Creación de una nueva directiva base con el Asistente
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Al crear directivas para su uso con App Control para empresas, se recomienda empezar con una directiva de plantilla y, a continuación, agregar o quitar reglas para adaptarse al escenario de App Control. Por este motivo, el Asistente para control de aplicaciones ofrece tres directivas de plantilla desde las que empezar y personalizar durante el flujo de trabajo de creación de directivas base. Se puede acceder a la información de requisitos previos sobre App Control a través de la guía de diseño de App Control. En esta página se describen los pasos para crear una nueva directiva de Control de aplicaciones a partir de una plantilla, configurar las opciones de directiva y las reglas de firmante y archivo.
Directivas base de plantilla
Cada una de las directivas de plantilla tiene un conjunto único de reglas de lista de permitidos de directivas que afectan al modelo de círculo de confianza y seguridad de la directiva. En la tabla siguiente se enumeran las directivas en orden creciente de confianza y libertad. Por ejemplo, la directiva de modo predeterminado de Windows confía en menos publicadores y firmantes de aplicaciones que en la directiva de modo firmado y de confianza. La directiva predeterminada de Windows tiene un círculo de confianza más pequeño con mejor seguridad que la directiva firmada y confiable, pero a costa de la compatibilidad.
| Directiva base de plantilla | Descripción |
|---|---|
| Modo predeterminado de Windows | El modo predeterminado de Windows autoriza los siguientes componentes:
|
| Permitir el modo Microsoft | El modo Allow autoriza los siguientes componentes:
|
| Modo firmado y de confianza | El modo firmado y reputable autoriza los siguientes componentes:
|
El contenido en cursiva denota los cambios en la directiva actual con respecto a la directiva anterior.
Puede acceder a más información sobre las directivas Modo predeterminado de Windows y Permitir modo Microsoft a través del artículo Ejemplo de directivas base de Control de aplicaciones para empresas.
Una vez seleccionada la plantilla base, asigne un nombre a la directiva y elija dónde guardar la directiva de Control de aplicaciones en el disco.
Configuración de reglas de directiva
Al iniciar la página, las reglas de directiva se habilitan o deshabilitan automáticamente en función de la plantilla elegida de la página anterior. Elija habilitar o deshabilitar las opciones de regla de directiva deseadas presionando el botón del control deslizante situado junto a los títulos de las reglas de directiva. Una breve descripción de cada regla aparece en la parte inferior de la página cuando el mouse mantiene el puntero sobre el título de la regla.
Descripción de las reglas de directiva
La tabla siguiente tiene una descripción de cada regla de directiva, empezando por la columna más a la izquierda. El artículo Reglas de directiva proporciona una descripción más completa de cada regla de directiva.
| Opción de regla | Descripción |
|---|---|
| Menú Opciones avanzadas de arranque | El menú de preinicio F8 está deshabilitado de forma predeterminada para todas las directivas de App Control for Business. Al activar esta opción, se permite que aparezca el menú de F8 ante los usuarios presentes físicamente. |
| Permitir directivas complementarias | Use esta opción en una directiva base para permitir que las directivas complementarias la expandan. |
| Deshabilitar la aplicación de scripts | Esta opción deshabilita las opciones de cumplimiento de scripts. Los scripts de PowerShell sin firmar y PowerShell interactivo ya no están restringidos al modo de lenguaje restringido. NOTA: Esta opción es necesaria para ejecutar archivos HTA y solo se admite con el Actualización de mayo de 2019 de Windows 10 (1903) y versiones posteriores. No se admite su uso en versiones anteriores de Windows 10 y puede tener resultados no deseados. |
