============================================================================
- Manual de usuario de Microsoft Security Essentials [I de VI]
- Manual de usuario de Microsoft Security Essentials [II de VI]
- Manual de usuario de Microsoft Security Essentials [III de VI]
- Manual de usuario de Microsoft Security Essentials [IV de VI]
- Manual de usuario de Microsoft Security Essentials [V de VI]
- Manual de usuario de Microsoft Security Essentials [VI de VI]
============================================================================

Niveles de alerta

Microsoft Security Essentials utiliza cuatro niveles de alerta para definir las distintas amenazas que encuentra. Estos será utilizados para ayudar en la toma de decisiones. Los niveles definidos son:

- Grave: Se genera con programas muy extendidos o excepcionalmente malintencionados, similares a virus o gusanos, que afectan de forma negativa a su privacidad y a la seguridad de su equipo y pueden dañarlo.

- Alto: Se genera con programas que pueden recopilar información personal y afectar de forma negativa a la privacidad o dañar el equipo. Por ejemplo, si el programa recopila información o cambia la configuración, normalmente sin su conocimiento o consentimiento.

- Medio: Se genera con programas que pueden afectar a la privacidad o realizar cambios en el equipo que podrían tener un impacto negativo en su funcionamiento. Por ejemplo, el programa recopila información personal o cambia alguna configuración.

- Bajo: Se genera con software potencialmente no deseado que podría recopilar información del usuario o del equipo, que podría cambiar el funcionamiento de algún componente del equipo. Sin embargo, el software funciona conforme a los términos de licencia mostrados al instalarlo. Suele ser inofensivo cuando se ejecuta en el equipo, a menos que se haya instalado sin su conocimiento.

Acciones ante alertas

Cuando se produce una alerta de las anteriores en el sistema, Microsoft Security Essentials tiene asociadas unas acciones predeterminadas para cada nivel de alerta que son recomendadas. Estas acciones aparecerán tal y como se observa en la Figura 3 como una recomendación, si el usuario es un usuario administrador del equipo, o se ejecutarán por defecto si no tiene privilegios. La correlación de acciones con niveles de alerta es:

- Nivel Grave o Alto: La acción por defecto es Quitar. El fichero que ha generado la alerta va a ser eliminado del sistema y se va a iniciar un proceso de limpieza de cualquier cambio que haya podido realizar en equipo.

- Nivel Medio: La acción por defecto es Bloquear. El fichero que ha generado la alerta va a ser puesto en cuarentena y no se va a permitir su ejecución.

- Nivel Bajo: La acción por defecto es Permitir. Sin embargo, cuando se produzca la alerta se va a mostrar al usuario información del programa que es conveniente revisar debido a que tal vez ese programa haya sido instalado sin conocimiento.


Figura 3: Conficker detectado con Microsoft Security Essentials. Acción recomendada Quitar.

Por supuesto, el usuario puede cambiar la configuración que desea asociar por defecto a cada nivel de alertas en la parte de configuración y, además, cambiarla para cada alerta concreta.

Historial

Cualquier acción tomada va a quedar reflejada en el Historial de la herramienta hasta que este sea borrado de forma expresa. Así, como se puede ver en la Figura 4, el Historial está clasificado en tres grupos de registros. El primero de ellos, el que se observa en la imagen inferior, es el que resume todas las alertas descubiertas en el equipo, dando información del archivo que la generó y la acción que se tomó para mitigarlo.


Figura 4: Historial de alertas y acciones tomadas

============================================================================
- Manual de usuario de Windows Security Essentials [I de VI]
- Manual de usuario de Microsoft Security Essentials [II de VI]
- Manual de usuario de Microsoft Security Essentials [III de VI]
- Manual de usuario de Microsoft Security Essentials [IV de VI]
- Manual de usuario de Microsoft Security Essentials [V de VI]
- Manual de usuario de Microsoft Security Essentials [VI de VI]
============================================================================

Tras la buena acogida por parte de los asistentes durante el primer trimestre, el calendario de Virtual Hands On Lab ha sido ya extendido hasta el mes de Julio. De momento han sido 25 los seminarios impartidos durante los meses de Febrero y Marzo, con más de 100 asistentes a los mismos, lo que demuestra el interés en este tipo de formaciones. Debido a ello, se ha programado una nueva semana dedicada a las tecnologías Forefront que abarcará a MS Forefront Threat Management Gateway TMG 2010 como a MS Forefront Unified Access Gateway 2010 [Así fue la primera semana]. El calendario es el siguiente:

