Dirección de Impuestos y Aduanas Nacionales

INSTRUCCIÓN 1 DE 2010 

(Febrero 3)

Subdirección de Gestión de Tecnología de Información y Telecomunicaciones

“Por la cual se dictan las instrucciones de instalación o de verificación de los productos de soporte lógico (“software”) que protege los computadores de la entidad de ser infectados por programas maliciosos (“malicious software: malware”), y con la cual se desarrolla uno de los aspectos del numeral “4.2” de la Orden Administrativa 13 de 2009”.

El proceso responsable de la ejecución de las actividades descritas en este acto administrativo es el de servicios informáticos, en cabeza de esta subdirección, y con el apoyo y la participación de los GIT de soporte tecnológico en las direcciones seccionales y en los puntos de contacto.

Tabla de contenido

Instrucción Nº

Instalación o verificación del software de protección de los computadores de la DIAN contra el malware

1. Introducción.

Procedimiento abreviado

Procedimiento detallado

1. Cumplimiento de requisitos previos

2. Preparación del cliente para la instalación del SEP

3. No mostrar archivos y carpetas ocultas

4. Instalación antivirus SEP

5. Conectar la estación cliente a la red local

Instalación o verificación del software de protección de los computadores de la DIAN contra el malware

1. Introducción.

El software adquirido por la DIAN para proteger los portátiles, las estaciones cliente o equipos de escritorio y servidores (Cliente) es Symantec Endpoint Protection, SEP, este software protege contra virus, gusanos, Caballos de Troya, software espía, publicidad no deseada y otras amenazas de avanzada. Además de lo anterior, permite controlar la ejecución de aplicaciones y dispositivos de punto final. Para casos especiales, se ha autorizado la versión Symantec Corporate V. 10.0.

Estos casos especiales van directamente relacionados con la capacidad de procesamiento y el tamaño de la memoria RAM.

Este documento es la base para realizar la verificación/instalación del SEP en todas y cada una de los equipos cliente que se conectan a la red de la DIAN, por lo tanto debe leerse y comprenderse en su totalidad antes de intentar realizar cualquier actividad en la estación.

Debe estar pendiente de las actualizaciones a este documento, favor hacer sus contribuciones a este documento al buzón seguridadinfo@dian.gov.co indicando la versión, nombre del documento y fecha que a continuación se indica.

Documento: SEP 20100122, Versión 1.0 enero 22 de 2010.

Procedimiento abreviado

1. Verificar visualmente si el software ya ha sido instalado en la estación y está registrado en la consola de administración tal como se indica en las siguientes imágenes.

2.

i1dian22-1.JPG

3. Ingresar como usuario administrador del dominio o con un usuario que tenga privilegios de administración en la estación.

4. En cada una de las estaciones se debe descargar del servidor la versión correspondiente del instalador (\\191.1.0.14\Package_seccionales\CIUDAD) de acuerdo a capacidad de la memoria RAM de la estación así:

Instalador
Descripción
My Company_Ciudad_128
Estaciones con memoria RAM entre 128 MB y 256 MB
My Company_ Ciudad_256_A_512
Estaciones con memoria RAM entre 256 y 512 MB
My Company_ Ciudad_MAS_512
Estaciones con memoria RAM mayor a 512 MB
My Company_Medellin_S32
Servidores con S.O. de 32 bits
My Company_Medellin_S64
Servidores con S.O. de 64 bits
SAVCE_10.1.9.B9000_AllWin_NetWare_EN
Para estaciones Virtuales.
SAVCE_9.0.7.1000-8_AllWin_EN
Para servidores con S.O. NT

5. Obtener del servidor las actualizaciones de firmas de virus en el correspondiente directorio del anterior punto, los archivos los debe copiar en la carpeta del paquete que va a instalar. Las últimas definiciones de las amenazas se encuentran en el siguiente enlace \\191.1.0.14\Package_seccionales\antivirus\Ultimas_Definiciones

6. Desconectar físicamente la estación de la red y desinstalar las versiones anteriores del software Symantec. También se debe desinstalar el software de antivirus y/o Anty-spyware con el que cuente la estación.

7. Verificar que el disco duro en su partición C: tenga el espacio suficiente libre (por lo menos 1 GB), el área de paginación debe estar configurado mínimo con 512 MB.

8. Localizar y ejecutar el archivo “Setup.exe” del paquete que se va a instalar. Esperar en promedio entre 10 y 15 minutos.

9. En el Directorio %TEMP%, Al final del archivo SEP_INST.log, verificar que esté la cadena “Product: Symantec Endpoint Protection -- Installation Successfull”

10. Reiniciar la estación y conectarla a la red.

11. Si en el punto 7 se visualiza la cadena “Symantec Endpoint Protection -- Installation operation failed.”, se debe seguir el paso a paso del documento que se encuentra en el enlace \\191.1.0.14\Package_seccionales\antivirus\Documentos\SEP 20100122.pdf

Es de aclarar que las versiones 9 y 10 (Symantec Corporate) deben actualizarse por el LiveUpdate contra internet, por lo que se debe realizar la programación periódica de las descargas de las definiciones de Virus. Esta programación debe hacerse por el panel de control y el menú de “archivo-actualizaciones planificadas” del cliente de Antivirus.