| Integridad de código protegida por hipervisor (HVCI) | Cuando se habilita, la aplicación de directivas usa la seguridad basada en virtualización para ejecutar el servicio de integridad de código dentro de un entorno seguro. HVCI proporciona protecciones más seguras contra el malware del kernel. |
| Autorización de Intelligent Security Graph | Use esta opción para permitir automáticamente aplicaciones con una reputación "conocida buena" según lo definido por Microsoft Intelligent Security Graph (ISG). |
| Instalador administrado | Use esta opción para permitir automáticamente las aplicaciones instaladas por una solución de distribución de software, como Microsoft Configuration Manager, que se ha definido como instalador administrado. |
| Requerir WHQL | De forma predeterminada, los controladores heredados que no están firmados en Windows Hardware Quality Labs (WHQL) pueden ejecutarse. Al habilitar esta regla, todos los controladores ejecutados deben estar firmados por el WHQL y se elimina la compatibilidad con los controladores heredados. A partir de ahora, todos los controladores nuevos compatibles con Windows deben tener la certificación WHQL. |
| Actualizar directiva sin reiniciar | Use esta opción para permitir que se apliquen futuras actualizaciones de directivas de App Control for Business sin necesidad de reiniciar el sistema. |
| Directiva de integridad del sistema sin firmar | Permite que la directiva permanezca sin firmar. Al desactivar esta opción, la directiva debe estar firmada y tener UpdatePolicySigners agregado a la directiva para poder modificar las directivas en el futuro. |
| Integridad de código en modo de usuario | Las directivas de Control de aplicaciones para empresas restringen los archivos binarios en modo kernel y modo usuario. De manera predeterminada, solo se restringen los archivos binarios en modo kernel. Al habilitar esta opción de regla, se validan los scripts y los ejecutables del modo de usuario. |
Descripción de reglas de directiva avanzada
Al seleccionar la etiqueta + Opciones avanzadas se muestra otra columna de reglas de directiva, reglas de directiva avanzadas. En la tabla siguiente se proporciona una descripción de cada regla de directiva avanzada.
| Opción de regla | Descripción |
|---|---|
| Auditoría de arranque en caso de error | Se usa cuando la directiva de App Control para empresas está en modo de cumplimiento. Cuando se produce un error en un controlador durante el inicio, la directiva de Control de aplicaciones se coloca en modo de auditoría para que Windows se cargue. Los administradores pueden validar el motivo del error en el registro de eventos CodeIntegrity. |
| Deshabilitar la firma piloto | Si está habilitada, las directivas de App Control bloquean los archivos binarios firmados con flightroot. Esta opción se usaría en el escenario en el que las organizaciones solo quieren ejecutar archivos binarios publicados, no compilaciones firmadas en versión preliminar o piloto. |
| Deshabilitación de la protección de reglas de FilePath en tiempo de ejecución | Esta opción deshabilita la comprobación en tiempo de ejecución predeterminada que solo permite reglas de FilePath para rutas de acceso que solo un administrador puede escribir. |
| Seguridad dinámica del código | Habilita la aplicación de directivas para aplicaciones .NET y bibliotecas cargadas dinámicamente (DLL). |
| Invalidación de EAs al reiniciar | Cuando se usa la opción Intelligent Security Graph (14), App Control establece un atributo de archivo extendido que indica que el archivo estaba autorizado para ejecutarse. Esta opción hace que App Control revalide periódicamente la reputación de los archivos autorizados por el ISG. |
| Requerir firmantes ev | Esta opción no se admite actualmente. |
Nota
Se recomienda habilitar el modo de auditoría inicialmente porque permite probar las nuevas directivas de App Control para empresas antes de aplicarlas. Con el modo de auditoría, no se bloquea ninguna aplicación; en su lugar, la directiva registra un evento cada vez que se inicia una aplicación fuera de la directiva. Por este motivo, todas las plantillas tienen el Modo de auditoría habilitado de forma predeterminada.
