Configuración de App Control

Una configuración de App Control contiene la configuración de reglas para gestionar los endpoints. Los archivos de configuración se instalan en los endpoints gestionados y sirven como lista de comprobación de políticas para que el agente de App Control evalúe cómo gestionar las solicitudes de ejecución de archivos. Cuando se ejecuta un archivo, App Control intercepta la solicitud y realiza una comprobación con la configuración para encontrar la regla coincidente adecuada y la acción necesaria que se debe realizar. También se aplican otras políticas por defecto especificadas en una configuración, como por ejemplo, cómo se muestran las notificaciones de mensajes.

Después de crear o modificar una configuración, debe guardarla y publicarla. Puede asignar la configuración a una política, una vez iniciado el proceso de despliegue, el estado de la configuración cambia a Activo y las reglas tendrán efecto en los endpoints cuando se desplieguen con éxito.

Niveles de seguridad

El nivel de seguridad de la configuración determina el nivel de restricción de los terminales. Los niveles disponibles son:

  • Sin restricciones: No hay restricciones para ninguna aplicación, toda actividad está permitida. Esto puede ser útil si desea desactivar temporalmente App Control sin desinstalar.
  • Solo auditoría: La configuración por defecto. No hay restricciones para ninguna aplicación, pero toda la propiedad de confianza, y la política de configuración y la actividad de coincidencia de reglas se registra y se informa en App Control.
  • Restringido: Las restricciones vienen determinadas por las reglas de configuración. La actividad puede restringirse para aplicaciones, usuarios, grupos y dispositivos específicos.

Ajustes predeterminados de configuración

App Control está listo para gestionar su seguridad tan pronto como instale la política y la configuración del agente en los endpoints gestionados. Cuando crea una nueva configuración, puede utilizarla directamente sin necesidad de personalizarla. Si el nivel de seguridad de la configuración se establece en Restringida, la configuración bloquea cualquier archivo con un propietario que no sea de confianza e impide que los usuarios no administrativos accedan a ejecutables en ubicaciones no seguras, incluidas las ubicaciones de red y los medios extraíbles, junto con la configuración predeterminada de protección de políticas.

Configuración predeterminada de Protección de políticas

  • Todas las solicitudes de ejecución de aplicaciones y procesos se comprueban con las reglas de App Control antes de conceder el acceso.
  • Los miembros del grupo Administradores locales tienen acceso ilimitado a las aplicaciones.
  • Si CMD tiene una regla de denegación explícita, CMD estará bloqueado excepto cuando ejecute archivos por lotes permitidos.
  • Los archivos MSI, WSH, Java y del Registro se validan con las reglas de App Control.
  • Las instalaciones permitidas pueden ejecutar cualquier ex y dll que se ejecute como parte del proceso de instalación.
  • Se impide a los administradores y usuarios no administrativos leer, copiar, editar y eliminar un archivo de configuración de App Control directamente en un endpoint.

Estados de configuración

  • Publicando: La configuración está en proceso de publicación.
  • Publicado: La configuración se ha guardado y publicado. Está disponible para su asignación a una política de agente.
  • Error de publicación: La configuración no se ha podido publicar.
  • Asignado: La configuración está asignada a una política de agente.
  • Activo: La configuración está asignada a una política de agente y se ha iniciado el proceso de despliegue en los endpoints.
  • Anulación de publicación: La configuración está en proceso de anulación de la publicación.
  • No publicado: La configuración se ha quitado de la publicación.
  • Error de anulación de la publicación: No se ha podido anular la publicación de la configuración.
  • Publicado anteriormente: La configuración se ha reemplazado.

Alertas

Las alertas serán por uno de los siguientes avisos:

  • La configuración asociada a la política requiere una actualización del esquema.
  • La política asociada a la configuración tiene mal configurado el parámetro de reinicio. Debe seleccionar Solicitar reinicios cuando sea necesario en la Configuración de la política de agentes.

Esquemas

Si una versión de una configuración requiere una actualización del esquema, aparece una alerta en la columna Alertas. Haga clic en el icono , aparecerá la página Editar configuración con un banner de advertencia, informándole de que debe actualizar el esquema. Haga clic en Actualizar esquema, aparece el cuadro de diálogo Actualizar esquema, haga clic en Actualizar esquema.