Procedimiento detallado

1. Cumplimiento de requisitos previos.

Para instalar el software en los equipos cliente, es necesario tener derechos de administrador en el equipo o en el dominio de Windows, e iniciar sesión como administrador local o como usuarios de dominio con privilegios de administración sobre los equipos cliente. El programa de instalación de software de Symantec inicia un segundo programa de instalación en el equipo para crear e iniciar los servicios y modificar llaves en el registro.

Los siguientes son requisitos de cumplimiento obligatorio para poder realizar la instalación de SEP en cada uno de los equipos cliente. Si el equipo cliente no cumple con alguno de ellos, el resultado de la instalación puede resultar fallido o presentarse problemas de funcionalidad del software de protección o rendimiento degradado en general del equipo cliente.

i1dian22.JPG

Adicional a los requerimientos mínimos que indica el fabricante del SEP, se debe verificar que para los equipos cliente con sistema operacional W2K, debe tener el Service Pack 4 instalado. Para los equipos con sistema operacional XP, debe tener instalado el Service Pack 3, para los equipos con sistema operacional Vista, debe tener instalado el Service pack 2, para Windows 2000 Server, debe tener instalado Service Pack 4 y para equipos cliente con sistema operacional Windows 2003, debe tener instalado el Service Pack 2. Si desconoce del procedimiento o de la ruta de los instaladores para cada uno de ellos, debe dirigirse con el administrador de red quien le dará las indicaciones de localización y descarga de cada uno de los Service Pack para cada caso.

2. Preparación del cliente para la instalación del SEP.

De acuerdo a la casuística de la contaminación de virus existente y que se ha detectado en algunas estaciones cliente donde no se ha podido culminar de manera satisfactoria la instalación del SEP en forma desatendida, se debe realizar la siguiente serie de procedimientos de descontaminación ANTES de intentar instalar nuevamente el SEP.

Autenticarse como administrador local en equipo cliente o utilizando las credenciales de un usuario del dominio de Windows con privilegios de administración sobre el equipo cliente.

Se debe verificar si en la barra de tareas (Parte inferior derecha) aparece el icono del SEP, puede ser uno de los siguientes íconos.

 

i1dian23-1.JPG
 

Si el icono aparece sin el punto, o con un punto amarillo (dos primeras imágenes anteriores), debe continuar con el punto 5.6 de este instructivo. Si el icono aparece con un punto verde, la estación cliente ya tiene instalado el SEP y debe continuar con la revisión de otra estación.

Para todos los casos es deseable que se verifique que la instalación del SEP esté en idioma Inglés. Si está en idioma español, es recomendable que realice el procedimiento de instalación de la versión en Inglés.

2.1. Copia de utilitarios y del SEP.

En la estación cliente, debe descargar un conjunto de utilitarios para realizar el proceso de descontaminación, por lo cual debe seleccionar una unidad del disco duro en el cliente con al menos 100 Mb de espacio. El conjunto de utilitarios los encuentra en el siguiente enlace:

\\s000sist014\Package_seccionales\antivirus

De este enlace, debe seleccionar y copiar los siguientes directorios a la unidad local:

2.1.1. Directorio SEP o SEPWin64, el primer directorio debe descargarlo para estaciones cliente con Sistema operacional de 32 bits y el segundo directorio si el sistema operacional es de 64 bits.

Nota: Para las estaciones con menos de 128 Mb de memoria RAM o para las máquinas virtuales, debe descargarse el programa Symantec Corporate Ver. 10.0, este se encuentra en \\191.1.0.14\Package_seccionales\versiones_anteriores en el directorio SAVCE_10.1.9.B9000_AllWin_NetWare_EN. También Es necesario que descargue los dos directorios a la estación cliente. En algunos servidores de la Seccional, ya se encuentran dichos utilitarios que por lo general están en la unidad local D: o E: en el directorio \datos\endpoint para lo cual deberá informarse con los administradores del dominio Windows.

2.1.2. Copie el archivo XXX_sylink.xml Correspondiente a su Seccional

Nota: Los caracteres XXX corresponden al nombre de su seccional, este archivo es necesario para poder registrar la estación en la “consola central de administración” dentro del correspondiente grupo de la seccional a la cual debe pertenecer.

2.1.3. Procedimiento “SEP 20100122.pdf”

2.1.4. Archivo para realizar modificaciones al registro de Windows “VerOcultos.reg” y “CleanSyntax0.reg”

Los siguientes directorios corresponden a utilitarios necesarios para la descontaminación de la estación cliente, estos los encuentra en el siguiente enlace:

\\s000sist014\Package_seccionales\antivirus\Utilitarios

2.1.2. Directorio “CleanWipe_v5.0”

2.1.3. Directorio “sylinkDrop”

2.1.4. Ejecutable CleanDuwnadup.exe.

2.1.5. Ejecutables WindowsServer2003-KB967715-x86-ESN.exe y Windows6.0-KB950582-x86.msu

Nota: WindowsServer2003-KB967715-x86-ESN.exe debe descargarse para las estaciones con sistemas Operativo Win2k, WinXP y Server 2003, para las estaciones con Windows Vista, debe copiarse el ejecutable Windows6.0-KB950582-x86.msu.

2.2. Desactivar restaurar sistema en clientes con Windows XP.

Para poder realizar este paso debe autenticarse como administrador local en equipo cliente o utilizando las credenciales de un usuario del dominio de Windows con privilegios de administración sobre el equipo cliente.

