Opciones de configuración del control de aplicaciones
La función de control de aplicaciones se configura desde el Editor de configuración de control de aplicaciones. Se puede acceder desde varios sitios de la consola de Security Controls.
- Nueva > Configuración de control de aplicaciones
- Configuraciones de control de aplicaciones haga clic con el botón derecho sobre Nueva configuración de control de aplicaciones
- Nueva > Política de agente > Control de aplicaciones > Nueva.
Tenga en cuenta que esto asignará la configuración a la política después de guardarla.
El nodo de nivel superior Ajustes de configuración tiene tres pestañas:
Funciones
Seleccione para habilitar la siguiente función de Control de aplicaciones para esta configuración:
Control ejecutable
El control ejecutable cubre las siguientes funciones en toda la configuración:
- Propiedad de confianza: durante el proceso de la regla, la conexión de la propiedad de confianza se lleva a cabo en los archivos y carpetas para garantizar que la propiedad de los elementos coincide con la lista de propietarios de confianza que se especifica en la configuración.
- Niveles de seguridad: especifican los niveles de restricciones para ejecutar los archivos no autorizados.
- Elementos permitidos y denegados: otorga o deniega el acceso a elementos específicos aplicables a un conjunto de reglas.
Gestión de privilegios
La Gestión de privilegios le permite crear políticas de gestión de privilegios reutilizables que se pueden asociar con conjuntos de reglas y pueden elevar o restringir el acceso a archivos, carpetas, unidades, hashes de archivos y componentes del panel de control. Un nivel más granular de control le permite asignar privilegios específicos para depurar o instalar software, o establecer niveles de integridad para administrar la interoperabilidad entre distintos productos, como Microsoft Outlook y Microsoft Word.
La gestión de privilegios contiene cuatro funciones primarias:
- Elevar a gestión de privilegios para aplicaciones.
- Elevar la gestión de privilegios para los componentes del panel de control y los complementos de administración.
- Reducir la gestión de privilegios para aplicaciones.
- Reducir la gestión de privilegios para los componentes del panel de control y los complementos de gestión.
Control del navegador
Utilice esta función para redirigir automáticamente a los usuarios cuando intenten acceder a una URL específica. Definiendo una lista de URL prohibidas, redirige a todos los usuarios que intenten acceder a una URL de la lista hasta una página de advertencia predeterminada o una página web personalizada. También puede seleccionar permitir determinadas URL que, cuando se usan junto con redirecciones, le proporcionan más flexibilidad y control y le permite crear una lista de permisos de páginas web.
Antes de configurar esta función para Internet Explorer, debe habilitar las extensiones de navegadores de terceros mediante Opciones de internet para cada uno de sus puntos terminales. Como alternativa, esta se puede aplicar a través de la Política de grupos.
La Redirección de URL es compatible con Internet Explorer 8, 9, 10 y 11. Cuando se usa Chrome, todos los puntos terminales administrados deben formar parte de un dominio.
Algoritmo del hash
El Hash de archivo proporciona un medio para identificar un archivo de acuerdo con el contenido real del archivo. Cada archivo se examina y, de acuerdo con su contenido, se produce un hash digital, que puede compararse con una huella dactilar. Control de aplicaciones utiliza los hashes estándar de la industria SHA-1, SHA-256 y Adler-32. Si se altera el archivo de alguna manera, el hash también se verá alterado.
El hash digital se ve como el último método de seguridad debido a su exactitud. Identifica cada archivo independientemente de todos los factores que no sean el archivo en cuestión. Por ejemplo, un administrador toma un hash digital de todos los ejecutables de un sistema de equipos y los registra. A continuación, un usuario intenta ejecutar una aplicación. El hash digital de la aplicación se calcula y luego se compara con los valores registrados. Si hay una coincidencia, la aplicación se puede ejecutar, de lo contrario, no podrá hacerlo. Esta metodología también proporciona protección de cero días porque no solo detiene la introducción de nuevas aplicaciones, sino que también bloquea las aplicaciones que se hayan infectado con malware.
