Compartir a través de

Impedir que las herramientas de seguridad bloqueen aplicaciones hospedadas en WebView2

Estos son procedimientos recomendados para administradores de TI y proveedores de software de seguridad, para asegurarse de que las herramientas de seguridad no bloquean la funcionalidad de la aplicación WebView2 ni bloquean las aplicaciones hospedadas en WebView2.

Los administradores de TI y los proveedores de software de seguridad deben usar los procedimientos y procedimientos siguientes para configurar sus entornos y herramientas de seguridad con el fin de evitar que se interrumpa la arquitectura de varios procesos de WebView2.

Contenido detallado:

Herramientas de seguridad para configurar

Las herramientas de seguridad para configurar correctamente incluyen:

  • Herramientas antivirus (AV).
  • Herramientas de prevención de pérdida de datos (DLP).
  • Herramientas de detección y respuesta de puntos de conexión (EDR).

Las herramientas de seguridad empresarial también incluyen:

  • Inspección de seguridad de la capa de transporte (TLS).

Síntomas de problemas de configuración empresarial

Las herramientas de seguridad empresariales, si no siguen los procedimientos recomendados siguientes, pueden interrumpir la arquitectura de varios procesos de WebView2 mediante:

  • Bloqueo de procesos secundarios.
  • Ajustar la carpeta Access Control listas (ACL).
  • Inserción de bibliotecas de vínculos dinámicos (DLL).

Cuando se produce esta interrupción, las experiencias hospedadas en WebView2 pueden bloquearse o no inicializarse en pantalla en blanco.

Vea:

Actualización de directivas de seguridad empresariales si es necesario

WebView2 respeta todas las directivas de seguridad empresariales.

Si alguna herramienta o directiva no permite que se carguen algunas de las DLL de WebView2, el administrador de TI empresarial debe actualizar las directivas de seguridad empresariales.

WebView2 no implementa lógica específica de la aplicación.

Permitir la lista de archivos ejecutables del entorno de ejecución de WebView2 y del host de la aplicación

Allowlist the WebView2 Runtime (msedgewebview2.exe) and the app's host executables.

Vea:

Prefiere las reglas del publicador.

Vea:

La inicialización en tiempo de ejecución está bloqueada

Problemas:

  • Puede haber un error de inicialización, como E_FAIL. En este caso, el control WebView2 no se inicializa y el contenido de la aplicación nunca se carga.

  • La inicialización en tiempo de ejecución está bloqueada para cualquiera de las herramientas siguientes:

    • Control de aplicaciones de Windows Defender (WDAC).

    • Reglas de denegación de AppLocker; directivas que bloquean explícitamente la ejecución.

    • Access Control listas (ACL) que se han ajustado más allá de la configuración predeterminada; permisos que se han hecho más restrictivos que los predeterminados del sistema operativo.

Síntomas

  • Errores de seguridad de la capa de transporte (TLS), como ERR_CERT_*.

  • Errores de redireccionamiento de inicio de sesión que se producen cuando está habilitada la inspección de seguridad de la capa de transporte (TLS).

  • Error de inicialización inmediato.

  • No hay procesos secundarios.

  • La vista está en blanco.

Soluciones

Allowlist the WebView2 Runtime (msedgewebview2.exe) and host executables.

Vea:

Use reglas de publicador.

Vea:

Restaure las listas de Access Control predeterminadas (ACL).

Vea:

Conservar listas de Access Control predeterminadas (ACL) en carpetas en tiempo de ejecución

No modifique las listas de Access Control (ACL) predeterminadas que Windows establece en las carpetas de WebView2 Runtime.

Si las herramientas de seguridad modifican las ACL en las carpetas en tiempo de ejecución de WebView2, estos procesos de espacio aislado pueden perder los permisos que necesitan para leer y ejecutar los archivos binarios en tiempo de ejecución, lo que puede provocar pantallas en blanco, errores de inicialización o bloqueos.

Vea:

Conservar el nivel de integridad bajo (LowIL) en carpetas en tiempo de ejecución

No modifique la configuración de bajo nivel de integridad (LowIL) en las carpetas de WebView2 Runtime. WebView2 ejecuta procesos de representador en un nivel de integridad bajo, para limitar su acceso a los recursos del sistema.

Un proceso de bajo nivel de integridad (LowIL) debe ser capaz de leer y ejecutar los archivos binarios en tiempo de ejecución de WebView2.