2.2.1. En la barra de tareas de Windows, haga clic sobre el botón Inicio.

2.2.2. Clic con el botón derecho en el icono “Mi PC” y, a continuación, clic en “Propiedades”.

2.2.3. Clic en la pestaña “Restaurar sistema”. Marque la casilla “Desactivar Restaurar sistema” o la casilla “Desactivar restaurar sistema en todas las unidades”.

Nota: Si esta casilla no es visible, verifique que haya iniciado la sesión con un usuario con privilegios de administración en la estación cliente.

2.2.4. En la parte inferior de la ventana, clic en el botón “Aplicar” y clic en el botón “Si” para confirmar la acción.

2.2.5. Clic en el botón “Aplicar”

Para encontrar ayuda relacionada con este procedimiento y en más detalle, puede consultar el siguiente enlace:

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/sldocid/20020515173946924 

2.3. Desinstalación de versiones previas de antivirus.

Si por cualquier razón se ha tomado como medida la instalación de versiones de antivirus y antispyware con licencias libres o demos de productos comerciales por 30 días, todos estos productos deben desinstalarse.

Nota: Para las estaciones cliente con más de 256 Mb de memoria RAM, también debe desinstalarse cualquier versión del antivirus Symantec anterior a la 10.0.

2.3.1. Ingresar al “panel de control”, clic en el botón “Agregar o quitar programas”

2.3.2. Clic en el producto de antivirus a desinstalar, puede usar el ascensor de la ventana para ubicarlo.

2.3.3. Clic en el botón “quitar”. Esperar hasta que haya finalizado el proceso de desinstalación del producto.

2.4. Aplicar parches de actualización del sistema operacional.

Antes de aplicar los parches de actualización del sistema operacional, debe verificar que estén instalados los Service Pack indicados al final del punto 2 de este documento, también se recomienda que se realice una actualización de parches desde el “Windows Update” a fin de corregir vulnerabilidades recientes o no contempladas en los Service Pack. Si por efecto de la proliferación de virus en la estación cliente, no se logra actualizar por “Windows Update”. Este paso debe hacerse cuando la estación nuevamente se haya conectado a la red en el numeral 6º de este documento.

2.4.1. Ejecutar el programa WindowsServer2003-KB967715-x86-ESN en los equipos cliente con sistema operacional W2K, XP, Server 2000 y Server 2003.

Nota: Este parche NO debe ser aplicado a las estaciones cliente con sistema operacional Windows Vista.

2.4.2. Ejecutar los programas Windows6.0-KB950582-x86.msu en los equipos cliente con Sistema operacional Windows Vista.

Nota: Este parche debe ser aplicado ÚNICAMENTE a las estaciones cliente con Sistema operacional Windows Vista.

2.5. Utilitario CleanWipe_v5.0

Este utilitario es requerido para eliminar todos los remanentes de instalaciones anteriores del antivirus Symantec tales como versión 7, 8 y 9. Es requerido para evitar que se muestren datos erróneos en la “Consola central de administración” una vez se haya instalado el SEP.

2.5.1. Se debe ejecutar el archivo CleanWipe_11.0.5002.333.exe que está dentro de la carpeta que se copió del enlace \\s000sist014\Package_seccionales\antivirus\Utilitarios\CleanWipe_v5.0., le aparece la siguiente ventana, clic en el botón “Install” y posteriormente clic en el botón “Yes”

 

i1dian24-1.JPG
 

Clic en el botón “OK” y clic en el botón “Yes”

 

i1dian24-2.JPG
 

i1dian24-3.JPG
i1dian24-3.JPG
 

 

En las siguientes 7 ventanas que aparecerán, debe dar clic en el botón “Yes”

 

i1dian24-4.JPG
i1dian24-4.JPG
 

En las siguientes dos ventanas debe dar clic en el botón “OK”

 

i1dian24-5.JPG

En este paso, el proceso demora unos minutos, después solicitará reiniciar la estación cliente. Se debe aceptar y nuevamente cada vez que la instalación solicite el reinicio de la máquina, se debe ingresar con el mismo usuario administrador.

 

i1dian25-1.JPG
 

Después de reiniciar el sistema el programa CleanWipe sigue corriendo procesos, esperamos hasta que aparezca la siguiente ventana.

 

i1dian25-2.JPG
 

Clic en el botón “OK” y el equipo se reinicia nuevamente.

Después del último reinicio de la estación cliente, aparecerá la siguiente ventana, realice un clic en el botón “OK”

 

i1dian25-3.JPG

Final del procedimiento.

2.6. Inicio de la estación cliente en modo seguro.

Para poder iniciar la estación cliente en “Modo seguro”, debe reiniciar la estación cliente, a continuación se indican los pasos a seguir.

2.6.1. Desconecte el equipo de la red.

Nota: Hay estaciones cliente con más de una tarjeta de red, por lo tanto debe identificar en cuál de las tarjetas de red, está conectada la estación a la red de la DIAN.

2.6.2. Cierre todos los programas.

2.6.3. Clic en “Inicio”, clic en “Apagar”. Aparecerá el cuadro de diálogo apagar.

2.6.4. Clic en la opción “Reiniciar”:

2.6.5. Clic en el botón “Aceptar”.

2.6.6. Después que se haya apagado la estación cliente, aparecerá la barra de arranque de Windows en blanco y negro en la parte inferior de la pantalla, debe presionar la tecla F8.