HOL-FOR05 MS Forefront Threat Management Gateway: Instalación y Configuración
Martes, 8 de Junio en horario de 09:00 a 14:00
A través de este laboratorio, el asistente conocerá e implementará la nueva solución Firewall de Microsoft heredera de MS ISA Server. Conocerá la arquitectura del producto y las nuevas funcionalidades que aporta a una organización. Se plantearán funcionalidades para gestionar la seguridad de las comunicaciones, protegiendo especialmente los servidores de una empresa. Se evaluarán los sistemas de administración y monitorización del producto.
Precio 90 €. [Información y Registro]

VHOL-FOR10 Microsoft Forefront Unified Access Gateway 2010
Martes 8 y Miércoles 9 de Junio en horario de 16:00 a 18:30
MS Forefront UAG constituye el nuevo servicio de presentación y acceso remoto con control de acceso granular. Evoluciona del antiguo MS IAG 2007, extendiendo sus capacidades. El asistente podrá, a través del laboratorio, diseñar un portal de acceso, estableciendo qué condiciones y políticas se aplicarán para el acceso. Realizará pruebas de publicación de servicios y aplicaciones de uso frecuente en las organizaciones, dentro de los escenarios de uso Microsoft.
Precio 90 €. [Información y Registro]

HOL-FOR06 MS Forefront Threat Management Gateway: Protección frente a Amenazas
Miercoles, 9 de Junio en horario de 09:00 a 14:00
La evolución de las diferentes amenazas que sufre una organización, implican a menudo cambios en las arquitecturas o modificar y adaptar sus sistemas de seguridad en función de las necesidades. MS ISA Server evoluciona en MS Forefront TMG, dando respuestas a la propuesta de nuevas amenazas y funcionalidades adicionales para contrarrestarlas. Soluciones antimalware en perímetro, inspección de contenido cifrado o la seguridad del correo electrónico, son algunas de las funcionalidades que serán evaluadas a través de este laboratorio. Se analizará adicionalmente las soluciones de alta disponibilidad y soluciones de redundancia para escenarios críticos.
Precio 90 €. [Información y Registro]

VHOL-FOR07 Microsoft Forefront Threat Management Gateway: VPN y Branch Offices
Jueves, 10 de Junio en horario de 09:00 a 14:00
Las conexiones seguras de clientes a una organización, y entre las diferentes oficinas, constituyen una necesidad a día de hoy de gran importancia. La cantidad de información crítica que circula a través de un medio inseguro como Internet requiere de condiciones que aseguren el cifrado y la integridad de los datos enviados. MS Forefront TMG ofrece soluciones para la seguridad de dichas conexiones a través de las funcionalidades de VPN. Se evaluarán a través de los laboratorios las características aportadas para cliente y conexiones entre oficinas. Se tendrá en cuenta la necesidad de garantizar un acceso confiable basado en políticas de seguridad de los clientes que acceden a la red interna a través de las conexiones VPN.
Precio 90 €. [Información y Registro]

Si nunca has probado esta experiencia de formación deberías asistir a uno, cambiará la manera en la que te plantearás tú formación o la de tus empleados debido a lo expectacularme práctico y cómodo que funciona todo.

Más información:

- Virtual Hands On Lab
- Virtual Classrooms
- Calendario de Virtual Hands On Lab.

 

La salida de Microsoft Forefront Unified Access Gateway ha traído consigo, también, la aparición de la solución en modo appliance. Este tipo de soluciones proporciona una forma garantizada de implantar el servicio en una organización, puesto que se ha diseñado específicamente para ello. El hardware, el sistema operativo y las aplicaciones adicionales se implementan para proporcionar la máxima seguridad, usabilidad y funcionalidad.

Como en el caso de Intelligent Application Gateway 2007, la multinacional nAppliance proporciona un abanico de soluciones para pequeñas, medianas y grandes empresas. La nueva línea de dispositivos se denomina Net-Gateway nUAG Remote Access Gateway y proporcionan la seguridad adicional de estar integrado sobre la solución Microsoft Forefront Threat Management Gateway. Tienen los certificados de calidad ISO 9001:2000.

Las principales características que proporcionan las soluciones de nAppliance para Microsoft Forefront Unified Access Gateway 2010 son:

Gestión

- Sistema de gestión centralizada web LOM Manager para todo el conjunto de appliances de la empresa.
- Sistema de copia de seguridad y gestión de actualizaciones integrados.
- Fail-Over en modo Hardware y servicio de gestión de alertas.
- Servicio de monitorización en tiempo real de SNMP.

