administración de Windows Defender Application Control con Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Windows Defender Application Control está diseñado para proteger los dispositivos contra malware y otro software que no es de confianza. Evita que se ejecute código malintencionado asegurándose de que solo se pueda ejecutar el código aprobado, que ya sabe.

Control de aplicaciones es una capa de seguridad basada en software que aplica una lista explícita de software que se permite ejecutar en un equipo. Por sí solo, Application Control no tiene requisitos previos de hardware o firmware. Las directivas de Control de aplicaciones implementadas con Configuration Manager habilitar una directiva en dispositivos de colecciones de destino que cumplan los requisitos mínimos de sku y versión de Windows descritos en este artículo. Opcionalmente, la protección basada en hipervisor de las directivas de Control de aplicaciones implementadas a través de Configuration Manager se puede habilitar a través de la directiva de grupo en hardware compatible.

Para obtener más información, consulte la guía de implementación de Windows Defender Application Control.

Nota:

Esta característica se conocía anteriormente como integridad de código configurable y Device Guard.

Uso de Application Control con Configuration Manager

Puede usar Configuration Manager para implementar una directiva de Control de aplicaciones. Esta directiva le permite configurar el modo en el que Application Control se ejecuta en los dispositivos de una colección.

Puede configurar uno de los siguientes modos:

  1. Cumplimiento habilitado : solo se pueden ejecutar ejecutables de confianza.
  2. Solo auditoría : permite que se ejecuten todos los ejecutables, pero registre los ejecutables que no son de confianza que se ejecutan en el registro de eventos del cliente local.

¿Qué se puede ejecutar al implementar una directiva de Control de aplicaciones?

Application Control le permite controlar fuertemente lo que se puede ejecutar en los dispositivos que administra. Esta característica puede ser útil para dispositivos en departamentos de alta seguridad, donde es fundamental que no se pueda ejecutar software no deseado.

Al implementar una directiva, normalmente, se pueden ejecutar los siguientes ejecutables:

  • Componentes del sistema operativo Windows
  • Controladores del Centro de desarrollo de hardware con firmas de Windows Hardware Quality Labs
  • Aplicaciones de la Tienda Windows
  • El cliente de Configuration Manager
  • Todo el software implementado a través de Configuration Manager que los dispositivos instalan después de procesar la directiva de Control de aplicaciones
  • Novedades a componentes integrados de Windows desde:
    • Windows Update
    • Windows Update para empresas
    • Windows Server Update Services
    • Configuration Manager
    • Opcionalmente, software con una buena reputación determinada por el Microsoft Intelligent Security Graph (ISG). El ISG incluye Windows Defender SmartScreen y otros servicios de Microsoft. El dispositivo debe ejecutarse Windows Defender SmartScreen y Windows 10 versión 1709 o posterior para que este software sea de confianza.

Importante

Estos elementos no incluyen ningún software que no esté integrado en Windows que se actualice automáticamente desde Internet o desde actualizaciones de software de terceros. Esta limitación se aplica tanto si están instalados por cualquiera de los mecanismos de actualización enumerados como desde Internet. Control de aplicaciones solo permite cambios de software que se implementan a través del cliente de Configuration Manager.

Sistemas operativos admitidos

Para usar Application Control con Configuration Manager, los dispositivos deben ejecutar versiones compatibles de:

  • Windows 11 o posterior, Edición Enterprise
  • Windows 10 o posterior, Edición Enterprise
  • Windows Server 2019 o posterior

Sugerencia

Las directivas de Control de aplicaciones existentes creadas con Configuration Manager versión 2006 o anterior no funcionarán con Windows Server. Para admitir Windows Server, cree nuevas directivas de Control de aplicaciones.

Antes de empezar

  • Una vez que una directiva se procesa correctamente en un dispositivo, Configuration Manager se configura como instalador administrado en ese cliente. Después de los procesos de directiva, el software implementado por Configuration Manager se confía automáticamente. Antes de que el dispositivo procese la directiva de Control de aplicaciones, el software instalado por Configuration Manager no es de confianza automáticamente.

    Nota:

    Por ejemplo, no puede usar el paso Instalar aplicación en una secuencia de tareas para instalar aplicaciones durante una implementación del sistema operativo. Para obtener más información, consulte Pasos de secuencia de tareas: instalación de la aplicación.

  • La programación de evaluación de cumplimiento predeterminada para las directivas de Application Control es todos los días. Esta programación se puede configurar durante la implementación de directivas. Si observa problemas en el procesamiento de directivas, configure la programación de evaluación de cumplimiento para que sea más frecuente. Por ejemplo, cada hora. Esta programación determina la frecuencia con la que los clientes vuelven a intentar procesar una directiva de Control de aplicaciones si se produce un error.

  • Independientemente del modo de cumplimiento que seleccione, al implementar una directiva de Control de aplicaciones, los dispositivos no pueden ejecutar aplicaciones HTML con la extensión de .hta archivo.

Creación de una directiva de Control de aplicaciones

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento.

  2. Expanda Endpoint Protection y, a continuación, seleccione el nodo Windows Defender Control de aplicaciones.

  3. En la pestaña Inicio de la cinta de opciones, en el grupo Crear , seleccione Crear directiva de control de aplicaciones.

