
Si el objeto es del tipo
PROCESS o THREAD,
la suma de hash
se calcula teniendo
en cuenta su módulo
ejecutable principal.
SHA2_256 Compara la suma de UINT8

• PROCESS
hash SHA2-256 del
• THREAD
archivo de respaldo con
• FILE
los datos coincidentes.
• SECTION
PROCESS o THREAD,
la suma de hash
se calcula teniendo

• PROCESS
hash SHA2-384 del
• THREAD
• FILE
• SECTION
PROCESS o THREAD,
la suma de hash
se calcula teniendo

• PROCESS
hash SHA2-512 del
• THREAD
• FILE
• SECTION
PROCESS o THREAD,
la suma de hash
se calcula teniendo

TARGET_OBJECT_NAME Especifica el nombre Cadena FILE

de objeto. Se acepta
cualquier combinación
de caracteres comodín.
Los nombres siguen las
mismas convenciones
que OBJECT_NAME. No
obstante, solo
coinciden con el
destino de una
operación de cambio
de nombre de archivo.
Esto permite la
escritura de reglas que
solo se aplican a
operaciones de cambio
de nombre basadas
tanto en el nombre de
origen (OBJECT_NAME)
como en el de destino
(TARGET_OBJECT_NAME
).
• OBJECT_NAME no es
necesario. Si no se
especifica, cualquier
origen coincide.
• Para cambiar
un nombre,
ACCESS_MASK es
DELETE, ya que
se realiza desde
la perspectiva
del archivo de
origen, incluso si

no se especifica
OBJECT_NAME.
USER_SID Coincide con la Cadena

• PROCESS
representación textual
• THREAD
del SID de la cuenta de
usuario (es decir,
S-1-5-21-22-23-24-1168)
.
VERSION_RESOURCE Coincide con el recurso Cadena

• PROCESS
"FileVersion" extraído
• FILE
de la sección de
• SECTION
recursos del archivo PE.
VERSION Coincide con la versión Cadena

• PROCESS
que se extrae de la
• THREAD
sección de recursos del
• SECTION
archivo.
VTP_PRIVILEGES Hace coincidir la UINT64 - Bitmask

• FILE
máscara de bits con los
• PROCESS
privilegios de VTP del
• THREAD
destino.
Los bits definidos son:
• PRIVILEGE_IOCTL (0
x 1): firmado por
un certificado de
confianza VTP.
• PRIVILEGE_ISG (0
x 8): firmado
específicamente por
un certificado de
McAfee.
Archivos firmados por

Microsoft:
• VTP_TRUST: Sí
• VTP_PRIVILEGES: Sí

• =0x08: No
• =0x09: Sí
McAfee:
• VTP_TRUST: Sí
• VTP_PRIVILEGES: Sí
• = 0 x 08: Sí
• =0x09: Sí

terceros:
• VTP_TRUST: No
• VTP_PRIVILEGES: No
• =0x08: No
• =0x09: No
VTP_TRUST Comprueba si VTP UINT8

• PROCESS
confía en el proceso o
• THREAD
archivo.
• SECTION
El valor se considera
como booleano. Es
decir, un valor de 1 en
el tipo de coincidencia
solo coincide con los
procesos que VTP
considere de confianza.
Un valor de 0 coincide
con procesos que no
son de confianza.
WOW64 Coincide con un valor UINT8

• PROCESS
de datos de "1" si el
• THREAD
proceso o subproceso
es un proceso WOW64.
Esto solo puede
ser “true” en las
plataformas de 64 bits
y siempre coincide con

"0" en las plataformas

de 32 bits.
Esta coincidencia se
aplica tanto a objetos
Initiator como Target.
Directrices de OBJECT_NAME
Utilice estas directrices cuando especifique el valor de coincidencia de OBJECT_NAME en un valor Match_type. Puede utilizar
cualquier combinación de caracteres comodín.
Valor OBJECT_NAME Notas
Nombre del disco Los formatos aceptados son:
• HardDiskXX: HardDisk0
• $(SystemDrive): el disco que contiene el volumen
del sistema.
Ruta del archivo completamente cualificada
Note: AAC no es compatible con rutas cortas.
• System: Especifica el nombre de proceso del

sistema.
Para hacer coincidir en función del subproceso que
se ejecuta en el contexto de proceso del sistema,
se debe establecer la regla con un comando
Initiator como "System".
• System:Remote: Especifica el nombre de proceso
del sistema para los sistemas remotos.
Para coincidir las operaciones de archivo para un
sistema remoto, la regla debe tener un comando
Initiator configurado como "System:Remote".
Para hacer coincidir en función de los "Sistemas" y

