Acerca del control ejecutable
En esta sección:
Propiedad de confianza
Durante el proceso de coincidencia de reglas, se comprueba la propiedad de confianza en los archivos y carpetas para garantizar que la propiedad de los elementos coincide con la lista de propietarios de confianza especificados en la configuración de reglas predeterminadas.
Por ejemplo, si se combina el archivo que desea ejecutar y un elemento permitido, una comprobación de seguridad adicional garantiza que la propiedad del archivo también coincide con la lista de Propietarios de confianza. Si se ha manipulado un archivo genuino o se ha cambiado el nombre de un archivo que es una amenaza para que parezca un archivo de confianza, la comprobación de la propiedad de confianza identifica las irregularidades y evita la ejecución de ese archivo.
Las carpetas de red/compartidas no están permitidas por defecto. Por lo tanto, si el archivo se encuentra en una carpeta de red, se debe agregar el archivo o la carpeta a la regla como elemento permitido. De lo contrario, aunque el archivo pase la comprobación de la propiedad de confianza, la regla no permitirá el acceso.
La comprobación de la propiedad de confianza no es necesaria para elementos con firmas de archivo porque éstas no se pueden imitar.
Los propietarios de confianza por defecto son:
- SISTEMA
- BUILTIN\Administrators
- %ComputerName%\Administrator
- Servicio de NT\TrustedInstaller
Esto quiere decir que, por defecto, Control de aplicaciones confía en los archivos del grupo BUILTIN\Administrators y el administrador local. Control de aplicaciones no realiza búsquedas de grupos para Propietarios de confianza: los usuarios que son miembros de BUILTIN\Administrators NO son de confianza, por defecto. Otros usuarios, aunque sean miembros del grupo de administradores, deben agregarse explícitamente para que se conviertan en Propietarios de confianza. Puede ampliar la lista para que incluya otros usuarios o grupos.
Tecnología
Control de aplicaciones utiliza controladores de filtrado seguro y políticas de seguridad de Microsoft NTFS para interceptar todas las solicitudes de ejecución. Las solicitudes de ejecución pasan por el gancho de Control de aplicaciones y se bloquean todas las aplicaciones no deseadas. Los derechos de aplicaciones se basan en la propiedad de la aplicación, con la propiedad de confianza predeterminada para los administradores, normalmente. Utilizando este método, la política de acceso a la aplicación actual se aplica sin la necesidad de gestión de secuencias o listas. Esto se llama Propiedad de confianza. Además de los archivos ejecutables, Control de aplicaciones también gestiona los derechos del contenido de las aplicaciones como VBScripts, archivos en lote, paquetes MSI y archivos de configuración del registro.
La propiedad de confianza es el método predeterminado de controlar el acceso a las aplicaciones de Control de aplicaciones. Utiliza el modelo de Control de acceso discrecional (DAC, por sus siglas en inglés). Examina el atributo de propiedad del archivo y lo compara a una lista predefinida de propietarios de confianza. Si el propietario del archivo aparece en la lista, se garantiza la ejecución, de lo contrario, no se ejecutará.
Una función importante de este método de seguridad es la capacidad para no considerar solo el contenido del archivo. De este modo, Control de aplicaciones puede controlar las aplicaciones conocidas y las desconocidas. Los sistemas de seguridad convencionales, como las aplicaciones de antivirus, comparan los patrones del archivo con los de la lista de archivos conocidos para identificar amenazas potenciales. Por lo que la protección que ofrece es directamente proporcional a la precisión de la lista que utiliza para la comparación. Muchas aplicaciones de malware nunca se verifican o, como máximo, se identifican únicamente después de un periodo de tiempo en que los sistemas son vulnerables. Control de aplicaciones, por defecto, permite ejecutar TODO el contenido ejecutable instalado localmente SI el propietario del ejecutable aparece en la lista de Propietarios de confianza de la configuración. A continuación, el administrador debe proporcionar una lista de aplicaciones que no desea ejecutar desde el subsistema del disco local, que será administrada por las aplicaciones administrativas, como mmc.exe, eventvwr.exe, setup.exe, etc.
Si se lleva a cabo este enfoque, el administrador no debe averiguar todos los detalles de cada pieza del código de ejecución necesario para que la aplicación ajustada para funcionar porque el modelo de Propiedad de confianza permite/deniega el acceso cuando proceda.
Aunque Control de aplicaciones puede detener cualquier malware basado en secuencias ejecutables en cuanto acceda a un sistema, Control de aplicaciones no está pensado para reemplazar las herramientas actuales de eliminación de malware, pero deberá actuar como tecnología adicional junto a dichas herramientas. Por ejemplo, aunque Control de aplicaciones puede detener la ejecución de un virus, no puede limpiarlo del disco.
Regla de propiedad de confianza
La Propiedad de confianza no necesita tener en cuenta al usuario activo. No importa si el usuario activo es un Propietario de confianza, un administrador o ninguno de los dos. La Propiedad de confianza gira en torno a qué usuario (o grupo) tiene la propiedad de un archivo del disco. Suele ser el usuario que creó el archivo.
Es normal ver un BUILTIN\Administrators de grupo en la consola de Control de aplicaciones como propietario del archivo. También es posible que el propietario del archivo sea una cuenta individual de administrador. Esto resulta en las situaciones siguientes:
- El propietario del archivo es el BUILTIN\Administrators de grupo y este grupo es un Propietario de confianza. La Propiedad de confianza permite que se ejecute el archivo.