2.6.7. Aparecerá el menú de opciones avanzadas de Windows. Asegúrese de que la opción “Modo seguro” esté seleccionada. En la mayoría de los casos, es el primer elemento que aparece en la lista y está seleccionada por predeterminación. Si no está seleccionada, utilice las flechas de su teclado para hacerlo.

2.6.8. Clic en el botón “Aceptar”.

El equipo iniciará en modo seguro. Este proceso puede tomar varios minutos.

Nota: Cuando termine todos los procedimientos relacionados con el proceso de descontaminación en modo seguro, debe cerrar todos los programas y reiniciar la estación cliente en modo normal.

Si por algún motivo, no le es posible iniciar la estación cliente en modo seguro como se ha descrito anteriormente, debe remitirse al procedimiento descrito en el siguiente enlace:

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/la_docid/20040130135704924?OpenDocument&seg="hm&lg=es&ct=mx

2.7. Uso del utilitario de limpieza Duwnadup.

El utilitario para realizar la limpieza del virus Duwnadup es el ejecutable CleanDuwnadup.exe que se descargó del enlace \\s000sist014\Package_seccionales\antivirus\Utilitarios. Ejecute este archivo.

Clic en el botón “Run” y clic en el botón “I Accept”

 

i1dian25-4.JPG
 

i1dian25-5.JPG

Clic en el botón “Start”, el proceso puede durar unos minutos de acuerdo a la cantidad de archivos, a la velocidad del disco y del procesador.

 

i1dian25-6.JPG
 

2.8. Mostar archivos y carpetas ocultas.

Es común que los virus y gusanos, cambien los atributos de sus ejecutables, se hacen ocultos y se cambian los privilegios, por lo tanto se debe configurar el Sistema Operacional para permitir que se vean los archivos ocultos y su extensión para lo cual debe seguir el siguiente procedimiento.

2.8.1. Para Windows XP, W2K y Server 2003.

Clic en “Mi PC”

Clic en el menú “Herramientas”, en el menú vertical, clic en “Opciones de carpeta”

 

i1dian25-7.JPG
 

Clic en la pestaña “Ver”, clic en la opción “Mostrar todos los archivos y carpetas ocultos”

 

i1dian25-8.JPG
 

 

Desplazar el ascensor hasta el final y quitar la selección de la opción “Ocultar archivos protegidos del sistema operativo”

 

i1dian26-1.JPG
 

En la parte inferior de la ventana, clic en el botón “Aplicar”, clic en el botón “Aceptar”

2.8.2. Verificar que los archivos ocultos puedan verse por el explorador.

Abrir un explorador, dar clic en el disco local “C:”. Deben verse las carpetas y archivos ocultos como “System volume information” y “Recycler” con iconos opacos o atenuados.

 

i1dian26-2.JPG
 

Nota: En caso de que el anterior procedimiento no tenga efecto (no pueda visualizar los archivos ocultos), debe ejecutar modificaciones al registro, estas modificaciones están en el archivo que se descargó de la carpeta \\s000sist014\Package_seccionales\antivirus\Utilitarios\VerOcultos.reg para lo cual debe dar doble clic sobre el archivo.

Si tiene dudas al respecto, puede consultar más información relacionada con este procedimiento en el siguiente enlace:

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/la_docid/20030731091537924?OpenDocument&seg="hm&lg=es&ct=mx

2.9 Eliminar archivos temporales de Windows y liberación de espacio en la estación cliente.

La presencia de virus en las estaciones cliente, puede encontrarse en los archivos temporales de Windows, por lo cual se deben eliminar todos los archivos contenidos en el sistema como archivos de trabajo temporales que son usados por las distintas aplicaciones. Para la eliminación de dichos archivos, debe seguir los siguientes pasos:

2.9.1. Eliminar archivos temporales de Windows.

Cerrar TODOS los programas y aplicaciones

Clic en “inicio”, clic en “ejecutar”

En el cuadro de diálogo ejecutar, escriba el texto “%TEMP%”, clic en el botón “Aceptar”

 

i1dian26-3.JPG

El explorador de Windows mostrará la carpeta TEMP correspondiente al usuario con el que inicio la sesión de Windows.

 

i1dian26-4.JPG
 

Clic en la opción del menú “Editar”, clic en la opción “Seleccionar todo”

 

i1dian26-5.JPG
 

Presione la tecla “Supr”. Y en la ventana de confirmación de eliminación de archivos, clic en el botón “Si”

2.9.2. Eliminar archivos temporales de Windows.

Muchos de los gusanos se establecen como archivos temporales de Internet y se activan tan pronto el usuario decide utilizar el navegador, los siguientes procedimientos ilustran la forma para eliminar los archivos temporales del Internet Explorer.

Inicie una sesión de Internet Explorer.

2.9.2.1. Para Internet Explorer Versión 6 y 7.

Inicie una sesión de Internet Explorer.

En el menú Herramientas, clic en “Opciones de Internet”.

 

i1dian26-6.JPG
 

En la sección Archivos temporales de Internet, clic en “Eliminar archivos”.

Marcar los cuadros “Eliminar todo el contenido sin conexión”.

Clic en el botón “Aceptar”.

2.9.2.2. Para Internet Explorer, Versión 8

Inicie una sesión de Internet Explorer.

En el menú Herramientas, clic en “Opciones de Internet”.

