Reglas de configuración

Las configuraciones de App Control se pueden construir con reglas, estas reglas se comprueban en el endpoint cuando un usuario intenta ejecutar un archivo, esto funciona además de la comprobación de propiedad de confianza.

Las reglas de App Control no se aplican a los administradores.

El nivel de seguridad de la configuración debe ser Restringido para que las reglas tengan efecto en los endpoints.

Puede crear App Templates para agrupar elementos. Las plantillas de aplicaciones pueden utilizarse al crear o editar reglas, para rellenar fácilmente la lista de elementos de origen.

Tipos de reglas

Las reglas sirven para agrupar acciones bajo una condición común. Seleccione el tipo de acción para la que desea crear una regla.

Permitir: Una regla de permiso concede acceso a elementos específicos que pueden estar restringidos.

Denegar: Una regla de denegación prohíbe el acceso a elementos específicos.

Elevar: Una regla elevar permite privilegios de acceso a aplicaciones o componentes para un usuario no administrador.

Proveedor de confianza: Una regla de proveedor de confianza concede permisos de ejecución para un proveedor y un artículo especificados, cuando el artículo tiene una firma digital válida.

Crear una regla

Puede crear una regla desde dentro de una configuración o haciendo clic dentro de un gráfico en la página Descripción general:

Opción 1: Crear una regla desde la página Configuraciones

  1. Vaya a App Control > Configuraciones.
    Aparece la página Configuración.
  2. In the table, locate the configuration you want to add a rule to, in the Actions column, click icono de puntos suspensivos to open the actions menu.
  3. Haga clic en Editar.
    Aparece la página Editar configuración.
  4. Alternativamente, puede seleccionar ver la configuración antes de editarla, para ello, en la página Configuraciones, haga clic en un Nombre de configuración.
    Aparece la página Configuración.
    Haga clic en el botón Editar.
    Aparece la página Editar configuración.
  5. En la tabla Reglas, haga clic en +Añadir nueva regla.
    Aparece la página Configuración: <name>.
  6. Seleccione el tipo de regla que desea crear y siga los pasos indicados en el tema correspondiente:

Opción 2: Crear una regla desde la página Visión general (tabla de propietarios no fiables)

Puede crear una regla de permiso para los archivos que han sido capturados como ejecutados con propietarios no confiables.

  1. Vaya a App Control > Descripción general.
    Aparece la página Descripción general.
  2. Haga clic en el gráfico Aplicaciones ejecutadas con propietarios no fiables.
    Aparece la página Aplicaciones ejecutadas con propietarios no fiables.
  3. En la tabla, localice el archivo para el que desea crear una regla permitida y, a continuación, en la columna Acciones, haga clic en para abrir el menú de opciones.
  4. Haga clic en +Crear regla.
    Aparece el cuadro de diálogo Seleccione una configuración.
  5. Seleccione la configuración que desea crear y a la que desea añadir la regla.
  6. Haga clic en Crear regla.
    Aparece la página Configuración para la configuración seleccionada.
  7. Siga el proceso de creación de la Regla permitir.

Opción 3: Crear una regla desde la página Visión general (tabla de privilegios elevados)

Puede crear una regla de elevación para los archivos que han sido capturados como ejecutados con privilegios elevados.

  1. Vaya a App Control > Descripción general.
    Aparece la página Descripción general.
  2. Haga clic en el gráfico Aplicaciones ejecutadas con privilegios elevados.
    Aparece la página Aplicaciones ejecutadas con privilegios elevados.
  3. En la tabla, localice el archivo para el que desea crear una regla de elevación y, a continuación, en la columna Acciones, haga clic en para abrir el menú de opciones.
  4. Haga clic en +Crear regla.
    Aparece el cuadro de diálogo Seleccione una configuración.
  5. Seleccione la configuración que desea crear y a la que desea añadir la regla.
  6. Haga clic en Crear regla.
    Aparece la página Configuración para la configuración seleccionada.
  7. Siga el proceso de creación de la Regla elevar.

Configuración de los elementos de la regla

Se puede acceder al panel Configuración de elementos de la regla desde la página de la regla ¿Qué? > sección Elementos seleccionados > icono > Editar.