Puede editar una configuración y guardar el borrador sin actualizar el esquema, pero no puede guardar y publicar la configuración hasta que se haya actualizado el esquema.

Crear una configuración

Para crear una configuración de App Control:

  1. Vaya a App Control > Configuraciones.
    Aparece la página Configuración.
  2. Haga clic en Crear configuración.
    Aparece la página Nueva configuración.
  3. Introduzca un Nombre para la configuración. Alternativamente, introduzca una descripción.
  4. Establezca el Nivel de seguridad para determinar qué nivel de restricciones tendrán las reglas de configuración en los usuarios, grupos o dispositivos.
    Puede optar por dejar la configuración establecida en el valor predeterminado Nivel de seguridad: Solo auditoría, esto habilitará la propiedad de confianza en los extremos que reciban la configuración.
    Como alternativa, puede establecer el Nivel de seguridad como Restringido y crear reglas para controlar el uso de aplicaciones en los terminales con las reglas Permitir, Denegar, Elevar y Proveedor de confianza y, opcionalmente, personalizar la configuración de App Control Message para mostrar al usuario final cuando App Control impida el inicio de una aplicación. Para obtener más información sobre la creación de reglas de configuración, consulte Reglas de configuración.
  5. Haga clic en Crear para guardar la configuración.
    Aparece la página Editar configuración.
  6. Haga clic en Agregar nueva regla para empezar a crear reglas en su configuración para determinar si se deben permitir, denegar, elevar o pertenecer a un proveedor de confianza elementos específicos. Para más detalles sobre la creación de reglas, consulte Reglas de configuración.
  7. Haga clic en la pestaña Ajustes para configurar los ajustes de mensajes, los ajustes avanzados y los ajustes de auditoría de la configuración. Para más detalles sobre los ajustes, consulte Ajustes de configuración
  8. Haga clic en Guardar para crear un borrador de la configuración, alternativamente haga clic en Guardar y Publicar para guardar la versión de la configuración.
    Una configuración debe publicarse para estar disponible para su asignación a una política, de modo que pueda desplegarse en los endpoints.
  9. La configuración aparece en la tabla Configuraciones.

Acciones

La tabla enumera todas las configuraciones no archivadas. Las acciones siguientes están disponibles para cada configuración:

  • Ver: Seleccione esta opción para ver la configuración.
  • Editar: Seleccione esta opción para editar la configuración; la versión actual se guarda como borrador y las demás versiones no se modifican. Si no existe un borrador, se crea uno nuevo a partir de la última versión. No disponible para configuraciones en estado Publicándose.
  • Publicar borrador: Seleccione esta opción para publicar el borrador, que se convertirá en la versión 1. Para cualquier publicación posterior del borrador, se incrementará el número de la versión. Solo disponible para las configuraciones que tienen un borrador.
  • Anular publicación: Seleccione esta opción para despublicar la última versión de configuración. Solo disponible para configuraciones en estado Publicado y no asignadas a una política. Las versiones no publicadas no podrán seleccionarse en la Política de agentes.
  • Archivar: Seleccione esta opción para la eliminación lógica de la configuración. La configuración dejará de estar disponible para su uso y no podrá recuperarse. Solo disponible para borradores o cuando la última versión es No publicado.

Visualización de una configuración

Para ver una configuración, vaya a App Control > Configuraciones. Haga clic en un Nombre de configuración, o en la columna Acciones haga clic en el icono icono de puntos suspensivos y, a continuación, seleccione Ver.

En las pestañas Reglas y Configuración, también dispone de las dos pestañas adicionales siguientes:

Historial

Ver una lista de todas las versiones de la configuración, quién creó la versión y el estado de la versión.

Políticas

Ver el número de políticas de agente con las que está asociada la configuración y el número de endpoints de agente en los que se ha desplegado la configuración.

Se enumeran los nombres de las políticas asociadas. El icono indica que la experiencia de reinicio de la política está mal configurada. App Control requiere que la Actualización automática del agente esté configurada para Solicitar reinicios cuando sea necesario. Consulte Actualización automática de agentes

Para ver la política asociada, seleccione el icono icono de puntos suspensivos en la columna Acciones de la política requerida y, a continuación, seleccione Ver. Aparecerá la página Agentes > Políticas de Agente > Política del agente. Desde aquí puede ver la capacidad de App Control y editar la configuración de App Control asociada y los ajustes de Reinicio.