Leer en inglés

Protección de la capa de aplicaciones

100 XP
  • 7 minutos

Zero Trust exige la protección de todas las aplicaciones: aplicaciones que se administran o controlan de forma centralizada, y aplicaciones de confianza y de confianza administradas por los usuarios. Esto se debe a que si alguna aplicación tiene su seguridad mal configurada, incluso durante un breve tiempo, puede crear oportunidades para que los hackers aprovechen sus vulnerabilidades. Cualquier aplicación mal protegida puede permitir que los cibercriminales obtengan acceso a datos importantes en los dispositivos y en las redes más amplias a las que están conectados. Descargar actualizaciones periódicas de los proveedores de aplicaciones es el primer paso para asegurarse de que las aplicaciones están protegidas. Además, mantener el sistema operativo Windows actualizado con actualizaciones mensuales de calidad y características proporcionadas por nuestros mecanismos de mantenimiento contribuye a aumentar la seguridad de las aplicaciones y mejorar las herramientas. Echemos un vistazo a algunas de las características de seguridad de aplicaciones configurables y las herramientas de Intune que puede usar para implementar la protección para las aplicaciones en todos los dispositivos de la organización.

Control de aplicaciones de Windows Defender (WDAC)

Asegúrese de que solo permite las aplicaciones adecuadas en los dispositivos como primer paso proactivo para la estrategia de seguridad de las aplicaciones. Aunque la integridad de la memoria protege el sistema operativo frente a amenazas de memoria del kernel, puedes combinarlo con el Control de aplicaciones de Windows Defender (WDAC) para obtener protecciones mejoradas con una licencia empresarial adecuada. Para ello, controle qué aplicaciones pueden instalarse y ejecutarse en los dispositivos.

Para empezar, configure y habilite WDAC haciendo lo siguiente:

  1. Defina el círculo de confianza deseado para las directivas WDAC. Por círculo de confianza, nos referimos a una descripción de la intención empresarial de la directiva expresada en lenguaje natural. Esta definición le guiará a medida que cree las reglas de directiva reales para el XML de directiva. 
  2. Use el Asistente para control de aplicaciones de Windows Defender para crear la directiva inicial. Obtenga más información sobre cómo usar las directivas integradas de Intune y diseñar y crear sus propias reglas de directiva y reglas de archivo, que están experimentando mejoras constantes.
  3. Implemente la directiva en modo de auditoría en un pequeño conjunto de dispositivos.
  4. Usa el Asistente para control de aplicaciones de Windows Defender para crear reglas a partir de registros de eventos para los archivos bloqueados en el pequeño conjunto de dispositivos que quieras permitir.
  5. Repita los pasos anteriores tantas veces como sea necesario.
  6. Implemente la directiva en modo de auditoría en más dispositivos.
  7. Continúe supervisando eventos (por ejemplo, con la búsqueda avanzada).
  8. Una vez lista, convierta la directiva al modo de cumplimiento y repita la implementación preconfigurada.
  9. Para obtener aún más seguridad, usa directivas firmadas para proteger el control de aplicaciones de Windows Defender contra alteraciones.

En segundo lugar, implemente las directivas WDAC en Intune con la funcionalidad personalizada de OMA-URI, que mejorará en los próximos meses:

  1. Conocer el GUID de una directiva generada, que se puede encontrar en el xml de directiva como <PolicyID
  2. Convierta el XML de directiva en formato binario mediante el cmdlet ConvertFrom-CIPolicy para implementarlo. La directiva binaria puede estar firmada o sin firmar.
  3. Abra el portal de Microsoft Intune y cree un perfil con la configuración personalizada.
  4. Especifique un nombre y una descripción, y use los siguientes valores para la configuración OMA-URI personalizada restante:
    • OMA-URI: ./Vendor/MSFT/ApplicationControl/Policies/Policy GUID/Policy
    • Tipo de datos: Base64
    • Archivo de certificado: cargue el archivo de directiva de formato binario. No es necesario cargar un archivo Base64, ya que Intune convertirá el archivo .bin cargado en Base64 en su nombre.

Control de aplicaciones inteligentes

Con Smart App Control, algunas pequeñas empresas pueden ofrecer a los empleados flexibilidad para elegir sus propias aplicaciones, a la vez que mantienen una seguridad estricta. Smart App Control impide que los usuarios ejecuten aplicaciones malintencionadas en dispositivos Windows bloqueando software que no es de confianza o no firmado. De este modo, Smart App Control va más allá de las protecciones de explorador integradas anteriores. Con la inteligencia artificial, la característica solo permite ejecutar aplicaciones que se prevé que sean seguras, en función de la inteligencia existente y nueva procesada diariamente.

