Descripción de las decisiones de diseño de directivas de Control de aplicaciones de Windows Defender
Nota
Algunas funcionalidades del Control de aplicaciones de Windows Defender (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de la característica control de aplicaciones de Windows Defender.
Este artículo está destinado al profesional de TI. Enumera las preguntas de diseño, las posibles respuestas y las consecuencias de las decisiones tomadas al planear la implementación de directivas de control de aplicaciones mediante el Control de aplicaciones de Windows Defender (WDAC), dentro de un entorno de sistema operativo Windows.
Al comenzar el proceso de diseño y planeamiento, debe tener en cuenta las ramificaciones de las opciones de diseño. Las decisiones resultantes afectarán al esquema de implementación de directivas y al mantenimiento posterior de la directiva de control de aplicaciones.
Debe considerar el uso del control de aplicaciones de Windows Defender como parte de las directivas de control de aplicaciones de su organización si se cumplen las siguientes condiciones:
- Ha implementado o tiene previsto implementar las versiones compatibles de Windows en su organización.
- Necesita un control mejorado sobre el acceso a las aplicaciones de la organización y los datos a los que acceden los usuarios.
- Su organización tiene un proceso bien definido para la administración e implementación de aplicaciones.
- Tiene recursos para probar las directivas en función de los requisitos de la organización.
- Tiene recursos para implicar al Departamento de soporte técnico o para crear un proceso de autoayuda para problemas de acceso a aplicaciones de usuario final.
- Los requisitos de productividad, capacidad de administración y seguridad del grupo se pueden controlar mediante directivas restrictivas.
Decidir qué directivas crear
A partir de Windows 10, versión 1903, el Control de aplicaciones de Windows Defender permite aplicar varias directivas simultáneas a cada dispositivo. Esta aplicación simultánea abre muchos casos de uso nuevos para las organizaciones, pero la administración de directivas puede resultar fácilmente difícil de manejar sin un plan bien pensado para el número y los tipos de directivas que se van a crear.
El primer paso es definir el "círculo de confianza" deseado para las directivas WDAC. Por "círculo de confianza", nos referimos a una descripción de la intención empresarial de la directiva expresada en lenguaje natural. Esta definición de "círculo de confianza" le guiará a medida que cree las reglas de directiva reales para el XML de directiva.
Por ejemplo, la directiva DefaultWindows, que se puede encontrar en %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, establece un "círculo de confianza" que permite windows, controladores de kernel de hardware y software de terceros y aplicaciones de Microsoft Store.
Configuration Manager usa la directiva DefaultWindows como base para su directiva, pero luego modifica las reglas de directiva para permitir Configuration Manager y sus dependencias, establece la regla de directiva del instalador administrado y, además, configura Configuration Manager como instalador administrado. También puede autorizar opcionalmente aplicaciones con reputación positiva y realizar un examen único de las rutas de acceso de carpeta especificadas por el administrador de Configuration Manager, que agrega reglas para las aplicaciones que se encuentran en las rutas de acceso especificadas en el punto de conexión administrado. Este proceso establece el "círculo de confianza" para la integración wdac nativa de Configuration Manager.
Las siguientes preguntas pueden ayudarle a planear la implementación del Control de aplicaciones de Windows Defender y a determinar el "círculo de confianza" adecuado para las directivas. No están en orden de prioridad ni secuencial y no están pensadas para ser un conjunto exhaustivo de consideraciones de diseño.
Consideraciones de diseño de WDAC
¿Cómo se administran e implementan las aplicaciones en su organización?
Las organizaciones con procesos de implementación y administración de aplicaciones bien definidos y administrados centralmente pueden crear directivas más restrictivas y seguras. Es posible que otras organizaciones puedan implementar el Control de aplicaciones de Windows Defender con reglas más relajadas o que decidan implementar WDAC en modo de auditoría para obtener una mejor visibilidad de las aplicaciones que se usan en su organización.
| Posibles respuestas | Consideraciones de diseño |
|---|---|
| Todas las aplicaciones se administran e implementan de forma centralizada mediante herramientas de administración de puntos de conexión como Microsoft Intune. | Las organizaciones que administran de forma centralizada todas las aplicaciones son más adecuadas para el control de aplicaciones. Las opciones de Control de aplicaciones de Windows Defender, como el instalador administrado , pueden facilitar la autorización de aplicaciones implementadas por la solución de administración de distribución de aplicaciones de la organización. |
| Algunas aplicaciones se administran e implementan de forma centralizada, pero los equipos pueden instalar otras aplicaciones para sus miembros. | Las directivas complementarias se pueden usar para permitir excepciones específicas del equipo a la directiva principal de Control de aplicaciones de Windows Defender para toda la organización. Como alternativa, los equipos pueden usar instaladores administrados para instalar sus aplicaciones específicas del equipo, o bien se pueden usar reglas de ruta de acceso de archivo solo de administrador para permitir que los usuarios administradores instalen las aplicaciones. |
| Los usuarios y los equipos pueden descargar e instalar aplicaciones de forma gratuita, pero la organización quiere restringir ese derecho solo a las aplicaciones frecuentes y de confianza. | El control de aplicaciones de Windows Defender se puede integrar con Intelligent Security Graph de Microsoft (la misma fuente de inteligencia que impulsa antivirus de Microsoft Defender y SmartScreen de Windows Defender) para permitir solo aplicaciones y archivos binarios que tienen una reputación positiva. |
| Los usuarios y los equipos pueden descargar e instalar aplicaciones sin restricciones. | Las directivas de Control de aplicaciones de Windows Defender se pueden implementar en modo de auditoría para obtener información sobre las aplicaciones y los archivos binarios que se ejecutan en su organización sin afectar a la productividad del usuario y del equipo. |
¿Están firmadas digitalmente aplicaciones y aplicaciones de línea de negocio (LOB) desarrolladas internamente por empresas de terceros?