Pestaña Propiedades

  • Nombre en pantalla: Introduzca el nombre de archivo que desea que aparezca en la columna Nombre de la tabla Reglas.
  • Archivo: Introduzca el archivo o la ruta a la que desea que se aplique la regla. Puede utilizar comodines para buscar varios archivos, por ejemplo, C:Archivos de programa*.exe buscará todos los archivos .exe de la carpeta Archivos de programa.
    Los tipos de archivo aceptados son: exe, bat, cmd, vbs, wsf, js, msi, msp, ps1 y reg.
    • Utilizar expresión regular: Seleccione esta opción para utilizar expresiones regulares al buscar el archivo o la ruta.
  • Argumentos: Introduzca todos los argumentos tal y como aparecen en el Explorador de Procesos.
    Los argumentos de la línea de comandos amplían los criterios de coincidencia más allá de lo introducido en el campo Archivo. Si se añade un argumento, tanto el archivo como el argumento deben cumplirse para que se produzca una coincidencia. Se puede añadir cualquier argumento que aparezca en la línea de órdenes de un proceso, como banderas, conmutadores, archivos y guías.
    Puede seleccionar el uso de expresiones regulares.
    Expediente denegadoArchivo permitidoResultado
    shutdown.exeshutdown.exe
    Argumentos: -r -t 30    		shutdown.exe solo se ejecuta cuando -r -t 30 está en la línea de comandos, cualquier otra cosa ejecutada por shutdown.exe es denegada.

    Para configurar correctamente los argumentos de un elemento permitido o denegado, éstos deben aparecer tal y como aparecen en el Explorador de Procesos.

    Archivo: C:\Windows\System32\shutdown.exe

    Línea de comandos: C:\Windows\System32\shutdown.exe -r -t 30

    Se configuraría como:

    Archivo: Ruta absoluta o relativa de shutdown.exe

    Argumentos: -r -t 30

  • Descripción: también puede introducir una descripción.
  • Opciones: Las opciones disponibles dependen del tipo de regla.
    • Permitir la ejecución de un archivo aunque no pertenezca a un propietario de confianza: Solo aplicable a un elemento de regla de permiso.
      La comprobación de propiedad de confianza siempre está activada, por lo que una aplicación siempre debe pasar una comprobación de propiedad de confianza, incluso si la aplicación es un elemento permitido. Sin embargo, si necesita proporcionar a un usuario acceso a un elemento que no pertenece a un propietario de confianza, seleccione esta opción.
    • No mostrar mensaje de acceso denegado cuando se deniega: Solo se aplica a un elemento de Regla de Denegación.
      Seleccione esta opción si desea denegar silenciosamente un elemento y no mostrar el mensaje de acceso denegado al usuario.
      Personalice los mensajes en Ajustes del mensaje de configuración.
  • Política: Solo aplicable a un elemento de la regla Elevar.
    • Aplicar a procesos secundarios: Por defecto, la política de autoelevación aplicada a los elementos de regla no es heredada por los procesos secundarios. Seleccione esta opción para aplicar la política a los procesos secundarios directos del proceso principal.
    • Aplicar a diálogos comunes: Elevar el acceso a las opciones de menú de Windows Abrir archivo y Guardar archivo cuando se ha elevado un archivo o carpeta.

      Para evitar que los usuarios modifiquen el sistema de archivos con privilegios administrativos, esta opción debe dejarse sin seleccionar.

    • Instalar como propietario de confianza: Hace que el administrador local sea el propietario de todos los elementos creados por la aplicación definida. Esta opción no se aplica a las aplicaciones normales, solo a los paquetes instaladores.
    • Preguntar al usuario antes de elevar: Seleccione esta opción para mostrar un mensaje de auto-elevación al usuario final antes de elevar.
      Personalice el mensaje en Configuración de mensajes.
      • Requiere una razón antes de elevar: Seleccione esta opción para solicitar al usuario que introduzca una razón para la elevación.

Pestaña Metadatos

  • Nombre del producto: el nombre del producto.
    • Utilizar expresión regular: Seleccione esta opción para utilizar expresiones regulares al buscar el nombre del producto.
  • Proveedor: El nombre del proveedor asociado a la firma si el archivo ha sido firmado digitalmente.
    • Utilizar expresión regular: Seleccione esta opción para utilizar expresiones regulares al buscar el proveedor.
    • Verificar certificado en tiempo de ejecución: Seleccione esta opción para verificar el certificado del proveedor mientras coincide con el archivo.
      También se verifica la integridad del archivo para garantizar que no ha sido manipulado.

      Esto puede afectar al rendimiento si se ejecutan con frecuencia archivos muy grandes.

  • Nombre de la empresa: Nombre de la empresa que ha producido el archivo.
    • Utilizar expresión regular: Seleccione utilizar expresiones regulares al buscar el nombre de la empresa.
  • Descripción del archivo: La descripción del archivo.
    • Utilizar expresión regular: Seleccione esta opción para utilizar expresiones regulares al buscar la descripción del archivo.
  • Versión del archivo El intervalo de versiones del archivo que debe coincidir.
    • Mínimo: El número de versión mínimo del archivo que debe incluirse en la coincidencia de reglas.
    • Máximo: El número máximo de versión del archivo a incluir en la coincidencia de reglas.
  • Versión del producto El intervalo de versiones del producto que debe coincidir.
    • Mínimo: El número de versión mínimo a incluir en la coincidencia de reglas.
    • Máximo: El número máximo de versión a incluir en la coincidencia de reglas.

Temas relacionados

Regla permitir/denegar

Regla Elevar

Regla del proveedor de confianza