"Sistema: remoto", configure la regla para especificar
a 2 coincidencias o "System *".
Ruta valor/clave de Registro completa Se reconocen estas claves raíz:
Clave Coincidencias
HKLM HKLM es
equivalente a
HKEY_LOCAL_MAC
HINE.
HKCU Todas las claves

de Registro de
usuario (no solo
el usuario actual)
y la clave de
usuario .default.
HKCU equivale a:
• HKEY_CURRENT_
USER
• HKEY_USERS
Note: No
es compatible
con la
coincidencia
con un SID de
usuario
específico.
HKCUC Todas las clases

de usuario (HKCU/
*_CLASSES).
HKCR Las clases de

sistema y todas
las clases de
usuario (HKCU/
*_CLASSES).
HKCR es
equivalente a
HKEY_CLASSES_RO
OT.
HKCCS
• HKLM/SYSTEM/
CurrentControlS
et
• HKLM/SYSTEM/
ControlSet00X
HKLMS
• HKLM/Software
en sistemas de
32 bits y 64 bits
• HKLM/Software/
Wow6432Node
solo para
sistemas de 64
bits
HKCUS
• HKCU/Software
en sistemas de
32 bits y 64 bits
• HKCU/Software/
Wow6432Node
solo para
sistemas de 64
bits
HKULM
• HKLM
• HKCU
HKULMS
• HKLMS
• HKCUS
HKALL
• HKLM
• HKU
Note: Si la regla especifica un nombre,

donde se inicia la raíz o contiene un carácter
comodín, el código AAC no realiza ninguna
normalización de nombre y es posible que
ese nombre nunca coincida correctamente. Por
ejemplo, **\mcshield\start es un nombre válido,
pero H*L*\mcshield\start no lo es.
No se admite HKEY_CURRENT_CONFIG.
Nombre de sección completo
Nombre del proceso o la ruta del proceso completa También debe especificarse un nombre de proceso
para los objetos de subproceso.
Nombre del volumen

• Debe especificarse con el formato:
Volume{35FC9B67-54AC-49ff-AB99-33FFA2999670}
• $(SystemDrive): invariable y se aplica siempre al
volumen del sistema.
Indicadores ACCESS_MASK
Utilice estos indicadores con el valor Match_type de ACCESS_MATCH.
Indicador Se aplica a los tipos de objeto Se aplica cuando
CONNECT_NAMED_PIPE FILE (que representa una Intento de conexión a una

canalización con nombre) canalización con nombre.
CREATE
• FILE • Se crea un archivo, una clave,
• KEY un proceso o un subproceso.
• PROCESS Si el destino a bloquear es un
• THREAD proceso, especifique el tipo de
• SECTION objeto como SECTION en lugar
de PROCESS.
• El archivo está abierto para la
ejecución (objeto SECTION).
Esto no significa que se crea el

objeto SECTION en sí, sino que
significa que un objeto SECTION
se puede crear. Es posible que
no se cree el objeto SECTION
para la ejecución.
DELETE
• FILE • Se ha eliminado el archivo o
• KEY la clave (no los valores de
• PROCESS Registro) o se ha llamado a la
• THREAD seguridad establecida.
• El proceso se abre con
PROCESS_TERMINATE.
• Se abre un subproceso con
THREAD_TERMINATE.
ENUM
• KEY • La clave se abre con
• VALUE KEY_ENUMERATE_SUB_KEYS.
• Se enumeran los valores con
RegEnumValue.
EXECUTE FILE
• El archivo se abre con acceso
FILE_EXECUTE.
• Se crea el objeto SECTION con
SECTION_MAP_EXECUTE.
Tip: Procedimiento
recomendado: bloquear
objetos SECTION puede
provocar que Windows
llame a NtRaiseHardError().
Para bloquear la carga
de código no deseado sin
este inconveniente, utilice
CREATE con SECTION.
• El directorio se abre con acceso

de paso.
LOAD_IMAGE SECTION Notificación únicamente (no se

puede bloquear la carga de la
imagen).
LOAD_KEY KEY El subárbol del registro se carga

en una clave con ZwLoadKey o
RegLoadKey.
LOCK_RANGE Intento de bloquear o

desbloquear un bloqueo de
intervalo de bytes en un archivo.
Utilice esta máscara de acceso
para proteger un archivo de
registro. No es necesario utilizar
esta máscara de acceso para los
archivos en los que no se va
a escribir (WRITE) en tiempo de
ejecución, aunque los bloqueos
de intervalo de bytes no dejan de
leer y ejecutar los archivos.
OPEN_FOR_DELETE FILE Crear o abrir el evento que

ha solicitado el acceso de
eliminación.
POST FILE Evento posterior a la operación.

Los eventos que contienen
este bit únicamente coinciden
con reglas en las que se ha
establecido este bit. Además, si
la máscara de acceso contiene
otros bits establecidos (sin incluir
POST), la regla se evalúa como
verdadera solo si al menos algún
otro bit coincide con el evento.
QUERY Se produce el intento de

• KEY
consultar un valor/clave de
• VALUE
Registro.
READ El archivo/clave existente se abre

• FILE
para el acceso de lectura.
• KEY
• VALUE
Note: Esto no se
corresponde con las
operaciones del Registro
de clave/valor y enumerar/
consulta. Consulte ENUM
y QUERY para ver
las coincidencias con
operaciones de enumeración/
consulta del Registro.
READ_DATA FILE Se produce un archivo de lectura

de E/S real (se ejecuta ReadFile
desde el espacio de usuario).
RENAME Se produce la operación de

