Control del ejecutable de las opciones de configuración

El nodo del Control ejecutable de los ajustes de configuración contiene cinco pestañas: Propietarios de confianza, Opciones, Validación, Terminación de aplicaciones y Límites de acceso.

En esta sección:

Propietarios de confianza

Opciones

Validación

Cancelación de la aplicación

Tiempos de acceso

Propietarios de confianza

Acceda a Ajustes de configuración > Control de ejecutable > pestaña Propietarios de confianza.

  • Habilitar la conexión con la propiedad de confianza: seleccionar para habilitar la conexión con la propiedad de confianza. Seleccionado por defecto.
  • Cambiar la propiedad de un archivo cuando se reemplaza o se cambia el nombre: seleccionar para cambiar la propiedad de cualquier archivo permitido de confianza que se reemplazará con un usuario sin confianza, que no estará en la lista de Propietarios de confianza.

Cuando un usuario sin confianza cambia el nombre de un archivo denegado, en un intento de omitir una regla de elemento denegada, la propiedad se cambia al usuario sin confianza. Después de cambiar la propiedad, la comprobación de la Propiedad de confianza evita que se ejecute el archivo.

Precaución: no elimine todos los propietarios de confianza. Esto resultaría en que ninguna aplicación del sistema tendría confianza y los usuarios estándar no podrían ejecutar nada.

Cuando se selecciona la opción Cambiar la propiedad de un archivo cuando se reemplaza o se cambia el nombre, Control de aplicaciones cambia selectivamente la propiedad del archivo NTFS de los archivos ejecutables cuando se reemplazan o se cambia el nombre.

Intentos de un usuario que no es un Propietario de confianza de reemplazar un archivo permitido debido a la Propiedad de confianza o a una regla de Elemento permitido, podría constituir una amenaza de seguridad si el contenido del archivo se ha cambiado. Control de aplicaciones cambia la propiedad de un archivo reemplazado al usuario que lleva a cabo la acción, lo que hace que el archivo deje de ser de confianza y garantiza que el sistema sea seguro.

Del mismo modo, los intentos de cambiar el nombre de un archivo denegado también podría suponer una amenaza de seguridad. Control de aplicaciones también cambia la propiedad de estos archivos al usuario que realiza la acción de cambio de nombre y garantiza que el archivo sigue sin confianza.

Las acciones reemplazar y cambiar el nombre se auditan.

Agregar un propietario de confianza

  1. En la pestaña Configuración > Control ejecutable > Propietarios de confianza haga clic con el botón derecho en el área de trabajo y seleccione Agregar.
  2. Se muestra el diálogo Agregar propietarios de confianza.
  3. Introduzca o busque el nombre del usuario que vaya a agregar.
  4. Haga clic en Agregar. El usuario ahora se ha agregado a la lista junto con el SID único.

Probar propiedad de confianza

Una prueba rápida para mostrar el trabajo de la Propiedad de confianza:

  1. Introduzca una o más aplicaciones mediante una cuenta de usuario de prueba.
  2. Copie una o más aplicaciones en la unidad de inicio del usuario o en otra ubicación adecuada, como calc.exe desde la carpeta System32 o copie el archivo desde un CD.
  3. Intente ejecutar un archivo copiado. La aplicación se deniega porque los archivos pertenecen al usuario de prueba y no a un miembro de la lista de Propietarios de confianza.

Puede verificar la propiedad de un archivo viendo las Propiedades mediante Windows Explorer.

Opciones

La tabla siguiente lista todas las opciones posibles y una descripción de lo que hace cada opción:

Opción

Descripción

Permitir las unidades locales por defecto

Seleccione esta opción para hacer la lista de rechazo de la configuración de Control de aplicaciones. Todo lo que hay en la unidad local se permite, a menos que se especifique en la lista de Elementos denegados, o que no supere la propiedad de confianza. Desmarque esta opción para que la configuración sea una lista de permitir. Todo lo que hay en la unidad local está bloqueado, a menos que se especifique en la lista de Elementos permitidos.