Low Integrity Level (LowIL) es un mecanismo de seguridad de Windows que restringe la capacidad de un proceso de escribir en objetos de mayor integridad (como la mayoría de las ubicaciones del sistema y el perfil de usuario). Los procesos del representador de WebView2 se ejecutan en Il bajo para reducir el impacto de un proceso en peligro.

Vea:

Conservar listas de Access Control predeterminadas (ACL) en la carpeta de datos de usuario (UDF) de la aplicación

No modifique las listas de Access Control predeterminadas (ACL) que Windows establece en la carpeta de datos de usuario (UDF) de la aplicación. La modificación de estas ACL puede impedir que los procesos LowIL y AppContainer funcionen correctamente.

AppContainer es un espacio aislado de Windows más restrictivo que limita el acceso de un proceso solo a los recursos concedidos explícitamente. En las versiones admitidas del sistema operativo, WebView2 podría ejecutar procesos de representador dentro de , AppContainerpara un aislamiento adicional.

LowIL/AppContainer debe tener el permiso para:

  • Lea y ejecute el entorno de ejecución de WebView2.

  • Escriba en la carpeta de datos de usuario (UDF).

WebView2 ejecuta ciertos procesos secundarios en un nivel de integridad bajo (LowIL) o dentro de un AppContainer espacio aislado para limitar su acceso a los recursos del sistema.

Estos procesos de espacio aislado deben seguir siendo capaces de:

  • Lea y ejecute los archivos binarios en tiempo de ejecución de WebView2.

  • Escriba en la carpeta de datos de usuario (UDF) de la aplicación.

Si las herramientas de seguridad aprietan las listas de Access Control (ACL) en la carpeta de datos de usuario (UDF) de la aplicación, los procesos de espacio aislado podrían perder el acceso que necesitan, lo que puede provocar pantallas en blanco, errores de inicialización o bloqueos.

Las ubicaciones del sistema administradas por el sistema operativo (SO) se controlan por completo mediante Windows y no se deben modificar.

Vea:

Conceder permiso para escribir en la carpeta de datos de usuario (UDF)

Conceda permiso de escritura para permitir que la aplicación WebView2 escriba en la carpeta de datos de usuario (UDF).

Estas escrituras en la UDF pueden ser de:

  • Excepciones de acceso controlado por carpeta (CFA) por aplicación.

  • Excepciones de prevención de pérdida de datos por aplicación (DLP).

El estado del contenido web reside en la carpeta de datos de usuario (UDF) de la aplicación. El estado del contenido web incluye:

  • Cookies.
  • Caché.
  • Almacenamiento local.

Vea:

Bucle de inicio de sesión; estado no persistente; la configuración no se conserva; página inicial en blanco

En el caso de un bucle de inicio de sesión, el estado no se conserva cuando se bloquean las escrituras de la carpeta de datos de usuario (UDF).

Soluciones

Permitir escrituras en la carpeta de datos de usuario de la aplicación; usar excepciones de acceso controlado por carpeta (CFA) por aplicación o excepciones de prevención de pérdida de datos (DLP).

Evite colocar la carpeta de datos de usuario (UDF) de WebView2 en un recurso compartido de red.

Asegúrese de que las directivas de prevención de pérdida de datos (DLP) no clasifican erróneamente los datos normales del explorador (como cookies, caché o almacenamiento local) como intentos de filtración. La filtración es la transferencia no autorizada de datos de un sistema, red o entorno en la nube a un destino externo sin permiso.

Vea:

Permitir el acceso a carpetas en tiempo de ejecución, los procesos secundarios y la creación de procesos secundarios

Audiencia: proveedores de software de seguridad.

Mantenga el acceso a la carpeta WebView2 Runtime sin restricciones.

Permitir procesos secundarios y no terminarlos. Los procesos secundarios incluyen:

  • Representador
  • Unidad de procesamiento de gráficos (GPU)
  • Red
  • Crashpad

Mantenga sin restricciones la creación de procesos secundarios en tiempo de ejecución de WebView2; permiso Crashpad.

Vea:

No insertar archivos DLL en procesos de WebView2

Use conectores de seguridad de Microsoft Edge.

Evite la inserción de biblioteca de vínculos dinámicos (DLL).

No inserte bibliotecas de vínculos dinámicos (DLL) en procesos WebView2. En su lugar, use conectores de seguridad de Microsoft Edge.

Prefiere los conectores de seguridad de Microsoft Edge para la prevención de pérdida de datos (DLP), los informes o la confianza del dispositivo.