 

i1dian26-7.JPG
 

En la pestaña “general” clic en el botón “Eliminar…”

Seleccionar los cuadros que se indican en la imagen

 

i1dian27-1.JPG
 

Clic en el botón “Eliminar”, clic en el botón “Aceptar”.

2.9.2. Liberar espacio en la estación cliente.

Es recomendable que se libere espacio en la estación cliente periódicamente, siga el siguiente procedimiento:

Clic en el menú “inicio”, clic en el menú “todos los programas”, clic en el menú “accesorios”, clic en el menú “herramientas del sistema”, clic en la opción “Liberador de espacio en disco”.

Seleccione la unidad “C:”, clic en el botón “aceptar”. Debe esperar unos minutos

 

i1dian27-2.JPG
 

En la pestaña “Liberador de espacio en disco”, además de las opciones que aparezcan seleccionadas por default, se debe verificar que estén seleccionadas las opciones de “archivos temporales de internet” y “archivos temporales”. El proceso puede demorar unos minutos.

 

i1dian27-3.JPG
 

 

En la pestaña “Más opciones”. Clic en el botón “liberar” del recuadro “Restaurar sistema” . El proceso puede demorar unos minutos.

 

i1dian27-4.JPG
 

Archivos temporales de internet, archivos temporales,

2.10. Busque virus en la estación cliente.

A pesar de que el sistema operacional de la estación cliente se haya iniciado en “modo a prueba de fallos”, es posible que se inicien procesos relacionados con virus en el momento del arranque, para verificar que no estén ejecutando procesos de este estilo, debe revisar los procesos que se están ejecutando en la estación cliente por el “administrador de tareas”.

En las unidades locales puede encontrar archivos como los mostrados en la imagen, sí está seguro que son virus elimínelos.

 

i1dian27-5.JPG
i1dian27-5.JPG
 

2.10.1. Identificación de procesos.

Como ejemplo podemos indicar el proceso cmd32.exe, este proceso nos impide realizar la instalación del SEP por lo que se debe realizar un procedimiento de descontaminación para poder realizar la instalación de nuestro antivirus satisfactoriamente.

2.10.2. Identificación de ejecutables.

Durante el proceso que hasta el momento se ha llevado desde el nivel central, se han identificado los siguientes casos de programas o virus que se han catalogado como críticos.

Ejecutando una sesión del explorador, verifique si existe la siguiente carpeta en la estación cliente. Para realizar la eliminación de dichos Virus o ejecutables en caso de que sean encontrados, debe realizar el procedimiento indicado en el punto 3.10.3.

C:\Program Files\Windows NT

Revise si en el contenido de esta carpeta existen los siguientes ejecutables.

Antivir.dll

Cmd32.exe

Explorer.exe

Además de lo anterior, realice una búsqueda sobre todas las unidades de la estación cliente si existe alguno de los siguientes archivos.

KKK.exe

Autorun.inf

2.10.3. Eliminación de virus encontrados.

Si en la estación cliente se han identificado algunos de los casos críticos descritos en el punto 3.10.2, es decir, que se ha identificado que la estación tiene los archivos Antivir.dll, Cmd32.exe, KKK.exe y Autorun.inf, debe realizar el siguiente procedimiento para descontaminar la estación.

En el “administrador de tareas” cancelar el proceso Cmd32.exe

2.10.3.1. Modificar entradas al registro.

Ejecutar el script “CleanSyntax0.reg”, este script ha sido descargado del servidor s000sist014 en el punto 2.1 de este documento.

2.10.3.2. Modificación del archivo HOSTS.

Muchos de los Virus, adicionan entradas en el archivo HOSTS, por tanto, dichas entradas deben ser eliminadas, este archivo normalmente se localiza en la ruta C:\WINDOWS\system32\drivers\etc. Si no está en esta ruta, está localizado en el path de instalación del sistema operacional, es decir en %SYSTEM%\ drivers\etc.

Para los Sistemas Operacionales con WinNT, XP, W2k y Server 2003, editar el archivo HOSTS y dejar solo las entradas que estén relacionadas con las entidades financieras (si el funcionario que labora en la estación pertenece al área financiera o contable), entidades públicas (ministerios, SENA, RUNT, SIIF), Fuerzas Militares de Colombia (Policía, Ejército, Armada), Cámaras de Comercio, Datacrédito, SOY, Pagosimple y Fondo Nacional del Ahorro.

En general, el contenido del archivo HOSTS debe estar vacío o tener un el siguiente contenido

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows.

#127.0.0.1 localhost

2.10.3.3. Borrar los ejecutables de virus

Si en el punto 3.10.2 de este documento, identificó algunos de los siguientes ejecutables, debe eliminarlos. Después de seleccionarlos, presionar la combinación de teclas SHIFT+Supr para evitar que los ejecutables queden en la papelera de reciclaje. Los ejecutables son:

• %Program Files%\Windows NT\antivir.dll

• %Program Files%\Windows NT\cmd32.exe

• %Program Files%\Windows NT\explorer.exe

Buscar en todas las unidades de la estación cliente si existe el archivo kkk.exe y borrarlo.