Lo más seguro es permitir una configuración de lista. No obstante, este tipo de configuración supone tiempo y puede afectar a la estabilidad del cliente, puesto que se bloquean todas las aplicaciones sin especificar.

Permitir cmd.exe para archivos de lote

Se espera que los administradores prohíban explícitamente el archivo cmd.exe en su configuración deControl de aplicaciones. Cuando se deniega cmd.exe y se deshabilita 'Permitir cmd.exe para archivos en lote', se evaluarán los archivos en lote y se bloquean si no superan lo política de Control de aplicaciones. Si la opción no se selecciona y cmd.exe se deniega explícitamente, se bloquean todos los archivos en lote y ni siquiera se evalúan. Si se selecciona esta opción y se deniega explícitamente un cmd, cmd.exe sigue sin poder ejecutarse por sí mismo, pero los archivos en lote se evalúan con las reglas de Control de aplicaciones. Si no se deniega explícitamente cmd.exe, todos los archivos de lote se ejecutan independientemente de que se marque o no esta opción.

Ignorar restricciones durante el inicio de sesión

Durante el inicio de sesión, el equipo podría ejecutar una serie de explicaciones esenciales. Bloquearlos puede provocar que el equipo no funcione correctamente o que no funcione de ninguna manera. Por lo tanto, esta opción se selecciona por defecto.

Extraer los archivos ZIP de extracción automática

Un archivo de extracción automática es un ejecutable que contiene un archivo ZIP y un pequeño programa para extraerlo. Estos archivos a veces se usan como alternativa para instalar una aplicación con un archivo MSI. Algunos administradores prefieren que las aplicaciones solo se instalen mediante un archivo MSI.

Solo son compatibles los EXE de extracción automática formateados con especificación ZIP. Para obtener más información, consulte Especificaciones ZIP

La opción Extraer archivos ZIP autoextraíbles permite que un archivo ejecutable denegado, que es un archivo ZIP autoextraíble, sea extraído por el Extractor ZIP. Si se deshabilita esta opción (el ajuste predeterminado) el archivo está sujeto al procesamiento de reglas normal, como si fuera un archivo ejecutable. Después de extraer el contenido, el contenido ejecutable que contiene sigue estando sujeto a las comprobaciones de Propiedad de confianza normal y se evita la ejecución si el usuario no es un Propietario de confianza. Esto es útil para los casos en que el archivo ZIP de extracción automática tenga contenido no ejecutable, como un documento que necesite el usuario. Por defecto, esta opción se deshabilita, y el archivo ZIP de extracción automática se trata como un ejecutable estándar y se puede evitar su ejecución (y por tanto extraer su contenido) quedando sujeto al proceso de reglas normal.

Ignorar las restricciones durante la Configuración activa

Por defecto, todas las aplicaciones que se ejecutan durante la configuración activa están sujetas a reglas de Control de aplicaciones. Seleccione esta opción para que estas aplicaciones no se comprueben con reglas durante la fase de configuración activa.

Deniegue los archivos de los medios extraíbles

Deshabilite esta opción para eliminar las restricciones de los medios extraíbles. Los medios extraíbles son los que cualquier llamada a GetDriveType determine. Debido a la naturaleza de los medios extraíbles, la letra de la unidad puede cambiar según la configuración de un punto terminal. Por ejemplo: en un equipo, la unidad extraíble puede identificarse como E: y en otra, como F:

Rechazar archivos de redes compartidas

La configuración predeterminada para redes compartidas es una lista de permisos, lo que significa que todo lo que hay en la red compartida se rechazará a no ser que se especifique en la lista de Elementos permitidos. Desmarque esta opción para que la configuración sea una lista de rechazo, para que todo lo que hay compartido en la red se permita, a menos que no supere la comprobación de pertenencia de confianza o se especifique en una lista de Elementos rechazados.

Validación

La siguiente tabla es una lista de todas las opciones de validación con una descripción.

Opción

Descripción

Validar los procesos del sistema

Seleccione esta opción para validar los archivos que ejecute el usuario del sistema. Tenga en cuenta que no se recomienda seleccionar esta opción puesto que aumenta la cantidad de validaciones que se producen en este equipo de punto terminal y bloquea la ejecución de aplicaciones cruciales. Seleccionando esta opción, todos los ejecutables que inicie el sistema quedarán sujetos a la validación de reglas.