Alta disponibilidad

- Tecnología de recuperación y gestión remota (ARRMS), diseñado por nAppliance.
- Servicio de mantenimiento y recuperación del sistema mediante servicio de copia de seguridad.
- Servicio de redundancia de los componentes hardware.
- Configuración de alta disponibilidad en modo NLB sin limitación en el número de dispositivos.

Seguridad

- Implementa todos los mecanismos de seguridad con los que contaba su predecesor.
- Integración de seguridad Endpoint con Network Access Protection.
- Implementación de VPN con Secure Socket Tunneling Protocol.
- Extensión de las funcionalidades de Direct Access de Windows Server 2008 R2, simplificando su despliegue.
- Sistema de auditoría de seguridad integrado.

Modelos

La gama de modelos que proporciona la serie Net-Gateway nUAG es de 4 dispositivos diferentes. La información de las capacidades de los dispositivos se encuentra disponibles en la página web de nAppliance. Las siguientes imagenes muestran un detalle de las capacidades en cuanto a soporte y rendimiento de los diferentes dispositivos disponibles.



Tabla de capacidades según modelos de Netgateway nUAG

Como Comprar en España

Si deseas comprar este producto en España, tenemos la suerte de que la empresa TechData está encargándose de la distribución nacional. Esto ayuda a poder tener una mayor cercanía con el fabricante.

Los responsables comerciales que llevan estos productos en España son F. Maturana [fmaturana@techdata.es] y Jacobo Sánchez [jsanchez@techdata.es] por lo que si tienes un proyecto que necesita de MS Forefront IAG/UAG, quieres comprar una unidad o acceder a algún piloto, no dudes en ponerles un correo.
 

============================================================================
- Manual de usuario de Microsoft Security Essentials [I de VI]
- Manual de usuario de Microsoft Security Essentials [II de VI]
- Manual de usuario de Microsoft Security Essentials [III de VI]
- Manual de usuario de Microsoft Security Essentials [IV de VI]
- Manual de usuario de Microsoft Security Essentials [V de VI]
- Manual de usuario de Microsoft Security Essentials [VI de VI]
============================================================================

Introducción

Microsoft Security Essentials es una solución antimalware/antispyware pensada para el usuario domestico. Est totalmente gratuita para equipos con sistemas operativos Windows y que, con unos resultados fantasticos en seguridad, realiza un consumo de recursos mínimo. Esto hace de él una solución muy recomendable para los equipos personales.

Microsoft Security Essentials puede ser descargado desde la siguiente URL [Descargar Microsoft Security Essentials] y en Seguros con Forefront hay un pequeño artículo sobre el Proceso de Instalación. En este artículo se va a ver como se utiliza la solución.

Exámenes de seguridad

Microsoft Security Essentials realiza tres tipos de comprobaciones dentro del sistema:

1.- Comprobación de antivirus: Busca cualquier troyano, virus, o software malicioso instalado, o almacenado dentro del sistema operativo.
2.- Comprobación de antispyware: Busca cualquier software de comportamiento malicioso dedicado a espiar a los usuarios, poner publicidad, o recbar datos de uso del equipo.
3.- Comprobaciones de seguridad del sistema: Realiza un chequeo de las opciones de seguridad con que está configurado el equipo para ver si está actualizado correctamente a los últimos parches de seguridad, si las contraseñas son las adecuadas y si el sistema tiene activados los mecanismos apropiados.

Cuando se abre Microsoft Security Essentials aparecerá, por defecto, la pantalla resumen de estado de seguridad desde la que se pueden activar los escanéos del sistema. Así, como se puede ver en la Figura 1, a la derecha están disponibles lo tres exámenes:


Figura 1: Exámenes del sistema

Los tres exámenes que existen son:

1.- Examen rápido: Éste se debe realizar periódicamente o cuando se sospeche de que algo está funcionando mal. No realiza una comprobación total del sistema pero evalúa lo más usual en infecciones, como son: Las claves de registro más usadas por el malware, los procesos en ejecución en memoría, las rutas del sistema operativo donde se suelen almacenar los ficheros maliciosos y los componentes cargados en el navegador de Internet. Su ejecución lleva muy poco tiempo y se puede programar con regularidad.

2.- Examen completo: Ejecutando este examen se va a escanear todo fichero dentro del sistema operativo. Su ejecución es muy concienzuda y en ella se inspeccionan todos los ficheros - a excepción de los que se hayan configurado como excepciones - todos los procesos en ejecución, todas las claves de registro susceptibles de ser atacadas y las opciones de seguridad configuradas en el equipo. Es recomendable realizar un escaneo completo, al menos, una vez por semana.

