Ajustes de configuración
Puede definir los ajustes de los mensajes y los ajustes avanzados para cada configuración.
Configuración de mensajes
La configuración de mensajes se utiliza para definir cómo se muestran los buzones de mensajes a los usuarios y para especificar el contenido de los mensajes cuando los usuarios intentan iniciar aplicaciones, de acuerdo con las reglas de configuración.
Puede definir los mensajes de usuario siguientes:
- Acceso denegado: Defina el mensaje que se muestra cuando se deniega la ejecución de una aplicación.
Puede desactivar la visualización de este mensaje al usuario para cada elemento de la regla de denegación en el panel Configuración de elementos de la regla > pestaña Propiedades > sección Opciones.
- Avisos de elevación: Define los mensajes que se muestran cuando se requieren derechos elevados para ejecutar una aplicación:
- Define los mensajes que se muestran cuando se requieren derechos elevados para ejecutar una aplicación.
Este aviso de mensaje puede habilitarse por elemento de regla de elevación en el panel Configuración de elementos de regla > pestaña Propiedades > sección Política. - Define los mensajes que se muestran cuando se requieren derechos elevados y se deben proporcionar los motivos para ejecutar una aplicación.
Este aviso de mensaje puede habilitarse por elemento de regla de elevación en el panel Configuración de elementos de regla > pestaña Propiedades > sección Política.
- Define los mensajes que se muestran cuando se requieren derechos elevados para ejecutar una aplicación.
Para cada tipo de mensaje, defina lo siguiente:
- Leyenda: El texto que se mostrará en la parte superior del mensaje. Por ejemplo, puede cambiar el título por defecto: App Control, para que el usuario no sea consciente de que App Control ha intervenido.
- Banner: Introduzca el texto que se mostrará en el banner de color. Para eliminar el banner de color del cuadro de mensaje, simplemente borre este campo para que quede vacío.
- Cuerpo del mensaje: Introduzca texto a mostrar en el cuerpo del mensaje.
- Anchura: Especifique la anchura del diálogo de mensajes. La anchura se mide en píxeles y se aplica a todos los mensajes.
- Altura: Especifique la altura del diálogo de mensajes. La altura se mide en píxeles y se aplica a todos los mensajes.
Consejos para mensajes
Al configurar los mensajes, tenga en cuenta lo siguiente:
- Las variables de entorno son compatibles con el título, el banner y el mensaje.
- Al utilizar hipervínculos en el cuerpo del mensaje, debe introducirse la etiqueta completa del atributo HREF.
- Si en el cuerpo del mensaje deben aparecer paréntesis angulares menores que o mayores que, utilice lt y gt respectivamente. JavaScript no es compatible.
Variables de entorno del buzón de mensajes
Los mensajes admiten variables de entorno de Sistema y Usuario y las siguientes variables definidas por App Control:
|
Variable de entorno |
Descripción |
|---|---|
| %ExecutableName% | El nombre de la solicitud denegada. |
| %FullPathName% | La ruta completa de la aplicación denegada. |
| %DirectoryName% | El directorio donde se encuentra la aplicación denegada. |
| %NetworkLocation% | La dirección IP resuelta del nombre de host. |
| %AC_Hash% | El hash del archivo. |
| %AC_FileSize% | El tamaño del archivo. |
|
%AC_ProductVersion% |
La versión del producto. |
|
%AC_FileVersion% |
La versión del archivo. |
| %AC_ProductName% |
El nombre del producto. |
| %AC_CompanyName% |
El nombre de la empresa. |
| %AC_Vendor% |
El nombre del firmante del certificado. |
| %AC_FileDescription% |
La descripción del fichero. |
| %AC_ParentProcess% |
El nombre del proceso que lo inició. |
| %AC_DecidingRule% |
El nombre de la regla permitida en la configuración de App Control. |
| %AC_FileOwner% |
El propietario del archivo. |
| %AC_ClientName% |
El nombre del dispositivo de conexión. |
|
%AC_PortNumber% |
El nombre del puerto de red, solo si procede. Si el número de puerto no es 0, aparecerá al final de la dirección IP bloqueada. |
Configuración avanzada
Configuración de la política
Configure las políticas generales, de validación y de funcionalidad para que se apliquen a todas las solicitudes de ejecución de aplicaciones.
Características generales
- Denegar archivos en recursos compartidos de red: La configuración por defecto para los recursos compartidos de red es denegar todo a menos que se especifique en una regla Permitir. Cuando esta opción está desactivada, todo lo que se encuentre en el recurso compartido de red está permitido, a menos que falle la comprobación de propiedad de confianza o esté especificado en una regla de denegación.
Validación
- Validar paquetes MSI (Windows Installer): Los archivos MSI son el método estándar de instalación de aplicaciones Windows. Se recomienda no permitir que el usuario instale libremente aplicaciones MSI.
Cuando está activada, la configuración predeterminada, se deniega la ejecución de msiexec.exe y todos los MSI están sujetos a la validación de reglas.
Cuando esta opción está desactivada, msiexec.exe no se bloquea y se permite la ejecución de archivos MSI, sujeto a la validación de reglas. - Validar scripts de PowerShell: Cuando está activado, se deniega la ejecución de powershell.exe y powershell_ise.exe. Sin embargo, si se encuentra un script PowerShell (archivo PS1) en la línea de comandos, se somete a una validación de reglas.
Cuando se desactiva, la configuración predeterminada, powershell.exe y powershell.ise.exe ya no se bloquea, y los archivos PS1 ya no están sujetos a la validación de reglas.- Comando bloquear: Cuando está activado, la configuración por defecto, se bloqueará cualquier línea de comando PowerShell que incluya -Comando.
Para cambiar el nivel de seguridad puede deseleccionar esta opción, para desactivar el bloqueo de -Comando.
