Creación de una directiva de App Control para dispositivos totalmente administrados
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
En esta sección se describe el proceso para crear una directiva de App Control para empresas para dispositivos totalmente administrados dentro de una organización. La diferencia clave entre este escenario y los dispositivos ligeramente administrados es que todo el software implementado en un dispositivo totalmente administrado está administrado por TI y los usuarios del dispositivo no pueden instalar aplicaciones arbitrarias. Idealmente, todas las aplicaciones se implementan mediante una solución de distribución de software, como Microsoft Intune. Además, los usuarios de dispositivos totalmente administrados deberían ejecutarse como usuarios estándar y solo los profesionales de TI autorizados tienen acceso administrativo.
Nota
Algunas de las opciones de App Control para empresas descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas de App Control de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.
Como se describe en escenarios de implementación comunes de App Control para empresas, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso de App Control para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.
Alice Pena es la responsable del equipo de TI encargado de implementar App Control.
Alice creó anteriormente una directiva para los dispositivos ligeramente administrados de la organización. Sin embargo, algunos dispositivos están más estrechamente administrados y pueden beneficiarse de una directiva más restringida. En concreto, a determinadas funciones de trabajo, como el personal administrativo y los trabajadores de primera línea, no se les concede acceso de nivel de administrador a sus dispositivos. De forma similar, los quioscos compartidos solo se configuran con un conjunto administrado de aplicaciones y todos los usuarios del dispositivo excepto TI se ejecutan como usuario estándar. En estos dispositivos, todas las aplicaciones se implementan e instalan mediante TI.
Definición del "círculo de confianza" para dispositivos totalmente administrados
Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los dispositivos totalmente administrados de Lamna:
- Todos los clientes ejecutan Windows 10 versión 1903 o posterior o Windows 11;
- Todos los clientes se administran mediante Configuration Manager o con Intune;
- La mayoría de las aplicaciones, pero no todas, se implementan mediante Configuration Manager;
- A veces, el personal de TI instala aplicaciones directamente en estos dispositivos sin usar Configuration Manager;
- Todos los usuarios excepto TI son usuarios estándar en estos dispositivos.
El equipo de Alice desarrolla una sencilla aplicación de consola, denominada LamnaITInstaller.exe, que se convertirá en la forma autorizada para que el personal de TI instale aplicaciones directamente en los dispositivos. LamnaITInstaller.exe permite al profesional de TI iniciar otro proceso, como un instalador de aplicaciones. Alice configurará LamnaITInstaller.exe como instalador administrado adicional para App Control y le permite quitar la necesidad de reglas de ruta de archivo.
En función de lo anterior, Alice define las pseudo-reglas para la directiva:
Reglas de "Windows funciona" que autorizan:
- Windows
- WHQL (controladores de kernel de terceros)
- Aplicaciones firmadas en la Tienda Windows
Reglas "ConfigMgr funciona" que incluyen reglas de firmante y hash para que los componentes de Configuration Manager funcionen correctamente.
Permitir el instalador administrado (Configuration Manager y LamnaITInstaller.exe configurados como instalador administrado)
Las diferencias críticas entre este conjunto de pseudo-reglas y las pseudo-reglas definidas para los dispositivos ligeramente administrados de Lamna son:
- Eliminación de la opción Intelligent Security Graph (ISG); y
- Eliminación de reglas de ruta de archivo.
Creación de una directiva base personalizada mediante una directiva base de App Control de ejemplo
Una vez definido el "círculo de confianza", Alice está lista para generar la directiva inicial para los dispositivos totalmente administrados de Lamna y decide usar Configuration Manager para crear la directiva base inicial y, a continuación, personalizarla para satisfacer las necesidades de Lamna.
Alice sigue estos pasos para completar esta tarea:
Nota
Si no usa Configuration Manager o prefiere usar una directiva base de App Control for Business de otro ejemplo para su propia directiva, vaya al paso 2 y sustituya la ruta de acceso de la directiva de Configuration Manager por la directiva base de ejemplo preferida.
Use Configuration Manager para crear e implementar una directiva de auditoría en un dispositivo cliente que ejecute Windows 10 versión 1903 o posterior, o Windows 11.
En el dispositivo cliente, ejecute los siguientes comandos en una sesión de Windows PowerShell con privilegios elevados para inicializar variables:
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$PolicyPath+$PolicyName+".xml" $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"Copie la directiva creada por Configuration Manager en el escritorio:
cp $ConfigMgrPolicy $LamnaPolicyAsigne a la nueva directiva un identificador único, un nombre descriptivo y un número de versión inicial:
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"Modifique la directiva copiada para establecer reglas de directiva:
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code SecuritySi procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.
Use ConvertFrom-CIPolicy para convertir la directiva de App Control for Business a un formato binario:
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBinCargue el XML de la directiva base y el binario asociado en una solución de control de código fuente como GitHub o una solución de administración de documentos como Office 365 SharePoint.
En este momento, Alice ahora tiene una directiva inicial que está lista para implementarse en modo de auditoría en los clientes administrados de Lamna.
Consideraciones de seguridad de esta directiva totalmente administrada
Alice ha definido una directiva para los dispositivos totalmente administrados de Lamna que hace algunos equilibrios entre la seguridad y la capacidad de administración de las aplicaciones. Algunos de los inconvenientes incluyen:
Usuarios con acceso administrativo
Aunque se aplica a menos usuarios, Lamna todavía permite que algún personal de TI inicie sesión en sus dispositivos totalmente administrados como administrador. Este privilegio permite a estos usuarios (o malware que se ejecuta con los privilegios del usuario) modificar o quitar por completo la directiva de Control de aplicaciones aplicada en el dispositivo. Además, los administradores pueden configurar cualquier aplicación que quieran que funcione como instalador administrado que les permita obtener autorización de aplicación persistente para las aplicaciones o archivos binarios que deseen.
Posibles mitigaciones:
- Use directivas de Control de aplicaciones firmadas y protección de acceso al BIOS de UEFI para evitar la alteración de las directivas de App Control.
- Cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación para quitar el requisito del instalador administrado.
- Use la atestación de dispositivos para detectar el estado de configuración de App Control en el momento del arranque y usar esa información para condicionar el acceso a recursos corporativos confidenciales.
Directivas sin firmar
Las directivas sin firmar se pueden reemplazar o quitar sin consecuencias por cualquier proceso que se ejecute como administrador. Las directivas base no firmadas que también habilitan directivas complementarias pueden tener su "círculo de confianza" modificado por cualquier directiva complementaria sin firmar.
Mitigaciones existentes aplicadas:
- Limite quién puede elevar a administrador en el dispositivo.
Posibles mitigaciones:
- Use directivas de Control de aplicaciones firmadas y protección de acceso al BIOS de UEFI para evitar la alteración de las directivas de App Control.
Instalador administrado
Consulte consideraciones de seguridad con el instalador administrado.
Mitigaciones existentes aplicadas:
- Limite quién puede elevar a administrador en el dispositivo.
Posibles mitigaciones:
- Cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación para quitar el requisito del instalador administrado.
Directivas complementarias
Las directivas complementarias están diseñadas para relajar la directiva base asociada. Además, permitir directivas sin firmar permite que cualquier proceso de administrador expanda el "círculo de confianza" definido por la directiva base sin restricciones.
Posibles mitigaciones:
- Use directivas de App Control firmadas que solo permitan directivas complementarias firmadas autorizadas.
- Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.