Control de aplicaciones

  • Artículo

Nota:

La característica de control de aplicaciones es opcional. Debe enviar una solicitud para activar el control de la aplicación.

El control de aplicaciones es una práctica de seguridad opcional del escritorio administrado de Microsoft que restringe la ejecución de código en dispositivos cliente.

Este control mitigará el riesgo de malware o scripts malintencionados. El control requerirá que solo se puedan ejecutar códigos firmados por una lista de publicadores aprobada por el cliente. Hay muchas ventajas de seguridad de este control, pero su objetivo principal es proteger los datos y la identidad frente a vulnerabilidades de seguridad basadas en clientes.

El escritorio administrado de Microsoft simplificará la administración de directivas de control de aplicaciones mediante la creación de una directiva base que permite escenarios de productividad principales. Podrá ampliar la confianza a otros firmantes que sean específicos de las aplicaciones y scripts de su entorno.

Cualquier tecnología de seguridad requiere un equilibrio entre la experiencia del usuario, la seguridad y el costo. El control de aplicaciones reducirá la amenaza de software malintencionado de su entorno, pero existen consecuencias para el usuario y otras acciones para el administrador de TI.

Seguridad y responsabilidades adicionales Descripción
Seguridad adicional Las aplicaciones o scripts que no sean de confianza para la directiva de control de aplicaciones no se ejecutarán en los dispositivos.
Sus responsabilidades adicionales
  • Usted será responsable de probar las aplicaciones para identificar si la directiva de control de aplicaciones las bloquearía.
  • Si una aplicación está bloqueada (o se bloqueara), usted será responsable de identificar los detalles necesarios del firmante. Debe solicitar un cambio a través del centro de administración.
Responsabilidades del escritorio administrado de Microsoft
  • El escritorio administrado de Microsoft mantiene la directiva base que habilitará productos básicos de Microsoft, como la aplicaciones Microsoft 365, Windows, Teams, OneDrive, etc.
  • El escritorio administrado de Microsoft insertará los firmantes de confianza e implementará las directivas actualizadas en los dispositivos.

Administración de la confianza en las aplicaciones

El escritorio administrado de Microsoft mantiene una directiva base que confía en los componentes principales de las tecnologías de Microsoft. A continuación, usted agregará confianza para sus propias aplicaciones y scripts informando al escritorio administrado de Microsoft en qué aplicaciones y scripts ya confía.

Directiva base

El escritorio administrado de Microsoft, en colaboración con expertos en ciberseguridad de Microsoft, crea y mantiene una directiva estándar. Esta directiva estándar:

  • Habilita la mayoría de las aplicaciones implementadas a través de Microsoft Intune.
  • Bloquea actividades peligrosas, como la compilación de código o la ejecución de archivos que no sean de confianza.

La directiva base adopta el siguiente enfoque para restringir la ejecución de software:

  • Los archivos ejecutados por los administradores podrán ejecutarse.
  • Los archivos en ubicaciones que no estén en directorios que se puedan escribir por el usuario podrán ejecutarse.
  • Los archivos están firmados por un firmante de confianza.
  • La mayoría de los archivos firmados por Microsoft se ejecutarán, pero algunos están bloqueados para evitar acciones de alto riesgo, como la compilación de código.

Si un usuario, que no sea un administrador, pudiera haber agregado una aplicación o un script a un dispositivo (es decir, que esté en un directorio en el que se pueda escribir por el usuario), no permitiremos que se ejecute. Permitiremos la ejecución si un administrador ya hubiera permitido la aplicación o el script.

Nuestra directiva detendrá la ejecución de aplicaciones en los siguientes escenarios:

  • Si se engañase a un usuario para intentar instalar malware.
  • Si hubiera por una vulnerabilidad en una aplicación el usuario ejecutara intentos de instalar malware.
  • Si un usuario intentase ejecutar intencionadamente una aplicación o un script no autorizados.

Solicitudes del firmante

Usted nos informará de las aplicaciones que proporcionen los editores de software en los que confíe mediante la presentación de una solicitud de firmante. Al hacerlo, haremos lo siguiente:

  • Agregar esa información de confianza a la directiva de control de aplicaciones de línea base.
  • Permitir que cualquier software firmado con el certificado de ese publicador se ejecute en los dispositivos.

Directivas de auditoría y aplicación

El escritorio administrado de Microsoft usa directivas de Microsoft Intune para proporcionar un control de las aplicaciones:

Directiva de auditoría

Esta directiva creará registros para registrar si la directiva aplicada bloquearía una aplicación o script.

Las directivas de auditoría no aplicarán reglas de control de aplicaciones. Están diseñadas para realizar pruebas con el fin de identificar si una aplicación requerirá una exención del publicador. Registra advertencias (eventos 8003 u 8006) en el Visor de eventos en lugar de bloquear la ejecución o instalación de aplicaciones o scripts especificados.

Directiva aplicada

Esta directiva impedirá que se ejecuten aplicaciones y scripts que no sean de confianza y creará registros cada vez que se bloquee una aplicación o script. Las directivas aplicadas impedirán que los usuarios estándar ejecuten aplicaciones o scripts almacenados en directorios en los que pueda escribir el usuario.

Los dispositivos del grupo de prueba tendrán una directiva de auditoría aplicada para validar si alguna de las aplicaciones pudiera provocar problemas. Todos los demás grupos (Primero, Rápido y Ancho) usarán una directiva aplicada. Los usuarios de esos grupos no podrán ejecutar scripts o aplicaciones que no sean de confianza.