Aunque el hash de archivo proporciona una protección similar a la Propiedad de confianza, también debe tener en cuenta el tiempo y gestión que supone, en relación con el mantenimiento de los sistemas de seguridad. Las aplicaciones se actualizan constantemente con niveles de producto, soluciones a problemas y parches de vulnerabilidad. Esto significa que todos los archivos asociados también se actualizan constantemente. Por lo tanto, si, por ejemplo, se aplica un nivel de producto a Microsoft Office, para que las partes actualizadas funcionen, se deben tomar los nuevos hashes digitales de los archivos actualizados. Asegúrese de que estan disponibles cuando la actualización esté disponible para eliminar el tiempo de inacción. Además, se recomienda eliminar el hash antiguo.
Configuración avanzada
La configuración avanzada le permite configurar ajustes adicionales que se aplicarán en puntos terminales administrados cuando se despliegue una configuración de Control de aplicaciones. Si se despliega una nueva configuración que contenga una configuración avanzada nueva, se eliminará cualquier configuración avanzada anterior del punto terminal.
En la pestaña Configuración avanzada, haga clic con el botón derecho sobre el área de trabajo y seleccione Agregar para mostrar la lista de Configuración avanzada disponible. La configuración se aplica cuando se despliega la configuración en los puntos terminales administrados.
Configuración avanzada disponible
| Ajuste | Tipo de datos | Descripción |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Numérico | Tiempo de espera, en segundos, para búsquedas de grupos de equipos anidados. La configuración predeterminada es 120 segundos y ajustar este valor a 0 deshabilita el tiempo de espera. |
| ADQueriesEnabled | Numérico | Este ajuste controla los tipos de consultas AD que se usan para determinar el Nombre distintivo del sistema y la membresía del grupo de equipos. Un valor de 0 deshabilita las consultas que se realizan en AD y el uso de los grupos de equipos y OU en la configuración. El valor predeterminado 1 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos (no anidados) directos. Se ignoran los grupos de equipos anidados en la configuración. El valor 2 hace que el agente lleve a cabo las consultas de Nombre distintivo y AD de grupo de equipos directos y anidados. Este ajuste puede provocar problemas de rendimiento en el DC debido a un alto uso de la CPU. |
| AlternateTOCheck | Numérico | Las comprobaciones de la Propiedad de confianza han provocado, ocasionalmente, un uso excesivo de CPU en el proceso del SISTEMA cuando los controladores de filtros de terceros se instalan en el sistema. Habilitar este ajuste, usar un valor de 1, provoca que Control de aplicaciones utilice un método alternativo de búsqueda de Propiedad de confianza, que, en algunos casos, mitiga este problema. |
| AMFileSystemFilterFailSafe | Numérico | Este ajuste configura si el controlador de filtros del sistema de archivos opera en un modo a prueba de errores o en modo seguro. Si hay un problema con el Agente y éste deja de responder, el controlador se desconecta en modo a prueba de errores y no intercepta más solicitudes. Un valor de 1 indica A prueba de errores y 0 indica Seguro. El modo a prueba de errores es el que se usa por defecto. Cambiar este ajuste requiere que un Agente reinicie para que surta efecto. |
| AppHookDelayLoad | Texto | Este ajuste hace que AmAppHook Dll se cargue después de retraso (ms) de milisegundos configurable. Este ajuste se configura por nombre de archivo. El formato es <filename+extension>,<delay>. El nombre y la extensión del archivo puede contener comodines. Cada par está delimitado por punto y coma. Por ejemplo 'calc.exe,2000;note*.exe,6000' |
| AppHookEx | Texto | Control de aplicaciones utiliza un gancho de Windows como parte de la función de Control de acceso a la red de la aplicación (ANAC, por sus siglas en inglés). En casos excepcionales, las aplicaciones pueden mostrar un comportamiento inesperado cuando se enganchan. Este ajuste es una lista de aplicaciones en las que las funciones específicas de ANAC no se enganchan y, por tanto, no están sujetas a las reglas de ANAC. Si una aplicación se nombra en AppHookEx y en UrmHookEx, la AmAppHook.dll no se cargará. Múltiples entradas se delimitan con un punto y coma (;). |