Adicionalmente, debe buscar en todas las unidades los archivos autorun.inf y editarlos. Si nota que este archivo contiene el siguiente contenido, el correspondiente archivo autorun.inf debe ser eliminado.

open= kkk.exe

shell\Auto\command=kkk.exe

shell= Auto

shellexecute= kkk.exe

3. No mostrar archivos y carpetas ocultas.

En el punto 3.8 de este procedimiento fue necesario para poder ver los archivos y carpetas ocultas, en este momento, se va a dejar activa la funcionalidad de ocultar los archivos y carpetas ocultas, para lo cual debe seguir los siguientes pasos

3.1. Para Windows XP, W2K y Server 2003.

Clic en “Mi PC”

Clic en el menú “Herramientas”, en el menú vertical, clic en “Opciones de carpeta”

 

i1dian28-1.JPG
 

Clic en la pestaña “Ver”, clic en la opción “No mostrar archivos ni carpetas ocultas”

 

i1dian28-2.JPG
 

Desplazar el ascensor hasta el final y chequear o activar la selección de la opción “Ocultar archivos protegidos del sistema operativo”

 

i1dian28-3.JPG
 

En la parte inferior de la ventana, clic en el botón “Aplicar”, clic en el botón “Aceptar”

3.2. Inicio de la estación cliente en modo normal.

3.2.1. Clic en “Inicio”, clic en “Apagar”. Aparecerá el cuadro de diálogo apagar.

3.2.2. Clic en “Reiniciar”, clic en el botón “Aceptar”.

El equipo reiniciará en Normal. Este proceso puede tomar varios minutos. Debe continuar con el numeral 5º.

Si no pudo reiniciar la estación en modo seguro presionando la tecla F8 como se indica en el numeral 3.6, y fue necesario que realizara el procedimiento que se relaciona al final del numeral 3.6.8, en este momento, cualquier reinicio que se haga de la estación cliente, siempre subirá en modo seguro y desde este modo no se puede iniciar la instalación del SEP, por lo cual se deben modificar los parámetros de inicio del sistema operacional para que los próximos reinicios sean en modo normal. A continuación se indican los pasos a seguir.

Nota: Estos pasos (4.2.3 a 4.2.7) se deben realizar solo si no se pudo reiniciar la estación en modo seguro con la tecla F8 tal como se indica en el numeral 3.6

3.2.3. En la línea de comando del cuadro, escriba el siguiente comando:

msconfig

3.2.4. Clic en el botón “Aceptar”.

3.2.5. En la Utilidad de configuración del sistema, en la pestaña BOOT.INI, quite la selección la opción /SAFEBOOT.

 

i1dian28-4.JPG
 

3.2.6. Clic en el botón “Aceptar”.

3.2.7. El procedimiento solicitará reiniciar el equipo. Haga clic en el botón “Reiniciar”.

El equipo reiniciará en normal. Este proceso puede tomar varios minutos.

4. Instalación antivirus SEP.

Para realizar el procedimiento de instalación del SEP, en este punto se asume que se han seguido todos los procedimientos descritos en este documento. No obstante, cabe recordar que, por lo extenso del mismo, se recomienda que se hagan nuevamente las verificaciones de cumplimiento de requisitos previos del numeral 2º, verificar que no exista ninguna instalación de antivirus de versiones libres o demos de versiones comerciales, que se hayan desinstalado las versiones de antivirus de Symantec anteriores a la 10.0 y que la estación cliente cuente con más de 128 Mb de memoria RAM.

Para efectos prácticos, a continuación se explicarán tres (3) procedimientos que se contemplan para la instalación del SEP (nums. 5.1 a 5.4) y un procedimiento para la instalación de la versión Symantec Corporate 10.0. para las estaciones con menos de 128 Mb de RAM y para las maquinas virtuales (num. 5.5).

Nota: Para los casos en donde la estación cliente se degrada notablemente el rendimiento después de la instalación del SEP, se debe verificar que la unidad C:, cuente con por lo menos 800 Mb de espacio en disco libre en la unidad C:. Como última medida se debe instalar la versión Symantec Corporate Ver. 10.0. (Ver num. 5.5).

En la carpeta SEP (SEPWin64 para procesadores de 64 bits) que se descargó del servidor en el punto 3.1, ejecute el archivo setup.exe

Nota: Nuevamente se recuerda que si la versión de Windows es de 64 bits debe usar el instalador de la carpeta SEPWin64.

En estaciones cliente con Vista, puede aparecer una ventana de advertencia indicando que se requiere elevar privilegios para que la ejecución del programa pueda continuar. En esta ventana debe dar clic en el botón de “Continuar”.

Nota: Si no realizó la acción de desinstalación del antivirus con versiones anteriores a la 10.0 le puede aparecer la siguiente ventana. Por lo tanto que desinstalar la versión antigua, para poder realizar la instalación propuesta en este manual.

 

i1dian28-5.JPG
 

Al arrancar el instalador normalmente debe aparecer la siguiente ventana. Clic en el botón “Next”.

 

i1dian28-6.JPG
 

Seleccionar la opción “I accept the terms in the license agrement” del acuerdo de licencia. Clic en el botón “Next”

 

i1dian28-7.JPG
 

Clic en la opción “Unmanaged cliente” (Generalmente viene como selección por defecto), clic en el botón “Next”

 

i1dian29-1.JPG
 

Clic en la opción “Custom”, clic en el botón “Next”

 

i1dian29-2.JPG
 

La carpeta de instalación se deja por defecto (C:\Program Files\Symantec Endpont Protection\), de acuerdo a la capacidad de memoria de la estación cliente se deben elegir los componentes a instalar.

