Compartir a través de


Prueba de la firma de la aplicación con Smart App Control

Antes de distribuir la aplicación firmada a los usuarios, debes probar la firma de la aplicación en Smart App Control. Dado que Smart App Control evalúa los archivos binarios a medida que se cargan, asegúrese de probar todas las rutas de acceso de código y las características de la aplicación. Esto incluye probar todos los archivos binarios de instalación y desinstalación de la aplicación, todas las características de la aplicación y todas las integraciones con otras aplicaciones que podrían cargar los archivos binarios (por ejemplo, complementos de Office). Puede probar "Smart App Control" mediante directivas de auditoría, que generarán entradas en el registro sin bloquear realmente la ejecución de su aplicación, o puede probar directamente en el modo de imposición de "Smart App Control".

Configuración del control de aplicaciones inteligentes para pruebas

Puedes configurar Smart App Control en la aplicación Configuración de Windows o editando manualmente el Registro de Windows.

Configurar Smart App Control mediante la configuración de Windows

Vaya a Configuración>Privacidad y seguridad>Seguridad de Windows>Control de aplicaciones y navegadores>. Configuración del control de aplicaciones inteligentes.

Nota:

Configurar Control de Aplicación Inteligente para Desactivado o Activar (cumplimiento) es una operación unidireccional. Esto significa que no se pueden cambiar los modos mediante la configuración de Windows a menos que la configuración actual sea Evaluación. Con fines de prueba, puede forzar Smart App Control en otra configuración mediante el registro.

Si Smart App Control está en modo evaluación, Smart App Control evaluará la firma de la aplicación, pero no bloqueará la aplicación si su firma no es válida. En este modo, puedes usar Directivas de Auditoría para ver el resultado de Smart App Control, incluidos los errores detectados al verificar la firma de tu aplicación.

Seleccione en para colocar "Smart App Control" en modo de aplicación. En este modo, Smart App Control impedirá que la aplicación se ejecute si su firma no es válida.

Configuración de Smart App Control mediante el Registro

Importante

Smart App Control solo se puede configurar manualmente a través del Registro con fines de prueba. La edición de la configuración de Smart App Control de esta manera podría poner en peligro la protección que proporciona.

La configuración de Smart App Control mediante el Registro de Windows permite forzar cualquier modo de cumplimiento deseado, incluso si no puede seleccionar ese modo mediante Configuración de Windows. Para configurar Smart App Control:

  1. Abra una ventana de comandos con privilegios de administrador y ejecute los siguientes comandos:

    manage-bde -protectors c: -disable -rebootcount 2
    "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -DynamicSignatures
    

    Nota:

    Es posible que tenga que actualizar el segundo comando si la unidad del sistema no es C:.

  2. Reinicie en el menú de arranque iniciando Configuración y seleccionando Recuperación>Opciones de recuperación>Inicio avanzado>Reiniciar ahora.

  3. En el menú de arranque avanzado, seleccione Solucionar problemas de>símbolo del sistema avanzado de>. Se abrirá un símbolo del sistema de recuperación.

    Nota:

    El símbolo del sistema de recuperación abre la unidad de recuperación X: por defecto. Esto no indica que la unidad del sistema haya cambiado. El disco del sistema todavía está asociado a su letra de disco habitual (normalmente C:).

  4. Ejecute los siguientes comandos:

    Nota:

    En los comandos siguientes, reemplace {VALUE} por el valor del modo que desea establecer.

    Importancia Modo
    0 Apagado
    1 Activado (Cumplimiento)
    2 Evaluación
    reg load HKLM\sac c:\windows\system32\config\system
    reg add hklm\sac\controlset001\control\ci\policy /v VerifiedAndReputablePolicyState /t REG_DWORD /d {VALUE} /f 
    reg add hklm\sac\controlset001\control\ci\protected /v VerifiedAndReputablePolicyStateMinValueSeen /t REG_DWORD /d {VALUE} /f
    reg unload hklm\sac
    
    reg load HKLM\sac2 C:\windows\system32\config\SOFTWARE
    reg add "hklm\sac2\Microsoft\Windows Defender" /v SacLearningModeSwitch /t REG_DWORD /d 0
    reg unload hklm\sac2
    
  5. Reinicia el ordenador.

Comprobar el modo actual de Smart App Control

Para comprobar el modo actual de Smart App Control, abra un símbolo del sistema y ejecute el siguiente comando:

citool.exe -lp

Smart App Control está en modo de evaluación si el valor de Nombre descriptivo es VerifiedAndReputableDesktopEvaluation y el valor de Actualmente en vigor es true.

El control de aplicaciones inteligentes está en modo de cumplimiento si el valor de Nombre descriptivo es VerifiedAndReputableDesktop y el valor de Está aplicado actualmente es true.

Configuración de la directiva de auditoría de Smart App Control

La directiva predeterminada de Control de aplicaciones de Windows Defender (WDAC) usada por Smart App Control en modo de evaluación no registra eventos de auditoría en el registro operativo CodeIntegrity. Esto es para reducir el tamaño del registro de actividad en dispositivos de consumo típicos que se envían con Smart App Control en modo de evaluación.

Para evaluar las aplicaciones en Smart App Control, es posible que un desarrollador o administrador del sistema quiera habilitar los registros de auditoría en modo de evaluación para ver qué archivos se bloquearían si el sistema estuviera en modo de cumplimiento.