| AppInitDllPosition | Numérico | Utilice este ajuste para especificar si el controlador AsModLdr o la clave de registro Appinit se utilizan para inyectar el gancho Control de aplicaciones. Este ajuste también se usa para determinar la posición de AMLdrAppinit.dll en el valor de registro de AppInit_DLL. Ajuste uno de los siguientes valores:
Este ajuste solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti. |
|
AssumeActiveSetupDespiteCitrix |
Con los clientes de Citrix usando aplicaciones publicadas, la configuración de Windows Active no se ejecuta como parte del inicio de sesión del cliente de Citrix. Por defecto, Control de aplicaciones detecta que el cliente utiliza un protovolo de Citrix y luego asume la configuración activa que se excluye para que las aplicaciones bloqueadas no se permitan nunca, bajo ninguna circunstancia que pueda parecer una configuración activa. Además, y como opción, Control de aplicaciones puede imponer una comprobación más estricta de Citrix: ajuste el valor de esta configuración como 1 para que Control de aplicaciones imponga una comprobación más estricta si parece que una aplicación denegada se va a permitir en estas circunstancias. Ajuste el valor como 2 para evitar que Control de aplicaciones pueda hacer estas comprobaciones de 'Citrix' si las aplicaciones parecen bloqueadas durante la configuración activa real. |
|
| BrowserAppStorePort | Numérico | Introduzca el puerto que se utiliza para permitir la instalación de la extensión de Chrome para el control del navegador. |
| BrowserCommsPort | Numérico | Introduzca el puerto que se utilizará para las comunicaciones desde las extensiones del navegador al agente. |
| BrowserExtensionInstallHive | Numérico | Este ajuste de ingeniería permite al administrador elegir en qué hive del registro se instalará la extensión del navegador de Chrome Control de aplicaciones. Las opciones son:
0 es donde el administrador debe configurar manualmente su propiea appstore de empresa para deplegar la extensión de Chrome Control de aplicaciones. El comportamiento predeterminado es 2 - para instalar la extensión de chrome en HKCU. |
| BrowserHookEx | Texto | El valor se puede ajustar como 'Chrome.exe' para evitar que el gancho del navegador de Control de aplicaciones (BrowserHook.dll) se inyecte. El gancho del navegador evita todas las comunicaciones de red hasta que la Extensión de Chrome establece una conexión con el Agente de control de aplicaciones. Ninguna función central se ve afectada por este ajuste personalizado. |
| BrowserNavigateEx | Texto | Una lista de navegación de URL delimitada por líneas verticales (|) que omite el proceso de los eventos de navegación. Las URL de esta lista no están sujetas a la redirección de URL. |
| ComputerOUThrottle | Numérico | Este ajuste limita un búsqueda de Active Directory por cliente de la conexión, para comprobar la pertenencia a la Unidad organizativa, limitando el número de consultas simultáneas. Esta limitación ayuda a reducir la cantidad de tráfico por consulta en un dominio si se gestionan un gran volumen de clientes que se conectan. Ajuste este valor entre 0 y 65535. |
| DFSLinkMatching | Numérico | Las rutas de enlace DFS se pueden agregar a las reglas. Los enlaces DFS y los objetivos DFS se tratan como elementos independientes separados que se deben combinar. No hay conversión de Enlace a Objetivo antes de aplicar las reglas. Ajuste este valor como 1 para habilitar la combinación de enlace DFS. |
| DirectHookNames | Texto | Control de aplicacionesel gancho de Windows se carga en todos los procesos para cargar user32.dll por defecto. Las aplicaciones que no cargan este DLL no se enganchan. Las aplicaciones que no carguen user32.dll se deberán incluir en esta configuración como parte de una lista de rutas completas o nombres de archivos delimitada por puntos y coma. |
| DisableAppV5AppCheck | Numérico | Por defecto, cualquier aplicación que se inicie utilizando AppV5 queda exenta de la comprobación de Propiedad de confianza. Utilice este ajuste para deshabilitar este comportamiento con un valor 1. |
| DisableSESecondDesktop | Numérico | Por defecto, el diálogo de auditoría para la autoelevación se muestra en un segundo escritorio. Ajuste 1 para mostrar el diálogo en el escritorio principal. |