Creación de reglas de archivo personalizadas
Las reglas de archivo de una directiva de Control de aplicaciones especifican el nivel en el que se identifican y confían las aplicaciones. Las reglas de archivo son el mecanismo principal para definir la confianza en la directiva de Control de aplicaciones. Al seleccionar + Reglas personalizadas , se abre el panel de condiciones de reglas de archivo personalizado para crear reglas de archivo personalizadas para la directiva. El Asistente admite cuatro tipos de reglas de archivo:
Reglas del publicador
El tipo de regla de archivo publisher usa propiedades de la cadena de certificados de firma de código para las reglas de archivo base. Una vez seleccionado el archivo del que basar la regla, denominado archivo de referencia, use el control deslizante para indicar la especificidad de la regla. En la tabla siguiente se muestra la relación entre la ubicación del control deslizante, el nivel de regla de Control de aplicaciones para empresas correspondiente y su descripción. Cuanto menor sea la ubicación de la tabla y el control deslizante de la interfaz de usuario, mayor será la especificidad de la regla.
| Condición de regla | Nivel de regla de control de aplicaciones | Descripción |
|---|---|---|
| Entidad de certificación emisora | PCACertificate | El certificado más alto disponible se agrega a los firmantes. Este certificado suele ser el certificado PCA, un nivel por debajo del certificado raíz. Cualquier archivo firmado por este certificado se ve afectado. |
| Publicador | Publicador | Esta regla es una combinación de la regla PCACertificate y el nombre común (CN) del certificado hoja. Cualquier archivo firmado por una entidad de certificación principal pero con una hoja de una empresa específica, por ejemplo, un cuerpo de controladores de dispositivo, se ve afectado. |
| Versión del archivo | SignedVersion | Esta regla es una combinación de PCACertificate, publisher y un número de versión. Cualquier cosa del publicador especificado con una versión en o por encima de la especificada se ve afectada. |
| Nombre del archivo | FilePublisher | Más específico. Combinación del nombre de archivo, el publicador y el certificado PCA y un número de versión mínimo. Los archivos del publicador con el nombre especificado y mayor o igual que la versión especificada se ven afectados. |
Reglas de ruta de archivo
Las reglas de ruta de archivo no proporcionan las mismas garantías de seguridad que las reglas de firmante explícitas, ya que se basan en permisos de acceso mutables. Para crear una regla de ruta de archivo, seleccione el archivo con el botón Examinar .
Reglas de atributo de archivo
El Asistente admite la creación de reglas de nombre de archivo basadas en atributos de archivo autenticados. Las reglas de nombre de archivo son útiles cuando una aplicación y sus dependencias (por ejemplo, archivos DLL) pueden compartir el mismo nombre de producto, por ejemplo. Este nivel de regla permite a los usuarios crear fácilmente directivas de destino basadas en el parámetro nombre de archivo nombre de producto. Para seleccionar el atributo de archivo para crear la regla, mueva el control deslizante del Asistente al atributo deseado. En la tabla siguiente se describe cada uno de los atributos de archivo admitidos para crear una regla.
| Nivel de regla | Descripción |
|---|---|
| Nombre de archivo original | Especifica el nombre de archivo original, o el nombre con el que se creó por primera vez el archivo, del binario. |
| Descripción del archivo | Especifica la descripción del archivo proporcionada por el desarrollador del archivo binario. |
| Nombre del producto | Especifica el nombre del producto con el que se envía el binario. |
| Nombre interno | Especifica el nombre interno del binario. |
Reglas hash de archivo
Por último, el Asistente admite la creación de reglas de archivo mediante el hash del archivo. Aunque este nivel es específico, puede provocar una sobrecarga administrativa adicional para mantener los valores hash de la versión actual del producto. Cada vez que se actualiza un binario, el valor de hash cambia, por lo que es necesario actualizar la directiva. De forma predeterminada, el Asistente usa el hash de archivo como reserva en caso de que no se pueda crear una regla de archivo con el nivel de regla de archivo especificado.
Eliminación de reglas de firma
La tabla de lista de reglas de firma de directivas de la izquierda de la página documenta las reglas de permitir y denegar en la plantilla, así como las reglas personalizadas que cree. Las reglas de firma de plantillas y las reglas personalizadas se pueden eliminar de la directiva seleccionando la regla de la tabla de lista de reglas. Una vez resaltada la regla, presione el botón Eliminar debajo de la tabla. A continuación, se le pedirá otra confirmación. Seleccione Yes esta opción para quitar la regla de la directiva y la tabla de reglas.