Nota: Importante, antes de seguir la instalación verificar la memoria RAM de equipo.

 

i1dian29-3.JPG
 

4.1. Instalación de SEP en clientes con más de 512 Mb de RAM

Los siguientes pasos aplican para estaciones cliente con más de 512 Mb de Memoria RAM

Verificar que las únicas opciones deshabilitadas, es decir que aparezcan con “X (This feature will not be avalible)”, sean las opciones de “Outlook scanner” y “Notes Scanner”.

 

i1dian29-4.JPG
 

Nota: Por defecto el instalador viene configurado para instalar los componentes que necesitamos en los equipos con memoria RAM igual o superior a 512 K, en caso que no esté seleccionado alguno de los componentes a instalar, debe dar clic en el icono del componente faltante para la instalación. En caso de que sea necesario adicionar algún componente, se observará la ventana similar a la siguiente:

 

i1dian29-5.JPG
 

Clic en la opción “This feature will be installed on local hard drive”, el icono debe cambiar por el mostrado a continuación:

 

i1dian29-6.JPG
 

Después de verificar los componentes que se requieren para la instalación, se debe continuar en el punto 5.4 de este documento.

4.2. Instalación de SEP en clientes con más de 256 Mb y menos de 512 Mb de RAM.

Para los equipos en este rango de memoria, no se deben instalar los componentes “Network Threat Protection” y “Aplication and Device Control”, es decir que el icono del árbol que corresponde a estas opciones, debe aparecer con una X

La siguiente imagen es un ejemplo para ubicarnos:

 

i1dian29-7.JPG
 

El procedimiento de instalación continúa en el numeral 5.4 de este documento.

4.3. Instalación de SEP en clientes con más de 128 Mb y menos de 256 Mb de RAM.

Para los equipos en este rango de memoria, no se deben instalar los componentes “Network Threat Protection” y “Proactive Treat Protection”, es decir que el icono del árbol que corresponde a estas opciones, debe aparecer con una X

La siguiente imagen es un ejemplo para ubicarnos:

 

i1dian29-8.JPG
i1dian29-8.JPG
 

La imagen de la ventana de componentes a instalar, debe ser similar a la siguiente imagen:

 

i1dian29-9.JPG
 

El procedimiento de instalación continúa en el numeral 5.4 de este documento.

4.4. Continuación de la instalación.

Después de elegir los componentes del SEP a instalar y, de acuerdo a la memoria RAM de la estación cliente, clic en el botón “Next”.

 

i1dian29-10.JPG
 

Clic en la opción Run LiveUpdate”, la opción NO debe quedar habilitada.

 

i1dian30-1.JPG
 

Clic en el botón “Next”, clic en el botón “Install”

i1dian30-2.JPG
 

 

El sistema comienza a realizar la instalación del SEP, debe aparecer una ventana similar a la mostrada a continuación, el proceso puede demorar algunos minutos.

 

i1dian30-3.JPG
 

Clic en el botón “Finish”.

 

i1dian30-4.JPG
 

Se debe verificar que la barra de tareas (Parte inferior derecha) aparezca el icono del SEP

 

i1dian30-5.JPG
 

Clic derecho sobre el icono, clic en la opción “Open Symantec Endpoint Protection”

 

i1dian30-6.JPG
 

Se debe visualizar una imagen similar a la siguiente:

 

i1dian30-7.JPG
 

Nota: Si en el equipo donde instaló el SEP tiene menos de 128 de RAM, no debe aparecer el componente “Proactive Threat Protection”.

Reiniciar la estación cliente.

4.5. Instalación de Symantec Corporate 1.0. en clientes con menos de 128 Mb y en máquinas virtuales.

Los siguientes pasos aplican para estaciones cliente con menos de 128 Mb de Memoria RAM. Se debe dar doble clic en el archivo “Setup.exe” del directorio en el que se descargó el programa Symantec Corporate Ver. 10.0 que se encuentra en \\191.1.0.14\Package_seccionales\versiones_anteriores\SAVCE_10.1.9.B9000_AllWin_NetWare_EN.

Clic en el botón “Ejecutar”, inicia el proceso de preparación de la instalación.

 

i1dian30-8.JPG
i1dian30-8.JPG
 

 

Esperar unos minutos, se despliegan las dos siguientes imágenes. Clic en el botón “Next”

 

i1dian30-9.JPG
i1dian30-9.JPG
 

Seleccionar la opción “I agree the terms in the license agreement”. Clic en el botón “Next”

 

i1dian30-10.JPG
 

Seleccionar la opción “Client Install “. Clic en el botón “Next”

 

i1dian30-11.JPG
 

Seleccionar la opción “Custom”. Clic en el botón “Next”

 

i1dian30-12.JPG
 

Verificar que la selección de los productos a instalar se muestre como en la siguiente imagen. Clic en el botón “Next”

 

i1dian31-1.JPG
 

Seleccionar la opción “Unmanaged”. Clic en el botón “Next”

 

i1dian31-2.JPG
 

Verificar que estén seleccionadas las opciones de “Auto-Protect” y “Run LiveUpdate”. Clic en el botón “Next”

 

i1dian31-3.JPG
 

Clic en el botón “Install”. El proceso puede demorar unos minutos.