| DoNotWalkTree | Numérico | Por defecto, las reglas del proceso comprueban toda la clave principal en busca de coincidencias. Este ajuste indica a las reglas del proceso que solo deben mirar al pariente directo del proceso y no comprobar todo el árbol. Un valor de 1 habilita este ajuste. |
| DriverHookEx | Texto | Una lista de aplicacoines limitada por punto y coma que no tendrá inyectado el gancho (AMAppHook.Dll) de Control de aplicaciones. Control de aplicaciones requiere que el gancho se cargue para que funcionen determinadas funciones. Este ajuste personalizado solo se debe utilizar bajo la guía del Equipo de apoyo de Ivanti. |
| EnableScriptPreCheck | Numérico | Mientras que las secuencias de las reglas secuenciadas se procesan, se tratan como si se hubieran transformado en un valor falso. El tiempo que duran las secuencias varía según su contenido. Este ajuste proporciona el mejor rendimiento durante el inicio del equipo y el inicio de sesión del usuario, porque todo lo que depende del resultado de una secuencia no se verá retrasado. Ajuste el valor a 1 para que los procesos esperen hasta que haya terminado la secuencia relevante. Esto puede ralentizar significativamente el inicio del equipo y del usuario. Control de aplicaciones no espera indefinidamente los resultados de las secuencias: se aplica un tiempo de espera de 30 segundos. |
| EnableSignatureOptimization | Numérico | Esta configuración mejora el rendimiento de la conexión de reglas, cuando se usan firmas. Los archivos que no coinciden con la ruta completa no tienen hash, ya que se asume que no son el mismo archivo. Ajustar a 1 para habilitar. Habilitar este ajuste y ExtendedAuditInfo no mostrará el nombre de los archivos con hash en los metadatos de auditoría. |
| ExplicitShellProgram | Texto | Esta configuración se utiliza para el Control de acceso de aplicaciones (AAC, por sus siglas en inglés). Control de aplicaciones trata el inicio del programa shell (por defecto explorer.exe) como el desencadenante de la sesión que se va a considerar inicio de sesión. Distintos entornos y tecnologías pueden cambiar la aplicación shell y el agente en ocasión no puede detectar lo que es el programa shell. Control de aplicaciones usa las aplicaciones de esta lista (además de las aplicaciones shell predeterminadas) para determinar cuándo se considera que una sesión ha iniciado sesión. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos. |
| ExProcessNames | Texto | Una lista de nombres de archivos separados por espacios que se deberá excluir del controlador de filtros. Cambiar este ajuste requiere que un Agente reinicie para que surta efecto. |
| ExtendedAuditInfo | Numérico | Esta configuración amplía la información del archivo para eventos de auditoría. Infomar del hash del Algoritmo de hash segurod 1 (SHA-1, por sus siglas en inglés), tamaño del archivo, versión del archivo y del producto, descripción del archivo, proveedor, nombre de empresa y nombre del producto para cada archivo de sus eventos de auditoría. La información se agrega inmediatamente después del nombre del archivo en el registro de eventos. Esta configuración está activa por defecto. Para desactivarla, introduzca un valo 0. La generación de un hash o de una suma de comprobación se deshabilita cuando se habilita la configuración de EnableSignatureOptimization. |
| ForestRootDNQuery | Numérico | Ajuste el valor a 1 para habilitar el Agente de control de aplicaciones para llevar a cabo una consulta raíz de bosque. La consulta incluye seguir las referencias para determinar el Nombre distintivo de los dispositivos que se van a conectar para la membresía de OU y del Grupo de equipos en las Reglas del dispositivos. |
| ImageHijackDetectionInclude | Texto | Una lista de nombres de procesos con la que se verifican todos los procesos hijos para garantizar que la imagen hija se ejecuta sin corrupción o modificación y que coincide con la que se solicitó inicialmente. Si no se verifica el proceso hijo, se terminará. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos. |