• FILE
cambio de nombre del archivo o
• KEY
de la clave del Registro.
• VALUE
REPLACE_KEY KEY Se ha sustituido la clave de

Registro (RegReplaceKey).
RESTORE_KEY KEY Se restaura la clave de Registro

(RegRestoreKey).
SET_FILE_LENGTH FILE Cualquier operación que cambie

la longitud del archivo
(ZwSetInformationFile), donde la
clase es una de las siguientes:
• FileEndOfFileInformation
• FileAllocationInformation
• FileValidDataLengthInformation
Este bit de acceso contribuye a la
detección de la copia de archivos,
cuando se amplía el archivo de
destino y, a continuación, se
escribe en él.
SET_REPARSE FILE Se intenta establecer los datos de

análisis en un objeto de archivo o
directorio.
No utilice esta máscara de
acceso con IS_DIRECTORY. Los
intentos por establecer un punto
de análisis en un flujo de
datos alternativo no coinciden
correctamente. Esto es debido
a que el sistema de archivos
siempre considera los flujos de
datos alternativos como objetos
de "archivo", incluso si el objeto
de archivo base es un directorio.
Sin embargo, el análisis de datos
se puede configurar desde un
identificador de archivo de un
flujo de datos alternativo en un
directorio, lo que provoca que se
devuelva STATUS_REPARSE para
todos los flujos de un objeto de
archivo o directorio.
TERMINATING Notificación únicamente (no se

• PROCESS
puede bloquear una acción de
• THREAD
finalizar).
WRITE
• FILE • El archivo existente se
• KEY abre para la escritura
• VALUE (FILE_GENERIC_WRITE y
• PROCESS TRUNCATE_EXISTING de
disposición).
Las reglas de archivos,

utilizando esta marca y
especificando el nombre del
archivo como una ruta
completa incluyendo la letra
de unidad, además coinciden
con las operaciones de cambio
de nombre de cualquiera
de los directorios de nivel
superior. Por ejemplo, si la
regla especifica "c:\program
files\mcafee\systemcore\**",
esta regla busca coincidencias
en las operaciones de cambio
de nombre con:
c:\Program
files\mcafee\systemcore
c:\program files\mcafee
c:\archivos de programa\
Pero la regla no coincide con:
c:\archivos de
programa\microsoft
c:\Program files\mcafee\VSE
• Se abre la clave existente para

la escritura (KEY_WRITE).
• El proceso se abre para el
acceso de escritura:
PROCESS_CREATE_PROCESS
PROCESS_CREATE_THREAD
PROCESS_DUP_HANDLE
PROCESS_SET_QUOTA
PROCESS_SET_INFORMATION
PROCESS_SUSPEND_RESUME
PROCESS_VM_OPERATIONS
PROCESS_VM_WRITE
• Identificador del subproceso se

abre con acceso de escritura:
THREAD_DIRECT_IMPERSONA
TION
THREAD_IMPERSONATE
THREAD_SET_CONTEXT
THREAD_SET_INFORMATION
THREAD_SET_LIMITED_INFOR
MATION
THREAD_SET_THREAD_TOKEN
THREAD_SUSPEND_RESUME
• Se crea, escribe o elimina el

valor de Registro.
Los valores se consideran los
datos de una clave.
WRITE_ATTRIBUTE FILE Donde se escriben los atributos

del archivo o del directorio.
WRITE_DATA FILE Archivo de escritura E/S real

(ejecución de WriteFile desde el
espacio de usuario).
Comandos de AAC para consultar el estado del sistema
Comando iDump
El comando iDump vuelca las variables globales definidas en la regla al archivo de registro si el registro de depuración está
activado.
Sintaxis
iDumpfilter
Si no se ha especificado filter, este comando vuelca todas las variables.
Parámetro
Parámetro Descripción
filter Cadena que representa los nombres de las variables

globales para volcar. El parámetro filter puede
contener caracteres comodín.
Comando iEnv
El comando iEnv devuelve el valor de la variable de entorno especificada o una cadena vacía si la variable no existe.
Sintaxis
iEnvname
Parámetro
Parámetro Devoluciones
name Valor de la variable de entorno especificada.
Ejemplo
set PingExe [iEnv SystemRoot]\\system32\\ping.exe
Comando iList
El comando iList ordena los valores de la lista en orden ascendente y elimina los valores duplicados.
Sintaxis
iList -d list
Parámetro
-d Indica que list contiene nombres de directorio y

convierte todos los caracteres de estos a un formato
adecuado para el sistema operativo.
Los separadores duplicados pasan a ser uno solo
antes de realizar las comparaciones; se eliminan
todos los caracteres finales de los nombres de
directorio antes de devolver la lista.
Si la entrada es un subdirectorio de otro elemento,
se devuelve únicamente el directorio principal.
Ejemplo
set alist {{c:/tmp\\ } {c:\tmp\a} {c:\tmp/b/c} {d:\debug}}

set blist [iList -d $alist]
El comando "blist" ahora contiene:
{{c:\tmp} {d:\debug}}
Comando iReg
El comando iReg lee información del Registro local.
Sintaxis
iReg [-32] param
Parámetros
Para leer el subárbol de 32 bits en un sistema operativo de 64 bits, especifique -32 como el primer argumento.
open keyname Abre una clave de Registro denominada keyname

y devuelve "1" si tiene éxito o "0" de lo contrario.
Cierra la clave cuando finaliza la sesión de análisis.
exist keyname Comprueba para ver si la clave de Registro

denominada keyname existe y devuelve "1" si existe o
"0" de lo contrario.
value keynamevaluename Lee la información de la clave de Registro keyname

con el nombre de valor de valuename.
Si el valor es de tipo:
• string: devuelve el valor de cadena.