- El propietario del archivo es un administrador individual y éste es un Propietario de confianza. La Propiedad de confianza permite que se ejecute el archivo.
- El propietario del archivo es un administrador individual y éste no es un Propietario de confianza, pero el grupo de BUILTIN\Administrators es un propietario de confianza. La Propiedad de confianza no permite que se ejecute el archivo.
En el último caso, aunque el administrador que tiene la propiedad del archivo está en el grupo de BUILTIN\Administrators, el propietario del archivo no es de confianza. El grupo no se amplía hasta averiguar si el propietario individual deberá ser de confianza. En este caso, para permitir la ejecución del archivo, la propiedad del archivo se debe cambiar a la del propietario de confianza, por ejemplo, un dominio o un administrador local.
Niveles de seguridad
Control de aplicaciones las reglas le permiten ajustar niveles de seguridad para especificar cómo se gestionan las solicitudes para ejecutar aplicaciones no autorizadas por los usuarios, grupos o dispositivos con los que coincide una regla.
Autorización propia
En algunos entornos es necesario que los usuarios agreguen nuevos ejecutables a un equipo, por ejemplo, los desarrolladores que actualizan o prueban constantemente el software interno o los usuarios de energía que requieren acceder a aplicaciones nuevas o desconocidas. La autorización propia permite que los usuarios de energía nominados ejecuten aplicaciones que han introducido al sistema. Estos usuarios de energía pueden agregar aplicaciones a un punto terminal asegurado estando fuera de la oficina apoyándose en el soporte de TI. Esto proporciona a los equipos de desarrollo, usuarios avanzados y administradores la flexibilidad necesaria para instalar y probar software sin dejar de ofrecer un alto nivel de protección contra malware y ejecutables ocultos.
Cualquier usuario que esté configurado con autorización propia tendrá la opción de permitir la ejecución de un ejecutable sin confianza, una vez, cada vez durante la sesión actual o siempre. Información completa de auditoría, como el nombre de la aplicación, la fecha y hora de ejecución y el dispositivo. No solo eso, se puede tomar y almacenar a nivel central una copia de la aplicación para su examinación.
Elementos permitidos y denegados
Elementos permitidos
El enfoque de lista de permisos conlleva que todas la piezas de contenido ejecutable se deben predefinir antes de que el usuario haga la solicitud de la aplicación en el sistema operativo. Los detalles del contenido que se identifica así se guardan en una lista de permitir que se debe comprobar cada vez que se produce una solicitud de ejecución. Si el archivo ejecutable está en la lista permitida, se permite, de lo contrario, se rechaza.
Un pequeño número de tecnología de seguridad funciona de este modo, pero, a menudo, experimentan problemas con el nivel de administración necesario después de su implementación. Esto se debe a la necesidad de agregar y mantener todos los parches, niveles de productos y actualizaciones a la lista de permisos.
Control de aplicaciones es totalmente compatible con este modelo de control y agrega pasos importantes para habilitar la seguridad adicional en el modelo. Tal adición es la capacidad de incluir firmas digitales SHA-1, SHA-256 y Adler-32, para que no solo coincida el nombre de la aplicación con la ruta del archivo, sino también la firma digital de ese ejecutable con la firma de la base de datos. Además, Control de aplicaciones también agrega la ruta completa del ejecutable a la lista para garantizar que los tres elementos coinciden antes de ejecutar la aplicación:
Nombre del archivo: por ejemplo, winword.exe.
Ruta al archivo: por ejemplo, C:\Program Files\Microsoft Office\Office\digital signature
Para llevar la tecnología al siguiente nivel de control, Control de aplicaciones no solo toma los detalles de los ejecutables, sino que solicita que el administrador especifique DLLs y el resto de contenido de ejecutables como los controles de ActiveX, la secuencia de Visual Basic y las secuencias de comandos.
En Control de aplicaciones, las listas de permisos son Elementos permitidos. Los elementos de la lista de Elementos permitidos incluyen:
- Archivos
- Carpetas
- Unidades
- Hashes del archivo
- Colecciones de reglas
Elementos denegados
En comparación con las listas de permisos, las listas de rechazo son una medida de baja seguridad potencial. Se genera y se mantiene una lista que contiene las aplicaciones cuya ejecución se va a denegar. Este es el principal defecto de este método, que supone que todas las aplicaciones peligrosas son conocidas. Esto sirve de poco en la mayoría de empresas, específicamente con el acceso al correo electrónico y a Internet o si el usuario puede introducir archivo y aplicaciones sin la intervención de un administrador.
Control de aplicaciones no necesita mantener de manera activa una lista de aplicaciones denegadas porque cualquier aplicación que no esté instalada, y por lo tanto no pertenezca al administrador, no puede ser utilizada por la Propiedad de confianza.
Uno de los motivos principales de prohibir aplicaciones mediante una lista de rechazo es habilitar le Propiedad de confianza para usarse para la administración de licencias no permitiendo la ejecución de aplicaciones, incluso las conocidas (y, por tanto, de confianza y propiedad), hasta que el administrador pueda más adelante permitir el acceso explícitamente a esa misma aplicación, mediante la definición de un determinado usuario/grupo o regla de cliente. Esta protección no necesita configurarse, a menos que se pretenda permitir una aplicación externa. Además, es útil tener una lista de rechazos para rechazar el acceso a archivos que pertenezcan a propietarios de confianza que puedan suponer riesgos de seguridad. Por ejemplo, regedit.exe, ftp.exe, etc.