Smart App Control está disponible en los nuevos dispositivos incluidos con Windows 11, versión 22H2. Los dispositivos con versiones anteriores de Windows 11 pueden aprovechar esta característica con una instalación de restablecimiento y limpieza de Windows 11, versión 22H2. Obtenga más información sobre cómo adaptar esta característica a un entorno determinado.

Aislamiento de aplicaciones y contenedores

A veces, los cibercriminales podrían intentar usar tácticas de ingeniería social para engañar a los usuarios para facilitar sus ataques a la aplicación, como hacer que los usuarios abran vínculos malintencionados en correos electrónicos o visiten un sitio malintencionado. Es posible que las funcionalidades de exploración y filtrado de exploradores y aplicaciones no sean suficientes para detener estos tipos de ataques, por lo que ofrecemos algunas herramientas de mantenimiento para ayudar.

Está adoptando una postura de confianza cero contra cualquier aplicación y sesión del explorador cuando la trata como poco confiable de forma predeterminada. Aísle las aplicaciones a través de Protección de aplicaciones de Microsoft Defender y ejecute sitios web abiertos en el explorador Microsoft Edge, archivos de Word, archivos de Excel y otros dentro de un contenedor que sea independiente del resto del sistema. Esto significa que cualquier código malintencionado y actividad está contenido dentro del contenedor y fuera del sistema de escritorio. Para implementar el aislamiento de aplicaciones, configúrelo mediante Protección de aplicaciones de Microsoft Defender para Office o para el explorador Edge. En Intune, busque Configuración de Protección de aplicaciones de Microsoft Defender en el catálogo de configuración, en la categoría Microsoft Edge:

En una captura de pantalla se muestra la configuración de Protección de aplicaciones de Microsoft Defender para Microsoft Edge en el catálogo de configuración de Microsoft Intune.

De forma similar, busque la categoría Microsoft Office en el catálogo de configuración para configurar Security Settings>Trust Center>Application Guard, como se muestra a continuación.

En una captura de pantalla se muestra la configuración de Protección de aplicaciones de Microsoft Defender para Microsoft Office en el catálogo de configuración de Microsoft Intune.

Para las aplicaciones de la Plataforma universal de Windows (UWP), configure y configure contenedores de Windows diseñados para aplicaciones de Windows. De este modo, se aplican restricciones en la conectividad de red y se asegura de que las aplicaciones solo tienen acceso limitado al sistema de archivos y al registro. Como consecuencia, el código malintencionado o las aplicaciones infectadas tendrán menos vías de escape. Tenga en cuenta este nivel adicional de seguridad en su recorrido para avanzar en su posición de seguridad.

Control de cuentas de usuario

Asegúrese de que todos los dispositivos están configurados para el acceso con privilegios mínimos, de modo que los usuarios no usen cuentas de administrador para el uso diario. Los privilegios de administrador deben protegerse. Si están en peligro, el malware tendría más control sobre el dispositivo e incluso podría incluso obtener control sobre otros dispositivos, plataformas y sistemas.

Implemente el control de cuentas de usuario para asegurarse de que los usuarios sigan siendo productivos, usando el acceso con privilegios mínimos necesario para realizar su trabajo y solo cuando lo necesiten. De este modo, las aplicaciones siempre se ejecutan en el contexto de seguridad de una cuenta que no es de administrador, a menos que un administrador autorice explícitamente el acceso de nivel de administrador para la aplicación. A los usuarios se les notificará que una aplicación necesita permiso de administrador para ejecutarse y que la solicitud de ejecución debe ser aprobada manualmente por un usuario administrador.

Las directivas de seguridad específicas de UAC se usan para configurar el funcionamiento del Control de cuentas de usuario en su organización. Puede configurarlas de diferentes maneras, incluidas las líneas de base de seguridad y el catálogo de configuración en Intune, en Opciones de seguridad de directivas locales.

En una captura de pantalla se muestra configurar el control de cuentas de usuario con líneas base de seguridad en Microsoft Intune.

En una captura de pantalla se muestra el catálogo Configurar el control de cuentas de usuario con opciones en Microsoft Intune.

Como alternativa al control de cuentas de usuario, Windows Autopilot ofrece un nuevo enfoque con una colección de tecnologías usadas para configurar y preconfigurar nuevos dispositivos, prepararlos para un uso productivo y asegurarse de que se entregan bloqueados y conformes con las directivas de seguridad corporativas. Obtenga más información sobre la implementación de dispositivos Autopilot para el trabajo híbrido.

El diagrama de flujo de trabajo muestra que hemos completado el paso Aplicaciones.

Siguiente unidad: Mejora de la seguridad del sistema operativo

Anterior Siguientes