Ejemplo: En el Explorador de archivos, haga clic con el botón derecho en un archivo PS1 y seleccione Ejecutar con PowerShell. Explorer añade -Comando automáticamente para consultar la política de ejecución actual y preguntar al usuario si desea cambiarla. Para que App Control evalúe los archivos PS1 ejecutados de esta forma, y no solo los bloquee, desactive la opción Bloquear -Comando.Tenga en cuenta que cuando se desactiva, cualquier archivo de confianza PS1 puede ser modificado con código malicioso insertado a través de un argumento -Comando y se ejecutará porque el propio archivo, es de confianza.
- Comando bloquear: Cuando está activado, la configuración por defecto, se bloqueará cualquier línea de comando PowerShell que incluya -Comando.
- Permitir CMD para archivos por lotes: Se espera que los administradores prohíban explícitamente cmd.exe en su configuración de App Control.
Cuando está activada, la configuración por defecto, se permitirá la ejecución de cmd.exe. Si una regla deniega explícitamente cmd.exe, no se permitirá que cmd.exe se ejecute por sí solo, sin embargo, los archivos por lotes se ejecutarán sujetos a la validación de la regla.
Cuando esta opción está desactivada, no se permite la ejecución de cmd.exe y se permite la ejecución de todos los archivos por lotes. Si una regla deniega explícitamente cmd.exe, todos los archivos por lotes se bloquean, ni siquiera se evalúan. - Validar el script WSH (Windows Script Host): Los scripts pueden introducir virus y código malicioso, por lo que se recomienda validar los scripts WSH.
Cuando está activada, la configuración por defecto, se deniegan cscript.exe y wscript.exe. Sin embargo, la ejecución de scripts js o vb está sujeta a la validación de reglas.
Cuando esta configuración está desactivada, cscript.exe y wscript.exe, ya no están bloqueados por defecto y los scripts js o vb ya no están sujetos a la validación de reglas. - Validar archivos de Registro: Cuando se activa, la configuración por defecto, se deniega regedit.exe y regini.exe. La ejecución de un script .reg está sujeta a la validación de reglas.
Cuando esta opción está desactivada, regedit.exe y regini.exe dejan de estar bloqueados por defecto. Además, los scripts .reg ya no están sujetos a la validación de reglas. - Validar archivos Java: Cuando se activa, la configuración por defecto, se deniega java.exe y javaw.exe. Sin embargo, si se encuentra un archivo Java (archivo JAR) en la línea de comandos, está sujeto a la validación de reglas.
Cuando esta configuración está desactivada, java.exe y javaw.exe, ya no están bloqueados por defecto, y los archivos JAR ya no están sujetos a la validación de reglas.
Funcionalidad
- Habilitar Control de Acceso a Aplicaciones: Cuando está habilitado, el control de acceso se aplica mediante la configuración de reglas de denegación.
Cuando esta opción está desactivada, se ignoran todas las reglas de denegación, no se deniega el acceso a ninguna aplicación, por lo que todo está permitido. - Activar Gestión de Privilegios de Usuario: Cuando se activa, los privilegios de usuario se determinan por las reglas de elevación de la configuración.
Cuando esta opción está desactivada, se ignoran todas las reglas de elevación y no se permite la elevación de aplicaciones.
Ajustes personalizados
Configure los ajustes adicionales que se aplicarán a los endpoints gestionados:
- Exclusiones de gancho de controlador: Seleccione esta opción para excluir los ganchos de controlador al ejecutar App Control. App Control inyecta una DLL en todos los procesos en ejecución para ayudarle a interceptar y modificar el comportamiento de un proceso, como permitir o elevar. Esta exclusión significa que la DLL de App Control no se inyectará.
Introduzca los nombres de archivo para crear la lista de exclusión del gancho del controlador, utilice punto y coma para separar los nombres de archivo.
Esta configuración personalizada solo debe utilizarse bajo la orientación del Soporte Técnico de Ivanti.
- Exclusiones de controladores de App Control: Seleccione esta opción para excluir el controlador de App Control de la interceptación de la solicitud de inicio de proceso para los procesos específicos enumerados. App Control tiene un controlador que impide que se inicie un proceso hasta que se hayan ejecutado comprobaciones, como la coincidencia de reglas o la propiedad de confianza. Esta exclusión impide que el controlador intercepte la solicitud de inicio.
Introduzca los nombres de archivo para crear la lista de exclusión del controlador de filtro, utilice un punto y coma o un delimitador de espacio para separar los nombres de archivo.Esta configuración requiere un reinicio del agente para que surta efecto.
- Mostrar mensaje para DLL bloqueadas: Seleccione esta opción para mostrar el mensaje de acceso denegado de App Control cuando se bloquea una DLL.
- Configurar la protección de archivos: Seleccione esta opción para impedir que los usuarios y administradores lean, copien, editen y eliminen el archivo de configuración de App Control en el endpoint.
Configuración de auditoría
Configure las opciones generales de auditoría.
Elevar eventos de App Control al registro de eventos de aplicación local: Seleccione esta opción para activar la auditoría de App Control. Todos los eventos de App Control se capturarán en el registro local de eventos de aplicaciones de Windows.
| ID del evento | Nombre | Descripción |
|---|---|---|
| 9018 | Modificación de los privilegios de usuario de la aplicación | Los privilegios de usuario de la aplicación han cambiado. |
| 9060 | Ejecución denegada (Propiedad de confianza) | Solicitud de ejecución denegada (Propiedad de confianza) |
| 9061 | Ejecución denegada (Política de reglas) | Solicitud de ejecución denegada (Política de reglas) |
| 9062 | Aplicación iniciada elevada | Una aplicación iniciada con derechos elevados (administrador completo) |