Autorización de aplicaciones de confianza con Intelligent Security Graph (ISG)
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
El control de aplicaciones puede ser difícil de implementar en organizaciones que no implementan y administran aplicaciones a través de un sistema administrado por TI. En estos entornos, los usuarios pueden adquirir las aplicaciones que quieren usar para trabajar, lo que dificulta la creación de una directiva de App Control eficaz.
Para reducir la fricción del usuario final y las llamadas del departamento de soporte técnico, puede establecer App Control for Business para permitir automáticamente las aplicaciones que Intelligent Security Graph (ISG) de Microsoft reconoce que tienen una buena reputación conocida. La opción ISG ayuda a las organizaciones a empezar a implementar App Control incluso cuando la organización tiene un control limitado sobre su ecosistema de aplicaciones. Para obtener más información sobre el ISG, consulte la sección Seguridad en Servicios principales y características de Microsoft Graph.
Advertencia
Los archivos binarios que son críticos para arrancar el sistema deben permitirse mediante reglas explícitas en la directiva de App Control. No confíe en el ISG para autorizar estos archivos.
La opción ISG no es la manera recomendada de permitir aplicaciones críticas para la empresa. Siempre debe autorizar aplicaciones críticas para la empresa mediante reglas de permiso explícitas o instalándolas con un instalador administrado.
¿Cómo funciona App Control con el ISG?
El ISG no es una "lista" de aplicaciones. En su lugar, usa la misma gran inteligencia de seguridad y análisis de aprendizaje automático que potencian Microsoft Defender SmartScreen y Microsoft Defender Antivirus para ayudar a clasificar las aplicaciones como "buenas conocidas", "malas conocidas" o "desconocidas". Esta inteligencia artificial basada en la nube se basa en billones de señales recopiladas de puntos de conexión de Windows y otros orígenes de datos, y se procesan cada 24 horas. Como resultado, la decisión de la nube puede cambiar.
App Control solo comprueba el ISG en busca de archivos binarios que no están permitidos o denegados explícitamente por la directiva y que no se instalaron mediante un instalador administrado. Cuando este tipo de binario se ejecuta en un sistema con App Control habilitado con la opción ISG, App Control comprobará la reputación del archivo enviando su información hash y de firma a la nube. Si el ISG informa de que el archivo tiene una reputación "conocida buena", el archivo podrá ejecutarse. De lo contrario, App Control lo bloqueará.
Si el archivo con buena reputación es un instalador de aplicación, la reputación del instalador pasará a los archivos que escriba en el disco. De este modo, todos los archivos necesarios para instalar y ejecutar una aplicación heredan los datos de reputación positivos del instalador. Los archivos autorizados en función de la reputación del instalador tendrán el $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) escrito en el archivo.
App Control requeries periódicamente los datos de reputación en un archivo. Además, las empresas pueden especificar que los resultados de reputación almacenados en caché se vacían al reiniciar mediante la opción Enabled:Invalidate EAs on Reboot (Habilitar:Invalidar EAs al reiniciar ).
Configuración de la autorización de ISG para la directiva de App Control
La configuración del ISG es fácil con cualquier solución de administración que desee. La configuración de la opción ISG implica estos pasos básicos:
- Asegúrese de que la opción de autorización Enabled:Intelligent Security Graph está establecida en el XML de directiva de Control de aplicaciones.
- Habilitar los servicios necesarios para permitir que App Control use el ISG correctamente en el cliente
Asegúrese de que la opción ISG está establecida en el XML de directiva de Control de aplicaciones.
Para permitir aplicaciones y archivos binarios basados en Microsoft Intelligent Security Graph, la opción de autorización Enabled:Intelligent Security Graph debe especificarse en la directiva de Control de aplicaciones. Este paso se puede realizar con el cmdlet Set-RuleOption. También debe establecer la opción Enabled:Invalidate EAs on Reboot para que los resultados de ISG se comprueben de nuevo después de cada reinicio. La opción ISG no se recomienda para los dispositivos que no tienen acceso normal a Internet. En el ejemplo siguiente se muestran ambas opciones establecidas.
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
Habilitar los servicios necesarios para permitir que App Control use el ISG correctamente en el cliente
Para que la heurística que usa el ISG funcione correctamente, se deben habilitar otros componentes de Windows. Puede configurar estos componentes ejecutando el archivo ejecutable de appidtel en c:\windows\system32.
appidtel start
Este paso no es necesario para las directivas de App Control implementadas a través de MDM, ya que el CSP habilitará los componentes necesarios. Este paso tampoco es necesario cuando el ISG se configura mediante la integración de App Control de Configuration Manager.
Consideraciones de seguridad con la opción ISG
Dado que el ISG es un mecanismo basado en heurística, no proporciona las mismas garantías de seguridad que las reglas explícitas de permitir o denegar. Es más adecuado cuando los usuarios operan con derechos de usuario estándar y donde se usa una solución de supervisión de seguridad como Microsoft Defender para punto de conexión.
Los procesos que se ejecutan con privilegios de kernel pueden eludir el control de aplicaciones estableciendo el atributo de archivo extendido ISG para que un binario parezca tener una buena reputación conocida.
Además, dado que la opción ISG pasa la reputación de los instaladores de aplicaciones a los archivos binarios que escriben en el disco, puede autorizar demasiado los archivos en algunos casos. Por ejemplo, si el instalador inicia la aplicación al finalizar, también se permitirán los archivos que la aplicación escribe durante esa primera ejecución.
Limitaciones conocidas con el uso del ISG
Dado que el ISG solo permite archivos binarios que son "conocidos buenos", hay casos en los que el ISG puede no poder predecir si el software legítimo es seguro para ejecutarse. Si esto sucede, App Control bloqueará el software. En este caso, debe permitir el software con una regla en la directiva de App Control, implementar un catálogo firmado por un certificado de confianza en la directiva de App Control o instalar el software desde un instalador administrado de App Control. Los instaladores o las aplicaciones que crean archivos binarios dinámicamente en tiempo de ejecución y las aplicaciones que se actualizan automáticamente pueden presentar este síntoma.
Las aplicaciones empaquetadas no se admiten con el ISG y tendrán que estar autorizadas por separado en la directiva de App Control. Dado que las aplicaciones empaquetadas tienen una identidad de aplicación segura y deben estar firmadas, es sencillo autorizar aplicaciones empaquetadas con la directiva de App Control.
El ISG no autoriza los controladores de modo kernel. La directiva de Control de aplicaciones debe tener reglas que permitan ejecutar los controladores necesarios.
Nota
Una regla que deniegue o permita explícitamente un archivo tendrá prioridad sobre los datos de reputación de ese archivo. La compatibilidad integrada de App Control de Microsoft Intune incluye la opción de confiar en las aplicaciones con buena reputación a través del ISG, pero no tiene ninguna opción para agregar reglas explícitas de permitir o denegar. En la mayoría de los casos, los clientes que usen App Control deberán implementar una directiva de Control de aplicaciones personalizada (que puede incluir la opción ISG si lo desea) mediante la funcionalidad OMA-URI de Intune.