  4. En la página General del Asistente para crear directivas de Control de aplicaciones, especifique la siguiente configuración:

    • Nombre: escriba un nombre único para esta directiva de Control de aplicaciones.

    • Descripción: opcionalmente, escriba una descripción de la directiva que le ayude a identificarla en la consola de Configuration Manager.

    • Aplicar un reinicio de dispositivos para que esta directiva se pueda aplicar para todos los procesos: después de que el dispositivo procese la directiva, se programa un reinicio en el cliente de acuerdo con la configuración de cliente para reiniciar el equipo. Las aplicaciones que se ejecutan actualmente en el dispositivo no aplicarán la nueva directiva de Control de aplicaciones hasta después de un reinicio. Sin embargo, las aplicaciones iniciadas después de que se aplique la directiva respetarán la nueva directiva.

    • Modo de cumplimiento: elija uno de los siguientes métodos de cumplimiento:

      • Aplicación habilitada: solo se pueden ejecutar aplicaciones de confianza.

      • Solo auditoría: permite que se ejecuten todas las aplicaciones, pero registre los programas que no son de confianza que se ejecutan. Los mensajes de auditoría se encuentran en el registro de eventos de cliente local.

  5. En la pestaña Inclusiones del Asistente para creardirectivas de control de aplicaciones, elija si desea autorizar el software de confianza de Intelligent Security Graph.

  6. Si desea agregar confianza para archivos o carpetas específicos en dispositivos, seleccione Agregar. En el cuadro de diálogo Agregar archivo o carpeta de confianza , puede especificar un archivo local o una ruta de acceso de carpeta de confianza. También puede especificar una ruta de acceso de archivo o carpeta en un dispositivo remoto en el que tenga permiso para conectarse. Al agregar confianza para archivos o carpetas específicos en una directiva de Control de aplicaciones, puede hacer lo siguiente:

    • Supere los problemas con los comportamientos del instalador administrado.

    • Confíe en las aplicaciones de línea de negocio que no puede implementar con Configuration Manager.

    • Aplicaciones de confianza que se incluyen en una imagen de implementación del sistema operativo.

  7. Complete el asistente.

Implementación de una directiva de Control de aplicaciones

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento.

  2. Expanda Endpoint Protection y, a continuación, seleccione el nodo Windows Defender Control de aplicaciones.

  3. En la lista de directivas, seleccione la que desea implementar. En la pestaña Inicio de la cinta de opciones, en el grupo Implementación , seleccione Implementar directiva de control de aplicaciones.

  4. En el cuadro de diálogo Implementar directiva de Control de aplicaciones, seleccione la colección en la que desea implementar la directiva. A continuación, configure una programación para cuando los clientes evalúen la directiva. Por último, seleccione si el cliente puede evaluar la directiva fuera de cualquier ventana de mantenimiento configurada.

  5. Cuando haya terminado, seleccione Aceptar para implementar la directiva.

Supervisión de una directiva de Control de aplicaciones

En general, use la información del artículo Supervisión de la configuración de cumplimiento . Esta información puede ayudarle a supervisar que la directiva implementada se ha aplicado correctamente a todos los dispositivos.

Para supervisar el procesamiento de una directiva de Control de aplicaciones, use el siguiente archivo de registro en los dispositivos:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Para comprobar que el software específico se está bloqueando o auditando, consulte los siguientes registros de eventos de cliente local:

  • Para bloquear y auditar archivos ejecutables, use Registros > de aplicaciones y serviciosMicrosoft> Integridad decódigo> de Windows>Operativa.

  • Para bloquear y auditar archivos de script y Windows Installer, use registros > de aplicaciones y serviciosMicrosoft>Msi y script de Windows>AppLocker>.

Información de seguridad y privacidad

  • Los dispositivos que tienen una directiva implementada en el modo Solo auditoría o Habilitado para cumplimiento, pero que no se han reiniciado para aplicar la directiva, son vulnerables a que se instale software que no es de confianza. En esta situación, es posible que el software continúe ejecutándose incluso si el dispositivo se reinicia o recibe una directiva en el modo de cumplimiento habilitado .

  • Para ayudar a la eficacia de la directiva de Control de aplicaciones, prepare primero el dispositivo en un entorno de laboratorio. Implemente una directiva habilitada para la aplicación y reinicie el dispositivo. Una vez que compruebe que las aplicaciones funcionan, proporcione el dispositivo al usuario.

  • No implemente una directiva con El cumplimiento habilitado y, después, implemente una directiva con Solo auditoría en el mismo dispositivo. Esta configuración puede dar lugar a que se permita la ejecución de software que no es de confianza.

  • Al usar Configuration Manager para habilitar Application Control en dispositivos, la directiva no impide que los usuarios con derechos de administrador local eludan las directivas de Control de aplicaciones ni ejecuten software que no sea de confianza.

  • La única manera de evitar que los usuarios con derechos de administrador local deshabilite El control de aplicaciones es implementar una directiva binaria firmada. Esta implementación es posible a través de la directiva de grupo, pero no se admite actualmente en Configuration Manager.

  • La configuración de Configuration Manager como instalador administrado en dispositivos usa una directiva de Windows AppLocker. AppLocker solo se usa para identificar instaladores administrados. Todo el cumplimiento se produce con Application Control.

Pasos siguientes

Administración de directivas antimalware y configuración de firewall