3.- Personalizado: Con esta opción se puede escanear, en cualquier momento, una ruta del sistema operativo. Analizará todos los ficheros allí almacenados a excepción de las extensiones configuradas como excepciones en las opciones de configuración. Se recomienda realizar esta tareá si se va a pasar un disco USB a otro ordenador o se acaba de conectar un disco al sistema del que se quieren copiar archivos.

En esa misma pantalla se puede ver como hay un enlace para cambiar la programación de los enlaces en la parte inferior derecha, desde ese enlace se accederá al panel de configuración donde se podrá establecer el plan de exámenes. Así mismo, la herramienta nos confirma que está activada la Protección en tiempo real, es decir, que se va a analizar cualquier fichero que vaya a ser ejecutado en el sistema antes de ser ejecutado y que todo esta activado y actualizado.

La herramienta utilizar un sistema de colores para avisar del estado en que se encuentra el sistema. Tal y como se puede ver en la figura 1, la herramienta tiene la barra de título en color verde y el monitor del equipo se muestra en el mismo color. Esto indica que:

- El sistema tiene activada la protección en tiempo real.
- El sistema tiene actualizadas las últimas firmas antimalware.
- Las opciones de seguridad con que está configurado el equipo son correctas.
- Se ha realizado un examen de seguridad completo recientemente.

Si algo fallase, la herramienta mostraría un color rojo avisando del riesgo en que se encuentra el sistema. Como se puede apreciar en la Figura 1, en la parte inferior izquierda se informa de cuando se realizó el último examen y de que tipo fue.

Actualización de Firmas

Si se va a proceder a realizar un examen completo es recomendable actualizar las firmas del motor a la última versión. Esto se puede hacer desde la pestaña de actualización de firmas con el botón de Actualizar. Las periodicidad de actualización de firmas se podrá configurar en las opciones de configuración de la herramienta, pero, como se puede apreciar en la Figura 2, se tiene información de la fecha de la última actualización y la versión de la base de datos de firmas. Cada nueva actualización tiene una nueva versión de la base de datos de firmas con un número superior.


Figura 2: Actualización de Firmas

============================================================================
- Manual de usuario de Windows Security Essentials [I de VI]
- Manual de usuario de Microsoft Security Essentials [II de VI]
- Manual de usuario de Microsoft Security Essentials [III de VI]
- Manual de usuario de Microsoft Security Essentials [IV de VI]
- Manual de usuario de Microsoft Security Essentials [V de VI]
- Manual de usuario de Microsoft Security Essentials [VI de VI]
============================================================================

Los dos problemas típicos a los que se enfrenta cualquier motor antimwalware son:

1.- Detectar todo el malware existente en un sistema.
2.- No detectar ningún fichero legítimo como malware, es decir, no tener errores de Falsos Positivos.

Estas características son medidas siempre en todos los tests y pruebas de detección que utilizan las empresas que se dedican a certificar o premiar el funcionamiento de las soluciones antimalware/antispam.

Lógicamente, para conseguir solucionar el problema 1, es decir, detectar todo el malware existente en un sistema, los motores antimalware necesitan analizar las muestras de malware, por lo que el primer paso consiste en obtener esas muestras. Para ello el equipo de Microsoft trabaja en varios frentes que van desde la creación de Honney Pots y Honney Nets al rededor del mundo para recibir muestras de ataque, la suscripción a sistemas de trabajo colaborativo con otros laboratorios en la detección de muestras, como en Virus-Total, la recolección de muestras por medio de los miembros de la red Microsoft SpyNet o el reporte directo a través de Internet.

En todos los casos el objetivo es recoger muestras de malware, pero también la detección de los Falsos Positivos. Así, si una herramienta de Microsoft ha detectado un fichero legítimo como una muestra malware, es importante avisar a Microsoft para que corriga la firma que fue origen de la detección erronea. Con este objetivo Microsoft tiene abierto, en el Malware Protection Center, una página web en la que se puede reportar un malware o un falso postivo. Además, es conveniente reportar que herramienta es la que detecto ese falso postivo. En el ejemplo de abajo se puede ver como nuestro compañero Chema Alonso está reportando un supuesto falso postivo de una herramienta.


Reporte de un supuesto falso positivo de Microsoft Security Essentials

Si tienes alguno de estos dos problemas con un producto de tecnología Forefront no dudes en reportarlo en la siguiente URL: Envío de muestras de malware y falsos positivos a Microsof