• int: devuelve el valor de cadena.
• MULTI_SZ: devuelve una lista Tcl.
keys keyname Devuelve una lista de subclaves que existe bajo la

clave especificada por keyname.
v_exists keynamevaluename Comprueba para ver si el elemento valuename existe

en la clave especificada por keyname y devuelve "1" si
existe o "0" de lo contrario.
Puede utilizar los accesos directos siguientes para el keyname del Registro.
Nombre de clave Acceso directo
HKEY_LOCAL_MACHINE HKLM
HKEY_CLASSES_ROOT HKCR
HKEY_CURRENT_CONFIG HKCC
HKEY_CURRENT_USER HKCU
HKEY_USERS HKUS
Por ejemplo, para especificar el subárbol de software en el sistema local, utilice HKLM\\Software.
Comando iSystem
El comando iSystem devuelve información acerca del sistema cliente donde se ejecuta la regla.
Sintaxis
iSystemparam
Parámetros
version Versión del sistema operativo con el formato

major.minor.build.
major Versión principal del sistema operativo.
minor Versión secundaria del sistema operativo.
build Número de compilación del sistema operativo.
csd Valor CSD. Normalmente, será el Service Pack en

forma de una cadena, como "Service Pack 1".
platform Cadena con el nombre de la plataforma, por

ejemplo, "Windows 7".
type Tipo de sistema:
• Estación de trabajo
• Servidor
• Desconocido
cpu_arch Arquitectura de CPU:
• 320 para una CPU de 32 bits

• 640 para una CPU de tipo AMD de 64 bits
• 641 para una CPU de tipo Itanium de 4 bits
os_arch Arquitectura del sistema operativo:
• 320 para un sistema operativo de 32 bits
• 640 para un sistema operativo de 64 bits
install_dir Ubicación en el directorio de instalación de

Windows.
sys32_dir Ubicación de la carpeta System32.
users_folders folder_types Lista de ubicaciones de las carpetas para todos los

usuarios que se hayan creado en el sistema.
Puede especificar los tipos de carpetas para
devolver.
Los tipos de carpeta válida se muestran en
HKEY_USERS\<user
sid>\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Carpetas de shell
Además, puede especificar los siguientes tipos de

carpeta especiales:
• Temp: todas las carpetas temporales del sistema

• Profile: carpeta raíz de los perfiles de todos los
usuarios
• Downloads: las ubicaciones de descarga de todos
los usuarios
Comando iTerminate
El comando iTerminate detiene la compilación de las reglas y añade el texto de mensaje especificado al registro de errores.
Sintaxis
iTerminate "msg"
Parámetro
msg El mensaje para agregar al registro de errores.
Comando iUser
El comando iUser devuelve información acerca de los usuarios de un sistema.
Sintaxis
iUserparam
Parámetros
username "1" si el usuario no existe en el sistema, en caso

contrario, "0".
list Lista de todos los usuarios en el sistema.
groups username Lista de los grupos a los que pertenece un usuario.
Ejemplos de reglas de AAC
Impedir la creación de archivos
Esta regla de ejemplo impide que los usuarios creen archivos con el nombre "*test.txt" desde cmd.exe en la carpeta C:\temp.
Rule { Process { Include OBJECT_NAME { -v cmd.exe } } Target { Match FILE { Include OBJECT_NAME { -v "c:\
\temp\\*test.txt" } Include -access "CREATE" } } }
Impedir que los usuarios puedan cambiar un valor del registro
Esta regla de ejemplo evita que los usuarios puedan cambiar el valor de Registro en HKLMS\test.
Rule { Process { Include OBJECT_NAME { -v regedit.exe } } Target { Match KEY { Include OBJECT_NAME { -v
"HKLMS\\test**" } Include -access "CREATE WRITE DELETE REPLACE_KEY RESTORE_KEY" } } }
Bloquear los parámetros de PowerShell especificados
Esta regla de ejemplo evita que PowerShell se ejecute con unos parámetros de línea de comandos específicos, excepto para el
comando codificado, que es "dir c:\program files".
Rule { Process { Include OBJECT_NAME { -v "*PowerShell*" } Include PROCESS_CMD_LINE { -v "*-NoLogo*" }

Include PROCESS_CMD_LINE { -v "*-File*" } Include PROCESS_CMD_LINE { -v "*-EncodedCommand*" }
Include PROCESS_CMD_LINE { -v "*-Command*" } Exclude PROCESS_CMD_LINE { -v "*-EncodedCommand