Nota:

Las directivas de auditoría solo se aplican cuando Smart App Control se ejecuta en modo de evaluación. En el modo cumplimiento, Smart App Control registrará eventos de forma predeterminada.

Un archivo ZIP que contiene dos políticas de ejemplo a continuación se puede descargar aquí.

Nota:

También puede crear sus propias directivas. Consulta las directivas base de ejemplo de Control de Aplicaciones de Windows Defender (WDAC) y y la creación de la directiva WDAC para dispositivos administrados ligeramente para obtener más información.

Directiva de auditoría de Smart App Control (SmartAppControlAudit.bin)

Esta es la directiva estándar de Control de aplicaciones inteligentes, con registros de auditoría habilitados en modo de evaluación. Todos los archivos binarios y scripts permitidos por la firma y la reputación de la nube pasarán la directiva, como lo harían si se habilitara el modo de cumplimiento. Las aplicaciones y los archivos binarios que se bloquearían registrarían un evento de auditoría.

Nota:

Esta directiva solo funciona con Smart App Control en modo de evaluación. Todavía es posible que el modelo de evaluación de Smart App Control desactive el modo de evaluación cuando se aplica esta configuración, por lo que se recomienda realizar pruebas con uno de los otros métodos siguientes.

Cuando se aplica esta directiva, la salida de citool.exe -lp mostrará VerifiedAndReputableDesktopEvaluationAudit como el nombre de la directiva.

Aplicación de la directiva de auditoría de Smart App Control

En primer lugar, asegurarse de que SAC está en modo de evaluación.

Tome posesión del archivo C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active\{1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip de directiva del modo de evaluación mediante takeown.exe. Si no puede usar takeown, puede tomar posesión manualmente mediante los pasos siguientes:

Importante

Se recomienda encarecidamente usar takeown, si es posible.

  1. Haga clic con el botón derecho en el archivo en el explorador y seleccione "Propiedades".
  2. Vaya a la pestaña Seguridad y elija Avanzadas en la parte inferior.
  3. Haga clic en "Cambiar" en el cuadro de diálogo .
  4. En el cuadro de diálogo emergente, escriba la información del usuario (por ejemplo <PC name>\<username>, ) y haga clic en Aceptar.
  5. Haga clic en Aceptar en el cuadro de diálogo Configuración de seguridad avanzada y confirme .
  6. Vuelva a abrir la pestaña Seguridad de las propiedades del archivo y haga clic en "Editar".
  7. En Administradores, elija todas las casillas y haga clic en Aceptar y confirme de nuevo en el cuadro de diálogo emergente .

Ahora que tiene propiedad del archivo de directiva, cámbielo a {1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip.old. Cambie el nombre del archivo de directiva de auditoría que desea aplicar a {1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cipy cópielo en el directorio de directivas.

Ejecute citool.exe -r desde un símbolo del sistema de administración para actualizar la directiva .

Directiva de auditoría de Smart App Control sin ISG (SmartAppControlAuditNoISG.bin)

Esta es la directiva recomendada para probar sus propias aplicaciones como desarrollador.

Esta directiva verifica los archivos binarios y los scripts en Smart App Control en modo de evaluación, sin comprobar el Intelligent Security Graph, lo que significa que solo se permitirán aplicaciones que estén correctamente firmadas por un certificado de confianza sin la generación de eventos de auditoría. Dado que la reputación puede no estar disponible para los archivos binarios recién publicados y puede cambiar con el tiempo, asegurándose de que todos los archivos binarios están firmados correctamente es la mejor manera de asegurarse de que los usuarios no encuentren problemas con la aplicación. Este también es el requisito al publicar a través de la Tienda Windows, donde se requiere una firma de un certificado obtenido de una entidad de certificación de confianza.

Esta directiva se puede aplicar incluso cuando Smart App Control está establecido en Desactivado. Cuando se aplica esta directiva, la salida de citool.exe -lp mostrará VerifiedAndReputableDesktopEvaluationAuditNoISG como el nombre de la directiva.

Aplicar la política de auditoría de Smart App Control sin ISG

Esta directiva es para probar aplicaciones en modo de evaluación con respecto al requisito de firma de Smart App Control exclusivamente y no permitirá archivos binarios de aplicaciones basados en la inteligencia en la nube de Intelligent Security Graph.

Asegúrese de que Smart App Control está en modo de evaluación o desactivado

Ejecuta mountvol S: /S desde un símbolo del sistema con privilegios de administrador

copiar SmartAppControlAuditNoISG.bin en S:\efi\microsoft\boot\cipolicies\active\{5283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip .

Ejecute citool.exe -r desde la línea de comandos de administrador para actualizar la directiva.

Comprobación de registros de eventos

Smart App Control registra cualquier archivo ejecutable que fuera (o habría sido) bloqueado en los registros de eventos de integridad de código.  Para encontrar esos registros, abra el Visor de eventos y navegue hasta los registros de aplicaciones y servicios de >Microsoft>Windows>CodeIntegrity>Operational. 

Smart App Control registra eventos de modo de evaluación con el identificador de evento 3076 y eventos en modo de cumplimiento con el identificador de evento 3077. Para obtener más información sobre el control de aplicaciones inteligentes y el registro de eventos de Microsoft Defender, consulte Revisar los registros de eventos y los códigos de error para solucionar problemas con el Antivirus de Microsoft Defender.