Las aplicaciones win32 tradicionales en Windows se pueden ejecutar sin estar firmadas digitalmente. Esta práctica puede exponer dispositivos Windows a código malintencionado o alterado y presenta una vulnerabilidad de seguridad para los dispositivos Windows. La adopción de la firma de código como parte de las prácticas de desarrollo de aplicaciones de la organización o el aumento de aplicaciones con archivos de catálogo firmados como parte de la ingesta y distribución de aplicaciones puede mejorar en gran medida la integridad y la seguridad de las aplicaciones usadas.
| Posibles respuestas | Consideraciones de diseño |
|---|---|
| Todas las aplicaciones usadas en su organización deben estar firmadas. | Las organizaciones que aplican la asignación de código para todo el código ejecutable están en la mejor posición para proteger sus equipos Windows de la ejecución de código malintencionado. Las reglas de control de aplicaciones de Windows Defender se pueden crear para autorizar aplicaciones y archivos binarios de los equipos de desarrollo internos de la organización y de proveedores de software independientes (ISV) de confianza. |
| Las aplicaciones que se usan en su organización no necesitan cumplir los requisitos de asignación de código. | Las organizaciones pueden usar herramientas integradas de Windows para agregar firmas de catálogo de aplicaciones específicas de la organización a aplicaciones existentes como parte del proceso de implementación de aplicaciones, que se puede usar para autorizar la ejecución de código. Soluciones como Microsoft Intune ofrecen varias maneras de distribuir catálogos de aplicaciones firmados. |
¿Hay grupos específicos en su organización que necesiten directivas de control de aplicaciones personalizadas?
La mayoría de los equipos o departamentos empresariales tienen requisitos de seguridad específicos relacionados con el acceso a los datos y las aplicaciones que se usan para acceder a esos datos. Tenga en cuenta el ámbito del proyecto para cada grupo y las prioridades del grupo antes de implementar directivas de control de aplicaciones para toda la organización. Hay sobrecarga en la administración de directivas que pueden llevarle a elegir entre directivas amplias de toda la organización y varias directivas específicas del equipo.
| Posibles respuestas | Consideraciones de diseño |
|---|---|
| Sí | Las directivas WDAC se pueden crear únicas por equipo o se pueden usar directivas complementarias específicas del equipo para expandir lo que permite una directiva base común y definida de forma centralizada. |
| No | Las directivas WDAC se pueden aplicar globalmente a las aplicaciones instaladas en equipos que ejecutan Windows 10 y Windows 11. En función del número de aplicaciones que necesite controlar, la administración de todas las reglas y excepciones podría ser un desafío. |
¿El departamento de TI tiene recursos para analizar el uso de aplicaciones y diseñar y administrar las directivas?
El tiempo y los recursos disponibles para realizar la investigación y el análisis pueden afectar al detalle del plan y los procesos para continuar con la administración y el mantenimiento de directivas.
| Posibles respuestas | Consideraciones de diseño |
|---|---|
| Sí | Invierta el tiempo necesario para analizar los requisitos de control de aplicaciones de la organización y planear una implementación completa que use las reglas que se construyen lo más posible. |
| No | Considere la posibilidad de una implementación centrada y por fases para grupos específicos mediante el uso de pocas reglas. A medida que aplique controles a las aplicaciones de un grupo específico, aprenda de esa implementación para planear la siguiente implementación. Como alternativa, puede crear una directiva con un perfil de confianza amplio para autorizar tantas aplicaciones como sea posible. |
¿Su organización tiene soporte técnico del departamento de soporte técnico?
Impedir que los usuarios accedan a aplicaciones conocidas, implementadas o personales provocará inicialmente un aumento en el soporte técnico del usuario final. Será necesario abordar los distintos problemas de soporte técnico de la organización para que se sigan las directivas de seguridad y no se entorpece el flujo de trabajo empresarial.
| Posibles respuestas | Consideraciones de diseño |
|---|---|
| Sí | Implique al departamento de soporte técnico al principio de la fase de planeación porque es posible que los usuarios no puedan usar sus aplicaciones involuntariamente o que busquen excepciones para usar aplicaciones específicas. |
| No | Invierta tiempo en el desarrollo de procesos de soporte técnico en línea y documentación antes de la implementación. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de