ZABpAHIAIAAnAGMAOgBcAHAAcgBvAGcAcgBhAG0AIABmAGkAbABlAHMAJwAgAA==" } } Target { Match SECTION { Include
-access "CREATE" } } }
Permitir la creación de un archivo únicamente desde una carpeta excluida
Esta regla evita que el archivo test.dat se cree o lea desde cualquier carpeta que no sea la carpeta archivos de programa.
Rule { Process { Include OBJECT_NAME { -v cmd.exe } } Target { Match FILE { Include OBJECT_NAME { -v **\
\test.dat } Exclude OBJECT_NAME -type PATH { -v "c:\\program files\\test.dat" } Include -access "CREATE
READ EXECUTE" } } }
Registrar variables de entorno
Esta regla de ejemplo vuelca las variables de entorno al registro de depuración y evita que cmd.exe cree archivos .exe y .dll en la
carpeta Archivos de programa. Puede comprobar los valores en el archivo de registro de depuración de protección de acceso.
Rule { set test_var1 [iSystem major] set test_var2 [iSystem os_arch] set os_major_version [iSystem
major] set os_arch [iSystem os_arch] if { $os_arch == 320 } { set test_var3 {%windir%\\System32} }
else { set test_var4 {%windir%\\System32} set test_var5 {%windir%\\Syswow64} } if { $os_major_version >=
6 } { set test_var6 "%programdata%\\McAfee\\Endpoint Security" } else { set test_var7 "%allusersprofile%\
\Application Data\\McAfee\\Endpoint Security" } set test_var8 "HKLM\\SOFTWARE\\McAfee\\Endpoint" lappend
test_var9 [iReg value $test_var8 szInstallDir32] lappend test_var9 [iReg value $test_var8 szInstallDir64]
set test_var9 [iList -d $test_var9] set test_var10 [iReg value HKCR\\http\\shell\\open\\command ""]
set test_var10 [iUtil cvt2args $test_var10 ] set test_var10 [lindex $test_var10 0] iDump test_ Process
{ Include OBJECT_NAME { -v cmd.exe } } Target { Match FILE { Include OBJECT_NAME { -v "%programfiles%\
\**.exe" -v "%programfiles%\\**.dll" -v "%programfiles(x86)%\\**.exe" -v "%programfiles(x86)%\\**.dll" }
Include -access "CREATE" } } }
Solución de problemas de reglas basadas en AAC
McAfee Endpoint Security proporciona información en el archivo EndpointSecurityPlatform_Errors.log acerca de las reglas que
no se han compilado correctamente y que no se han implementado.
Dado que todas las reglas de expertas se compilan en un solo grupo, cuando una regla experta genera un error, no se
implementa ninguna regla experta.
Note
Procedimiento recomendadoPara aislar cualquier posible problema, cada vez que cree una regla, compruebe que se ha
implementado correctamente en el sistema cliente.
El archivo EndpointSecurityPlatform_Errors.log incluye información detallada, como el contenido de la regla y el parámetro que
provocó el error. Por ejemplo, este error de registro muestra el error de las reglas expertas, el cual es un comando Include
adicional:
08/11/2017 11:57:34.403 AM mfeesp(4016.4412) <SYSTEM> ApBl.AP.Error: Syntax error: Include: Invalid

number of arguments while executing "Include Include OBJECT_NAME { -v "*PowerShell*" }" Include Include
OBJECT_NAME { -v "*PowerShell*" } Include PROCESS_CMD_LINE { -v "*-extoff* script.scp" } Include ..."
invoked from within "Process { Include OBJECT_NAME { -v "*PowerShell*" } Include PROCESS_CMD_LINE { -v "*-
extoff*" } Include PROCE ..." invoked from within "Rule -id "4100" { Reaction BLOCK Group "ExPExpertRules"
Description "testrule" Process { Include AggregateMatch { Include OBJECT_NAME { ..." invoked from
within "Policy { Rule -id "4100" { Reaction BLOCK Group "ExPExpertRules" Description "testrule" Process
{ Include AggregateMatch { Include OBJECT_NA ..."LastErr 0x000010dd The operation identifier is not valid.
08/11/2017 11:57:34.403 AM mfeesp(4016.4412) <SYSTEM> ApBl.AP.Error: ERR: BLError 0xc0380102, Could not
process content file
Reglas expertas heredadas y basadas en McAfee Host IPS

Estructura de regla de McAfee Host IPS heredada
Reglas que contienen secciones tanto necesarias como opcionales, una sección por línea. Cada sección define una categoría de
regla y su valor. Una sección siempre identifica la clase de la regla, la cual define el comportamiento general de la regla. Las
secciones opcionales varían según la clase de la regla.
A continuación, podrá ver la estructura básica de una regla de McAfee Host IPS:
Rule { SectionA value SectionB value SectionC value ...

}
Como la estructura y los tipos de clase de las Reglas expertas heredadas son idénticos a los de McAfee Host IPS, puede copiar
las reglas de McAfee Host IPS existentes en las Reglas expertas de Endpoint Security.
Note
Endpoint Security no es compatible con las firmas con múltiples reglas.
Sintaxis heredada
Caracteres comodín
Puede utilizar caracteres comodín para los valores de sección de las reglas expertas.
Carácter comodín Representa
? (signo de interrogación) Un solo carácter.
* (un asterisco) Múltiples caracteres, incluidos / y \.
Carácter comodín Representa
Note: Para rutas y direcciones, utilice **

(2 asteriscos) para incluir / y \. Utilice * (un
asterisco) para excluir / y \.
& (signo et) Múltiples caracteres excepto / y \.