 

i1dian31-4.JPG
i1dian31-4.JPG
 

Se inicia el proceso de actualización de la definición de virus contra Internet. Clic en el botón “Siguiente”. El proceso puede demorar unos minutos. Si el proceso de actualización falla, se debe repetir tantas veces sea necesario hasta lograr que se actualice la definición de virus.

 

i1dian31-5.JPG
i1dian31-5.JPG
 

Clic en el botón “Finish”. Se recomienda reiniciar la estación cliente.

 

i1dian31-6.JPG
 

Es de aclarar que la versión 10 (Symantec Corporate) debe actualizarse por el LiveUpdate contra internet, pues no existe consola de administración para esta versión. Este proceso debe explicarse al Funcionario e indicarle que debe realizarlo por lo menos una vez a la semana.

4.6. Utilitario “SylinkDrop”.

El utilitario SyinkDrop nos permite realizar ajustes de configuración a la instalación del SEP. Con este utilitario se registra la estación en la “Consola Central de Administración” a fin de que el SEP pueda tomar información de actualizaciones de firmas de virus, de políticas de red y de políticas de dispositivos. El procedimiento a seguir para matricular el SEP a la Consola se describe a continuación.

Identifique la carpeta SylinkDrop que se descargó del servidor en el punto 2 de este documento(archivo copiado del enlace \\s000sist014\Package_seccionales\antivirus\Utilitarios). Dentro de esa carpeta, doble clic en el icono del ejecutable del SylinkDrop (el icono es el que se muestra a continuación)

 

i1dian31-7.JPG
 

Al ejecutarlo le abre la siguiente ventana, clic en el botón “Browse”

 

i1dian31-8.JPG
 

Navegar y seleccionar el archivo xml que se descargó en el numeral 3º de este documento (xml perteneciente a la seccional)

 

i1dian31-9.JPG
 

A manera de ejemplo mostramos la imagen siguiente que corresponde al procedimiento realizado en una estación para nivel central.

 

i1dian31-10.JPG
 

Después de seleccionar el archivo, hacemos clic en el icono “Abrir”

Nos debe cerrar la ventana anterior y mostrarnos la siguiente ventana con la ruta asignada, clic en el icono “Update Sylink”

 

i1dian31-11.JPG
 

El proceso puede demorar algunos minutos, al finalizar aparece la siguiente imagen, clic en el botón “Aceptar”

 

i1dian32-1.JPG
 

Clic en el botón “Exit”

 

i1dian32-2.JPG
 

Si los pasos se hicieron correctamente la estación cliente se va a ver registrada en la “Consola central de administración” en el correspondiente grupo de la seccional o ciudad a la que pertenece tan pronto sea conectada a la red (Ver num. 6º).

La instalación del SEP incluye una base de datos de firmas que está actualizada al 11 de septiembre, esta base de datos se actualizará a la fecha, este proceso puede demorarse un par de horas de acuerdo a las políticas de actualización de firmas que los administradores de antivirus hayan definido y de acuerdo al tiempo trascurrido entre el 11 de septiembre y la fecha de instalación del SEP en la estación cliente. En todo caso, se debe verificar que el icono del SEP tenga un punto verde. Esto asegura que la estación tendrá actualizadas las firmas de antivirus y las políticas de administración.

 

i1dian32-3.JPG
 

Para verificar que el SEP pueda ser administrado por la consola central, doble clic en el icono del antivirus. Clic en el botón “Help and Support”

 

i1dian32-4.JPG
 

Clic en la opción “Troubleshooting”

 

i1dian32-5.JPG
 

Verificar que en la ventana se despliegue la dirección IP (191.1.0.14) o el nombre del servidor (s000sist014) tal como lo indica la siguiente imagen:

 

i1dian32-6.JPG
 

Es posible que le salga el siguiente mensaje después de la instalación del antivirus

Clic en “Perform this Action”.

 

i1dian32-7.JPG
 

5. Conectar la estación cliente a la red local.

En este punto se puede reiniciar y conectar la estación cliente a la red local. Se debe verificar que el icono del SEP tenga el círculo en verde.

Nota: Debe tener precaución al conectar la estación a la red local en la misma tarjeta de red. Hay algunas estaciones que cuentan con más de una tarjeta de red. Esta recomendación fue dada como nota en el numeral 3.6.1 de este documento.

5.1. Activar restaurar sistema en clientes con Windows XP.

Para poder realizar este paso debe autenticarse como administrador local en equipo cliente o utilizando las credenciales de un usuario del dominio de Windows con privilegios de administración sobre el equipo cliente.

5.1.1. En la barra de tareas de Windows, haga clic sobre el botón Inicio.

5.1.2. Clic con el botón derecho en el icono “Mi PC” y, a continuación, clic en “Propiedades”.

5.1.3. Clic en la pestaña “Restaurar sistema”. Desmarque la casilla “Desactivar restaurar sistema” o la casilla “Desactivar restaurar sistema en todas las unidades”.

Nota: Si esta casilla no es visible, verifique que haya iniciado la sesión con un usuario con privilegios de administración en la estación cliente.

5.1.4. En la parte inferior de la ventana, clic en el botón “Aplicar” y clic en el botón “Si” para confirmar la acción.

5.1.5. Clic en el botón “Aplicar”.

Para encontrar ayuda relacionada con este procedimiento y en más detalle, puede consultar el siguiente enlace:

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/sldocid/20020515173946924