La inserción de biblioteca de vínculos dinámicos (DLL) en procesos del representador o de la unidad de procesamiento gráfico (GPU) interrumpe el modelo de espacio aislado de Chromium y suele provocar bloqueos del representador.

Los proveedores de software de seguridad deben usar conectores de seguridad perimetrales compatibles en lugar de enlaces de bajo nivel.

Vea:

Bloqueos o bloqueos

Bloqueo o inmovilización asociados a la inserción de biblioteca de vínculos dinámicos (DLL) o al representador bloqueado, unidad de procesamiento gráfico (GPU) o Crashpad.

Vea:

El contenido nunca se carga

Problema: se inicia el proceso principal, pero el contenido nunca se carga y la aplicación se bloquea.

La generación de procesos secundarios se bloquea o enlaza.

Soluciones

Permitir procesos secundarios de WebView2:

  • Representador.
  • Unidad de procesamiento de gráficos (GPU).
  • Red.
  • Crashpad.

Estos son los procesos secundarios que crea una instancia de WebView2.

Evite la inserción de biblioteca de vínculos dinámicos (DLL).

Prefiere conectores perimetrales.

Vea:

Evitar exclusiones globales amplias

Inicio lento

Problemas:

  • Inicio lento debido al examen profundo en tiempo real del entorno de ejecución de WebView2 y la carpeta de datos de usuario (UDF).
  • Una pantalla blanca transitoria, cuando se realiza una navegación.
  • Examen agresivo en tiempo real.
Soluciones

Configurar exclusiones con ámbito para archivos binarios en tiempo de ejecución de WebView2 y carpeta de datos de usuario (UDF); evitar exclusiones amplias.

Ajuste el examen con exclusiones de ámbito para el directorio webView2 Runtime y la carpeta de datos de usuario (UDF).

Evite exclusiones globales amplias.

Vea:

Confiar en entidades de certificación (CA) de proxy interno y permitir puntos de conexión esenciales de inicio de sesión o de Content Delivery Network (CDN)

Alinee las directivas de seguridad de la capa de transporte (TLS) con Chromium:

  • Confiar en entidades de certificación de proxy interno (CA); instalar entidades de certificación (CA) de confianza.

  • Permitir puntos de conexión de inicio de sesión esenciales u otros puntos de conexión necesarios.

  • Permitir puntos de conexión esenciales de Content Delivery Network (CDN).

Conserve la configuración predeterminada de listas de Access Control (ACL) y nivel de integridad bajo (LowIL) en las carpetas de WebView2 Runtime.

  • Un proceso de bajo nivel de integridad (LowIL) debe ser capaz de leer y ejecutar los archivos binarios en tiempo de ejecución de WebView2.

  • No modifique las ACL predeterminadas que el sistema operativo establece en las carpetas en tiempo de ejecución. Los procesos del representador de espacio aislado de WebView2 se ejecutan en un nivel de integridad bajo y requieren estos permisos para funcionar correctamente.

Confiar en el entorno de ejecución de WebView2 por firma

Reconocer y confiar en webView2 Runtime (msedgewebview2.exe) por firma; permitir procesos secundarios.

No modifique los archivos en tiempo de ejecución de WebView2 desde los que se cargan los componentes de Windows. C:\Windows\System32

No modifique, ponga en cuarentena ni reemplace los archivos binarios de WebView2 Runtime que los componentes de Windows cargan directamente desde C:\Windows\System32.

Algunos componentes de Windows pueden cargar archivos binarios de WebView2 Runtime directamente desde C:\Windows\System32. Estos archivos binarios son propiedad del sistema operativo.

Estos archivos binarios en tiempo de ejecución webView2 propiedad del sistema operativo:

  • Es posible que no coincida con la versión en tiempo de ejecución de Evergreen WebView2 que usan las aplicaciones de escritorio.

  • Se prestan servicios exclusivamente a través de Windows Update, no a través de los instaladores de WebView2.

Alineación de la configuración de proxy y inspección de la capa de transporte (TLS)

Síntomas:

  • Errores de seguridad de la capa de transporte (TLS) (como ERR_CERT_*).

  • Errores de redireccionamiento de inicio de sesión que se producen cuando está habilitada la inspección de TLS.

Alinee la configuración de proxy y inspección de la capa de transporte (TLS) con los requisitos de explorador basados en Chromium.

Si el entorno usa la inspección tls, asegúrese de que el almacén de certificados del sistema operativo confía en los certificados de inspección.