Utilice & para coincidir contenido a nivel de raíz de
una carpeta, pero no las subcarpetas.
Por ejemplo:
Incluir "C:\test\\&.txt"
! (signo de exclamación) Escape de caracteres comodín.

Por ejemplo:
Incluir "C:\test\\yahoo!.txt"
Variables de entorno
Utilice las variables de entorno para especificar los nombres de ruta de archivos y directorios.
El comando iEnv toma un parámetro (el nombre de variable) entre corchetes [ ].
Variable de entorno Representa
iEnv SystemRoot C:\WinNT\, donde C es la unidad que contiene la

carpeta del sistema de Windows.
Por ejemplo:
Incluir [iEnv SystemRoot]\\system32\
\abc.txt
iEnv SystemDrive C:\, donde C es la unidad que contiene la carpeta del

sistema de Windows.
Por ejemplo:
Incluir [iEnv SystemDrive]\\system32\
\abc.txt
Utilizar las palabras clave Include y Exclude
Cuando selecciona un valor de sección como Include, la sección funciona en el valor indicado. Cuando selecciona un valor de
sección como Exclude, la sección funciona con todos los valores excepto el indicado.
Las palabras clave Include y Exclude son compatibles con todas las secciones excepto directives y attributes.
Adjunte las palabras clave Include y Exclude entre corchetes { ... }.
Note
Para una subregla estándar, utilice una barra invertida en las rutas de archivos. La subregla estándar convierte las barras
diagonales únicas en las dos barras diagonales requeridas. Para una subregla en una regla experta, utilice dos barras
invertidas en las rutas de archivos. La subregla experta no lleva a cabo ninguna conversión.
Por ejemplo, supervisar todos los archivos de texto en C:\test\:
files { Include C:\\test\\*.txt }
Para supervisar todos los archivos excepto los archivos de texto en C:\test\:
files { Exclude C:\\test\\*.txt }
Combine las palabras clave para excluir valores de un conjunto de valores incluidos.
Por ejemplo, para supervisar todos los archivos de texto en la carpeta C:\test\ excepto el archivo abc.txt:
files { Include C:\\test\\*.txt } files { Exclude C:\\test\\abc.txt }
Cada vez que agrega la misma sección con la misma palabra clave, se agrega una operación.
Por ejemplo, para supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience por la cadena "abc":
files { Include C:\\test\\*.txt } files { Include C:\\test\\abc* }
Exclude tiene prioridad sobre Include. Por ejemplo:
• Si una única subregla incluye un usuario en particular marketing\jjohns y excluye a ese mismo marketing\jjohns, la firma
no se activa incluso cuando el usuario marketing\jjohns realiza una acción que activa la firma.
• Si una subregla incluye todos los usuarios, pero excluye al usuario marketing\jjohns en concreto, la firma se activa si el
usuario no es marketing\jjohns.
• Si una subregla incluye el usuario marketing\* pero excluye a marketing\jjohns, la firma solo se activa cuando el usuario
es marketing\cualquiera, a menos que el usuario sea marketing\jjohns, en cuyo caso, no se activa.
Secciones que son comunes a todos los tipos de clase
Utilice estas secciones cuando defina las reglas de todos los tipos de clase.
Todos los nombres de sección distinguen entre mayúsculas y minúsculas. Los valores de la sección no distinguen entre
mayúsculas y minúsculas.
Para las secciones que solo son aplicables a un tipo de clase específico, consulte las listas de la sección de ese tipo de clase.
Sección Valor Descripción ¿Obligatorio?
user_name {Incluir/excluir el Especifica los usuarios Sí

nombre de usuario o la a los que se aplica
cuenta de sistema} la regla. Especifique
usuarios determinados
o todos los usuarios.
• Local users: nombre

de la máquina/nombre
del usuario local
• Domain users:
nombre del dominio/
nombre de usuario del
dominio
• Local system: local/
sistema
Algunas acciones
iniciadas remotamente
no informan del
identificador del
usuario remoto, sino
que utilizan el servicio
local y su contexto
de usuario en su
lugar. Debe planear en
consecuencia cuando
desarrolle las reglas.
Cuando se produce un
proceso en el contexto
de una sesión nula, el
usuario y el dominio
son "Anonymous".
Si a regla es aplicable
a todos los usuarios,
utilice el carácter
comodín *.
Ejecutable {Include/Exclude Especifica los Sí

nombre de ruta de ejecutables a los que se
acceso del archivo, aplica la regla.
huella digital, firmante Especifique cada
o descripción} ejecutable dentro de
los corchetes mediante:
• -path: el nombre de
ruta de archivo
• -hash: hash MD5
• -sdn: firmante
• -desc: descripción
Cada sección puede
tener varios corchetes
y, dentro los mismos,
una o más opciones.
Los valores -path, -sdn y
-desc son cadenas que
deben finalizar con Tcl
si contienen espacios
u otros caracteres
reservados para Tcl.
El valor -hash es una
cadena hexbin de 32
caracteres.
Por ejemplo:

Executable
{ Include -path
"C:\\Program
Files (x86)\
\McAfee Endpoint
Security\\
Threat Prevention\
\mfetp.exe" -sdn
"CN=\"McAfee,
Inc.\",
OU=Engineering,
O=\"McAfee,
Inc.\",
L=Santa Clara,
ST=California,
C=US" -desc "on-
access scanner
service" }
Si una regla es aplicable

a todos los ejecutables,
utilice el carácter
comodín *.
directivas tipo de operación Especifica los tipos Sí

de operación que
dependen de la clase.
Para el tipo de
operación, consulte las
directivas de cada
descripción del tipo de
clase.
dependencias {Include/Exclude "ID de Define las No

una regla"} dependencias entre
reglas e impide la
activación de reglas
dependientes.
Agregue la sección
de dependencias para
evitar que una regla
más general se active
con una regla más
específica. Por ejemplo,
puede utilizar ID 428
para las firmas de
desbordamiento del
búfer.
attributes -no_log No envía ningún No

evento de la firma.
-not_auditable Cuando se activa el

modo de adaptación
no se genera ninguna
excepción para la firma.
-no_trusted_apps Especifica que la lista

de aplicaciones de
confianza no se aplica a
esta firma.
-inactive Desactiva la firma.
Tipos de clase
Tipo de clase de desbordamiento del búfer
El tipo de clase Desbordamiento del búfer evita los exploits del desbordamiento del búfer para aplicaciones que se encuentren en
la lista de protección de aplicaciones.
Sección Valor Notas
user_name
Ejecutable
dependencias 428 Especifica la firma 428,

Desbordamiento de búfer
genérico, una regla de
desbordamiento del búfer
genérico. (Opcional)
Se recomienda incluir la sección

"dependencias 428" para evitar
que se active la firma genérica.
módulo de autor de la llamada Ruta de acceso a un módulo (por

ejemplo, un archivo DLL) cargada
por un archivo ejecutable
que llama y produce un
desbordamiento del búfer
directivas bo:stack Examina la ubicación de la

memoria que se está ejecutando
y detecta si se está ejecutando
desde una memoria de escritura
que forma parte de la pila de la
actual del subproceso.
bo:heap Examina la ubicación de memoria

que se está ejecutando y detecta
si se está ejecutando desde una
memoria de escritura que forme
parte de un montón.
bo:writeable_memory Examina la ubicación de memoria

que se está ejecutando y detecta
si se está ejecutando desde una
memoria de escritura que no
forme parte de la pila o del
montón del subproceso actual.
bo:invalid_call Comprueba que se llama a una

API desde una instrucción de
llamada adecuada.
bo:target_bytes Una cadena hexadecimal que

representa 32 bytes de
instrucciones que se pueden
utilizar para crear una excepción
destino para un falso positivo sin
desactivar el desbordamiento del

búfer de todo el proceso.
bo:call_not_found Comprueba que la secuencia de

código antes de la dirección del
remitente no es una llamada.
bo:call_return_unreadable Comprueba que la dirección del

remitente no es memoria legible.
bo:call_different_target_address Comprueba que el destino de

la llamada no coincide con el
destino enlazado.
bo:call_return_to_api Comprueba que la dirección

del remitente es un punto de
entrada de la API.
Tipo de clase de uso no válido de API
El tipo de clase Uso no válido de API evita un uso no válido de la API de prevención de exploits.
user_name
Ejecutable
vulnerability_name Nombre de la vulnerabilidad
detailed_event_info Un CLSID o más. Este valor es un número de

128 bits que representa un
identificador único para un
componente de software, como:
"{FAC7A6FB-0127-4F06-9892-
8D2FC56E3F76}"
directivas illegal_api_use:bad_parameter
illegal_api_use:invalid_call
Utilice esta clase para crear una firma personalizada del bit de interrupción. El bit de interrupción es una característica
de seguridad de los navegadores web y otras aplicaciones que utilizan controles ActiveX. Un bit de interrupción especifica
el identificador de clase (CLSID) de objeto para los controles de software ActiveX que se identifican como amenazas de
vulnerabilidad de la seguridad. Las aplicaciones que utilizan controles ActiveX no cargan software ActiveX especificado con
un bit de interrupción correspondiente en su lugar.
El propósito principal de un bit de interrupción es cerrar las brechas de seguridad. Las actualizaciones del bit de interrupción se
implementan habitualmente en sistemas operativos de Microsoft Windows con las actualizaciones de seguridad de Windows.
Esto es un ejemplo de un bit de interrupción de firma:
Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include "*"} user_name
{ Include "*"} vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info
{ Include "0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"} directives
files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable }
Tipo de clase de Servicios
El tipo de clase Servicios protege las operaciones de servicios de Windows.
Sección Valores Notas
user_name
Ejecutable
servicios Nombre del servicio que se debe (Obligatorio)

proteger. El nombre del servicio está en la
clave de Registro
correspondiente situada en
HKLM_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\.
display_names Mostrar nombre del servicio. Obligatorio.