| OwnershipChange | Numérico | Control de aplicaciones detecta si un propietario sin confianza cambia un archivo de confianza. En tal caso, el propietario del archivo se cambia al usuario sin confianza y se bloquean las solicitudes de ejecución. Algunas aplicaciones reemplazan los archivos de manera que Control de aplicaciones no lo detecta por defecto, por lo que el propietario del archivo no se cambiar. Cuando se habilita, Control de aplicaciones lleva a cabo comprobaciones adicionales para captar todos los cambios y reemplazos de archivos. Ajustar a 1 para habilitar. |
| RemoveDFSCheckOne | Numérico | Cuando los archivos se guardan en una unidad DFS, el agente de Control de aplicaciones utiliza una serie de estrategias para evaluar la ruta UNC correcta. Una de estas estrategias puede provocar retrasos durante el inicio de sesión cuando se guardan muchas secuencias y ejecutables y Active Directory lo replica. Ajustar un valor de uno para habilitarlo hace que Control de aplicaciones ignore esta estrategia y aumenta el rendimiento en esta situación. |
| SECancelButtonText | Texto | El texto que se muestra con el botón cancelar en el diálogo de Autoelevación. |
| SelfElevatePropertiesEnabled | Numérico | Ajustar este valor a '1' para habilitar la autoelevación de las propiedades. Esta función está deshabilitada por defecto. |
| SelfElevatePropertiesMenuText | Texto | El texto de la opción del menú contextual para las autoelevación de propiedades. |
| SEOkButtonText | Texto | El texto que se muestra con el botón Aceptar en el diálogo de Autoelevación. |
|
ShowMessageForBlockedDLLs |
Ajustar el valor a 1 para mostrar el cuadro de mensaje de acceso denegado de Control de aplicaciones para los DLL denegados. |
|
| UrlRedirectionSecPolicy | Numérico | Por defecto, la función de Redirección de URL ignora la política de seguridad. Este ajuste de ingeniería permite al administrador forzar la Redirección de URL para que siga la política de seguridad configurada. Ajustar a 1 para habilitar. La autorización propia no es compatible. |
| UrmForceMediumIntegrityLevel | Texto | Una configuración personalizada de Gestión de privilegios de usuarios (UPM, por sus siglas en inglés) que se utiliza para reemplazar el nivel de integridad cuando los privilegios de usuarios son aplicaciones elevadas, que, por defecto, establece el nivel de integridad como alto. Cuando se usa este ajuste, el nivel se reduce a medio. Este valor debe ser una lista delimitada con punto y coma de nombres de archivos. |
| UrmHookEx | Texto | Control de aplicaciones utiliza un gancho de Windows como parte de la función Gestión de privilegios de usuarios. En casos excepcionales, las aplicaciones muestran un comportamiento inesperado cuando se enganchan. Este ajuste lista las aplicaciones donde no se enganchan las funciones específicas de Gestión de privilegios de usuarios. Si una aplicación se denomina en AppHookEx y en UrmHookEx, el AmAppHook.dll no se carga y múltiples entradas se delimitan mediante punto y coma. |
| UrmPauseConsoleExit | Texto | Usado por la función Gestión de privilegios de usuarios. Cuando se eleva una aplicación de la consola, puede aparecer una nueva aplicación en una nueva ventana de la consola. La aplicación se ejecuta hasta el final y se cierra. Esto supone un problema si el usuario quiere ver los resultados del programa. Esta configuración hace que la aplicación permanezca hasta que se pulse una clave. Esta es una lista delimitada con punto y coma de rutas completas o nombres de archivos. |
| UrmSecPolicy | Numérico | Por defecto, la función Gestión de privilegios de usuarios ignora la política de seguridad. Las reglas de Gestión de privilegios de usuarios se aplican en todos los casos, menos cuando se selecciona el modo Solo auditoría. Este ajuste personalizado permite a los administradores forzar la Gestión de privilegios de usuarios para que siga la política de seguridad configurada. Para niveles de seguridad sin restringir y de autorización propia, no se aplican las reglas de Gestión de privilegios de usuarios. Para niveles de seguridad restringidos y de autorización propia, se aplican las reglas de Gestión de privilegios de usuarios. Ajuste un valor de 1 para habilita este ajuste. |
Temas relacionados
Acerca del control del navegador
Control del ejecutable de las opciones de configuración
Gestión de privilegios de los ajustes de configuración