Descifrado SSL mediante un firewall o proxy

Un ejemplo de uso de la inspección de TLS es el descifrado SSL mediante un firewall o proxy.

Si el entorno enruta el tráfico a través de un servidor proxy, asegúrese de que los procesos de WebView2 pueden llegar a los puntos de conexión necesarios a través del proxy.

ERR_CERT_* error

Problemas:

  • ERR_CERT_* errores.

  • Bucles de inicio de sesión (bucles de inicio de sesión).

  • Error de los trabajadores del servicio.

La inspección de red frente a la inspección de seguridad de la capa de transporte (TLS) está mal alineada.

Soluciones

Instale la entidad de certificación (CA) raíz del proxy empresarial para que WebView2 confíe en el tráfico HTTPS interceptado.

Asegúrese de que se permiten explícitamente los puntos de conexión de autenticación y los puntos de conexión de Content Delivery Network (CDN) que usa la aplicación WebView2.

Valide los puntos de conexión de autenticación y los puntos de conexión de Content Delivery Network (CDN).

Vea:

Permitir actualizaciones del runtime de Evergreen WebView2

No bloquee las actualizaciones del runtime de Evergreen WebView2.

Permitir actualizaciones del runtime de Evergreen WebView2; no bloquee el mantenimiento.

El mantenimiento de Microsoft Edge actualiza las siguientes subcarpetas con versiones:

C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\

Vea:

La aplicación solo funciona con privilegios superiores

Hay una falta de coincidencia de lista de Access Control (ACL) con el nivel de integridad.

Problema: La aplicación solo funciona con privilegios superiores. Se produce un error en la aplicación en los siguientes entornos:

  • Plataforma universal de Windows (UWP): aplicaciones que se ejecutan dentro del espacio aislado de aplicaciones de Windows con permisos restringidos.

  • AppContainer : espacio aislado de seguridad de Windows que limita el acceso de un proceso solo a los recursos concedidos explícitamente.

Soluciones

Mantenga los permisos predeterminados ALL APPLICATION PACKAGES en los directorios en tiempo de ejecución de WebView2; un proceso de nivel de integridad bajo (LowIL) debe leerse o ejecutarse.

Vea:

Esto incluye la ruta de acceso en tiempo de ejecución de Evergreen WebView2 en C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\, que debe conservar ALL APPLICATION PACKAGES los permisos de lectura y ejecución.

El entorno de ejecución de WebView2 basado en System32 es propiedad de Windows y lo administra.

El entorno de ejecución de WebView2 basado en System32 no debe modificarse, reemplazarse, ponerse en cuarentena ni limpiarse por las herramientas Antivirus (AV), Detección y respuesta de puntos de conexión (EDR) o Prevención de pérdida de datos (DLP).

Las listas de Access Control (ACL) predeterminadas del entorno de ejecución de WebView2 basadas en System32 deben conservarse exactamente como se incluyen.

No aplique directivas de grupo solo del explorador Edge

La mayoría de las directivas de grupo que se aplican a Microsoft Edge no afectan a WebView2, y las directivas no admitidas pueden interrumpir las características de WebView2.

No use directivas de grupo solo de Microsoft Edge para afectar a WebView2.

Herramientas en las que comprobar los síntomas y las causas

Audiencia: administradores de TI.

Los administradores de TI pueden usar herramientas estándar de Windows para determinar si los síntomas enumerados son causados por:

  • WebView2 bloqueado.
  • WebView2 no se puede inicializar.
  • Bloqueo de WebView2.

Administrador de tareas

En la aplicación host, compruebe que aparecen el entorno de ejecución de WebView2 (msedgewebview2.exe) y sus procesos secundarios.

Los procesos secundarios incluyen:

  • Representador.
  • Unidad de procesamiento de gráficos (GPU).
  • Red.
  • Crashpad.

Si no aparece ningún proceso secundario de WebView2, se bloquea el entorno de ejecución de WebView2 o la generación de procesos secundarios, debido a que se habilita uno de los siguientes procesos en el equipo:

  • Control de aplicaciones de Windows Defender (WDAC).

  • Detección y respuesta de puntos de conexión (EDR).

  • Inserción de biblioteca de vínculos dinámicos (DLL).

Si los procesos del representador (o de la unidad de procesamiento gráfico (GPU)) aparecen brevemente y desaparecen, es posible que lo siguiente esté terminando los procesos del representador (o unidad de procesamiento gráfico (GPU)::

  • Enlace de detección y respuesta de puntos de conexión (EDR).

  • Enlace antivirus (AV).