Este nombre aparece en el
administrador de servicios y en el
Sección Valores Notas
valor de Registro
HKLM_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\<nam
e-of-service>\</name-of-service>
directivas services:delete Elimina un servicio.
services:create Crea un servicio.
services:start Inicia un servicio.
services:stop Detiene un servicio.
services:pause Detiene un servicio.
services:continue Continúa un servicio tras una

pausa.
services:startup Cambia el modo de inicio de un

servicio.
services:profile_enable Activa un perfil de hardware.
services:profile_disable Desactiva un perfil de hardware.
services:logon Cambia la información de inicio

de sesión de un servicio.
Ejemplo
La siguiente regla impide la desactivación del servicio del alertador.
Rule { services { Include "Alerter" }

application { Include "*"} user_name { Include "*" } directives services:stop
}
Sección Descripción
services { Include “Alerter” } Indica que la regla se aplica al servicio con el nombre
"Alerter".
Si la regla se aplica a varios servicios, añádalos en
esta sección en distintas líneas.
application { Include “*”} Indica que esta regla es válida para todos los
procesos.
Para limitar la regla a procesos específicos, enumere
el nombre de ruta de cada proceso.
user_name { Include “*” } Indica que esta regla es válida para todos los
usuarios (o más precisamente, el contexto de
seguridad en el que se ejecuta un proceso).
Para limitar la regla a contextos de usuario
específicos, enumere estos datos mediante el
formulario local/usuario o dominio/usuario.
directives services:stop Indica que esta regla se aplica a la desactivación de

un servicio.
COPYRIGHT
Copyright © 2023 Musarubra US LLC.
Trellix, FireEye y Skyhigh Security son marcas comerciales o marcas comerciales registradas de Musarubra US LLC, FireEye Security Holdings US
LLC y sus afiliados de EE. UU. u otros países. McAfee es una marca comercial o una marca comercial registrada de McAfee LLC o sus filiales de EE.
UU. u otros países. La propiedad de otros nombres y marcas corresponde a estas empresas o es posible que correspondan a terceros.

Guia Del Producto de Prevencion de Amenazas Del Cliente de Mcafee Endpoint Security 10.6.0 - Windows 1-12-2023

Cargado por

Información del documentohacer clic para expandir la información del documentoTrellix

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Guia Del Producto de Prevencion de Amenazas Del Cliente de Mcafee Endpoint Security 10.6.0 - Windows 1-12-2023

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Del Producto de Prevencion de Amenazas Del Cliente de Mcafee Endpoint Security 10.6.0 - Windows 1-12-2023

Cargado por

Copyright:

Formatos disponibles

Guía del producto de Prevención

de amenazas del cliente de McAfee

Descripción general del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Descripción general de Endpoint Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Cómo funciona Endpoint Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Descripción general de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Funciones clave de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Cómo funciona Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Descripción general de la función. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Cómo funcionan los archivos de contenido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Cómo funcionan las reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Cómo las firmas protegen las aplicaciones y los sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Cómo funciona el IPS de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Cómo funciona McAfee GTI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Cómo funcionan los análisis en tiempo real. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Cómo funciona el analizador de scripts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Cómo funcionan los análisis bajo demanda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Cómo funciona la utilización del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Cómo funciona el análisis de almacenamiento remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Uso de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Respuesta a solicitudes y detecciones de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Responder a un aviso de análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Responder a un aviso de detección de amenaza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Ver y responder a las amenazas detectadas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Administrar elementos en cuarentena en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Análisis en busca de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Analizar un archivo o carpeta específicos en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Analizar las áreas susceptibles de un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Analizar un sistema cliente que puede estar infectado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Administración de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . 35

Controlar el malware nuevo con archivos Extra.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Descargar y cargar un archivo Extra.DAT en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Cambiar versión de AMCore content en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Envío de muestras de amenazas para su análisis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Especificar el tiempo de retención y la ubicación de cuarentena en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . 37

Caracteres comodín en exclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Impedir que las amenazas accedan a los sistemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Cómo obtienen acceso las amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Tipos de reglas de protección de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Reglas de Protección de acceso definidas por McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Cómo se evalúan los destinos de subreglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Cómo se producen los exploits de desbordamiento del búfer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Excluir elementos de Prevención de exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Exclusión de elementos de la protección de Prevención de exploits en un sistema cliente. . . . . . . . . . . 62

Análisis en busca de amenazas en los equipos cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Configure las opciones para todos los análisis en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Definir qué programas potencialmente no deseados se detectan en un sistema cliente. . . . . . . . . . . . . 68

Cuándo se vacía la caché de análisis global. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Configurar, planificar y ejecutar análisis en un sistema cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Supervisión de la actividad de Prevención de amenazas en un sistema cliente. . . . . . . . . . . . . 79

Consulte el Registro de eventos para ver la actividad reciente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Nombres y ubicaciones de los archivos de registro de Prevención de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Uso de reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Descripción general de las reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Tipos de reglas y sintaxis admitidas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Cómo funcionan las reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Creación de reglas expertas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83