Configuración de contraseña y anti-tampering

Anti-tamper

Muchas amenazas avanzadas incorporan técnicas para desactivar el software de seguridad de los equipos. La protección Anti-tamper evita la modificación no autorizada del funcionamiento de la protección impidiendo que el software se detenga, pause o se desinstale mediante el establecimiento de una contraseña.

Para evitar estos problemas, la protección Anti-tamper de Advanced EDR funciona de la siguiente manera:

  • La configuración de Ajustes de equipo creada por defecto incluye una contraseña pre calculada única para cada cliente. Esta contraseña no se puede cambiar ya que las configuraciones por defecto son de solo lectura.

  • En las configuraciones de Ajustes por equipo generadas por el usuario la opción de anti-tamper puede ser desactivada o activada, dependiendo de las medidas de seguridad que se quieran aplicar.

Las contraseñas creadas para las configuraciones de seguridad deben tener entre 6 y 15 caracteres.

Habilitar / Inhabilitar anti-tamper

  • Haz clic en el menú superior Configuración, panel lateral Ajustes por equipo.

  • Haz clic en una configuración existen o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones:

    • Activar protección anti-tamper: impide que los usuarios o ciertos tipos de malware puedan detener las protecciones. Requiere el establecimiento de una contraseña ya que es posible que el administrador o el equipo de soporte necesiten detener temporalmente desde la consola local las protecciones para diagnosticar problemas. Mediante el botón de la derecha se puede activar o desactivar esta funcionalidad de las configuraciones creadas.

Al desactivar la opción de seguridad Activar protección anti-tamper o Solicitar contraseña para desinstalar la protección de los equipos aparecerá un aviso de seguridad cuando se guarde la configuración. No es recomendable desactivar estas opciones de seguridad.

Protección del agente mediante contraseña

Para evitar que el usuario modifique las características de protección o desinstale completamente el software Advanced EDR, el administrador puede establecer una contraseña local que cubra ambos casos.

Asignar una contraseña local

  • Haz clic en el menú superior Configuración, panel lateral Ajustes por equipo.

  • Haz clic en una configuración existente o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones:

    • Solicitar contraseña para desinstalar Cytomic desde los equipos: evita que el usuario desinstale el software Advanced EDR protegiéndolo con una contraseña.

    • Permitir activar/desactivar temporalmente las protecciones desde la consola de los equipos: permite administrar las capacidades de seguridad del equipo desde la consola local. Requiere el establecimiento de una contraseña.

Si un equipo pierde la licencia asignada, de manera manual o por caducidad o cancelación, las protecciones anti-tampering y las protección por contraseña contra las desinstalación quedarán desactivadas.

Activar verificación en dos pasos (2FA)

Establece un doble factor de autenticación sobre el agente instalado en los dispositivos para evitar manipulaciones no autorizadas por parte de terceros.

Puedes generar un único segundo factor de autenticación para toda la cuenta, o varios, dependiendo del número de administradores que operan la consola. De este modo podrás compartir un mismo factor de autenticación en algunas configuraciones de Ajustes por equipo, o asignar un doble factor de autenticación independiente para cada configuración de Ajustes por equipo.

Para asignar un doble factor de autenticación para toda la cuenta (todas configuraciones de Ajustes por equipo comparten el mismo código QR):

  • Desde el menú superior Configuración, haz clic en Ajustes por equipo.

  • Haz clic en una configuración existente o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones

  • Activa con el botón Activar verificación en dos pasos (2FA).

  • Selecciona Utilizar un código QR compartido en toda la cuenta.

  • Haz clic en Mostrar código QR. Se mostrará el código QR generado para todas las configuraciones de Ajustes por equipo de la cuenta.

  • Sincroniza el código QR de la cuenta con la aplicación Watchguard Authpoint o una equivalente.

  • Haz clic en el botón Cerrar.

  • Haz clic en el botón Guardar.

Para asignar un doble factor de autenticación para una configuración de Ajustes por equipo particular:

  • Desde el menú superior Configuración, haz clic en Ajustes por equipo.

  • Haz clic en una configuración existente o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones.

  • Activa con el botón Activar verificación en dos pasos (2FA).

  • Selecciona Generar un código QR para esta configuración.

  • Haz clic en el botón GENERAR CÓDIGO.

  • Escribe una contraseña de 6 a 20 caracteres utilizando códigos alfanuméricos. Esta contraseña está vinculada al código QR que genera la consola y puede ser reutilizada en otras configuraciones de Ajustes por equipo.

  • Haz clic en GENERAR CÓDIGO.

  • Haz clic en el botón Cerrar.

  • Haz clic en el botón Guardar.

Para asignar un doble factor de autenticación para algunas configuraciones de Ajustes por equipo:

  • Desde el menú superior Configuración, haz clic en Ajustes por equipo.

  • Haz clic en una configuración existente o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones.

  • Activa con el botón Activar verificación en dos pasos (2FA).

  • Selecciona Generar un código QR para esta configuración.

  • Haz clic en el botón GENERAR CÓDIGO.

  • Escribe una contraseña que ya has utilizado en otras configuraciones de Ajustes por equipo. Se generará el mismo código QR.

  • Haz clic en GENERAR CÓDIGO.

  • Haz clic en el botón Cerrar.

  • Haz clic en el botón Guardar.

Activar la protección cuando el equipo arranca en modo seguro con funciones de red

Algunos tipos de malware están diseñados para forzar el reinicio de equipos Windows en modo seguro con funciones de red activadas. En este modo de inicio, el antivirus está desactivado y los equipos son vulnerables.

Puedes configurar Advanced EDR para que proteja a los equipos cuando arrancan en modo seguro con funciones de red, de manera que todas las protecciones que tienen configuradas se mantengan activas y funcionando con normalidad.

Para proteger los equipos Windows que inician en modo seguro con acceso a la red, sigue estos pasos: 

  • Haz clic en el menú superior Configuración, panel lateral Ajustes por equipo.

  • Haz clic en una configuración existente o selecciona Añadir para crear una nueva.

  • Despliega la sección Seguridad frente a manipulaciones no deseadas de las protecciones.

  • En Activar protección cuando los equipos Windows arrancan en Modo Seguro, sitúa el cursor deslizante en la posición ON.