  • Inserción de biblioteca de vínculos dinámicos (DLL).

Ventana incrustada en blanco o blanco

Si hay una ventana incrustada en blanco o en blanco, asegúrese de que los procesos de WebView2 están presentes en el Administrador de tareas.

Vea:

Visor de eventos

Visor de eventos (aplicación o sistema de registros > de Windows).

Buscar:

  • Errores de inicialización de aplicaciones o WebView2.

  • Control de aplicaciones de Windows Defender (WDAC) o Eventos de ejecución bloqueados de AppLocker.

  • Eventos de denegación de escritura controlados de archivos de acceso a carpetas (CFA) o prevención de pérdida de datos (DLP) que afectan a la carpeta de datos de usuario (UDF).

  • Seguridad de la capa de transporte (TLS), certificados o errores de directiva de red que afectan a los flujos de inicio de sesión.

Registros de seguridad

  • Bloques de acceso controlado a carpetas (CFA).

  • Bloques de directivas de prevención de pérdida de datos (DLP).

  • Denegaciones de AppLocker o Control de aplicaciones. Normalmente, se asignan a síntomas como bucles de inicio de sesión, pantallas en blanco o configuraciones que no persisten.

Diagnósticos, informes de bloqueo y eventos de proceso

Los informes de bloqueo se guardan en la carpeta de datos de usuario (UDF) de la aplicación en EBWebView\Crashpad\reports\.

Use diagnósticos de bloqueos junto con eventos de proceso para evaluar los errores repetidos.

Vea:

Monitor de confiabilidad

Identificar bloqueos repetidos del representador, la unidad de procesamiento gráfico (GPU) o los procesos de Crashpad.

Estos bloqueos de proceso se correlacionan con:

  • Problemas de congelación.

  • Problemas de pantalla en blanco.

  • Inestabilidad en tiempo de ejecución de WebView2.

Aplicabilidad a las herramientas

Audiencia: administradores de TI y proveedores de software de seguridad.

Varios tipos de aplicaciones pueden interactuar con WebView2. Las siguientes son la aplicabilidad a diferentes formas de WebView2.

Este artículo se aplica a las siguientes herramientas o software:

  • Microsoft Edge WebView2 Runtime (evergreen y versión fija).

  • Aplicaciones de escritorio de Windows que insertan el control WebView2.

  • Componentes de Windows que usan WebView2 para la parte basada en web de la interfaz de usuario.

  • Antivirus que no son de Microsoft, detección y respuesta de puntos de conexión (EDR), prevención de pérdida de datos (DLP) y productos de interceptación de seguridad de la capa de transporte (TLS) o proxy que podrían interferir con los procesos de WebView2.

Vea:

Resolución de problemas de rendimiento

Audiencia: administradores de TI y proveedores de software de seguridad.

Para usar esta sección:

  1. El administrador de TI usa esta información para identificar un problema que el administrador de TI está viendo al iniciar o usar WebView2 en su aplicación y averiguar qué software de seguridad está causando el problema.

  2. El administrador de TI se pone en contacto con el proveedor de software de seguridad.

  3. El proveedor de software de seguridad usa este contenido para averiguar lo que necesita hacer para asegurarse de que WebView2 no está bloqueado.

El examen extenso o el enganche a procesos pueden ralentizar los tiempos de inicio y carga de páginas.

En su lugar, use exclusiones con ámbito para los archivos binarios en tiempo de ejecución de WebView2 y la carpeta de datos de usuario (UDF), en lugar de optar por deshabilitaciones de alto riesgo de gran alcance.

Tratar procesos secundarios como procesos del explorador; evitar la terminación de estos procesos secundarios.

Los procesos secundarios incluyen:

  • Representador.
  • Unidad de procesamiento de gráficos (GPU).
  • Red.
  • Crashpad.

No finalice los procesos de Crashpad o unidad de procesamiento gráfico (GPU), ya que son cruciales para la estabilidad y la representación.

Vea:

Por qué WebView2 aparece en cargas de trabajo empresariales

Audiencia: administradores de TI y proveedores de software de seguridad.

Muchas características de Aplicaciones Microsoft 365 y Windows usan WebView2 para ofrecer una interfaz de usuario moderna y coherente.

Por ejemplo, las características de Outlook se basan en el entorno de ejecución de WebView2 para funcionar.

Windows Search usa WebView2 para partes de su interfaz de usuario.

Vea:

Vea también

Learn.microsoft.com:

Externo:

  • Last updated on