Validar secuencias de WSH (hosts de secuencias de Windows)

Seleccionar esta opción especifica que el contenido de scripts de la línea de comandos se ejecutó mediante wscript o cscript está sujeto a la validación de reglas.

Las secuencias pueden introducir virus y código maligno. Es recomendable validar las secuencias WSH.

Validar paquetes de MSI (instalador de Windows)

Los archivos MSI son el método de instalación estándar para las aplicaciones de Windows. Se recomienda que el usuario no pueda instalar aplicaciones MSI libremente. Seleccionando esta opción, todos los MSI quedarán sujetos a la validación de reglas. Deshabilitar esta opción significa que solo el instalador de Windows, msiexec.exe, se valida con el procesamiento de reglas de Control de aplicaciones, y no el archivo MSI que se intenta ejecutar.

Validar archivos de registro

Seleccione esta opción para habilitar la validación de reglas para regedit.exe y regini.exe. Deshabilitar esta opción significa que regedit.exe y regini.exe ya no se bloquea por defecto. Además, la secuencia .reg, el regedit.exe y regini.exe que intenta ejecutar ya no se valida mediante el proceso de reglas de Control de aplicaciones.

No se recomienda permitir que los usuarios accedan al registro o a los archivos del registro.

Validar secuencias de PowerShell

Cuando se habilita, este ajuste deniega powershell.exe y powershell_ise.exe. No obstante, si se encuentra una secuencia de PowerShell (archivo PS1) en la línea de comandos, quedará sujeto a comprobaciones de reglas completas para ver si está configurado para elevación, permitido o denegado.

Validar archivos de Java

Cuando se habilita, este ajuste deniega java.exe y javaw.exe. No obstante, si se encuentra un archivo de Java (archivo JAR) en la línea de comandos, quedará sujeto a comprobaciones de reglas completas para ver si está permitido o denegado.

Cancelación de la aplicación

La Terminación de aplicaciones le permite controlar los desencadenadores y el comportamiento para terminar aplicaciones en puntos terminales gestionados. Puede terminar las aplicaciones fácilmente, permitiendo al usuario guardar el trabajo antes de cerrar o forzar una terminación.

La Terminación de aplicaciones se deshabilita por defecto. Para habilitar la función, seleccione Habilitar la terminación de aplicaciones en la pestaña Configuración > Control ejecutable > Terminación de aplicaciones.

En los desencadenadores para terminar una aplicación se incluye lo siguiente:

  • Se aplica una nueva configuración
  • La dirección IP del equipo cambia
  • El dispositivo de conexión cambia

Cuando se activa un desencadenador, los procesos se evalúan con las reglas para determinar si es necesario terminar una aplicación. Las reglsa con niveles de seguridad de autorización automática y de Solo auditoría no se evalúan porque las reglas de autorización automática permiten la discreción del cliente sobre el control de aplicaciones y las reglas de solo auditoría no aplican el control de Control de aplicaciones.

Configurar los desencadenadores para la Terminación de aplicaciones

Opción

Descripción

Configuración aplicada

Seleccionar para terminar una aplicación de acuerdo con la configuración que se aplique

La dirección IP del equipo ha cambiado

Seleccionar para terminar una aplicación cuando la dirección IP del equipo cambie, por ejemplo, moverse entre entornos seguros e inseguros. Consultar ejemplo.

El dispositivo de conexión ha cambiado

Seleccionar para terminar una aplicación cuando el dispositivo que se conecta ha cambiado, por ejemplo, cambiar de un equipo de sobremesa a un portátil en la misma sesión.

Ejemplo: la dirección IP del equipo ha cambiado

Utilice la Terminación de aplicaciones para terminar una aplicación cuando cambie la dirección IP. Por ejemplo, cuando la dirección IP está fuera del rango de IP de la empresa.

  1. Habilite la pestaña Terminación de aplicaciones en Configuración > Control ejecutable > Terminación de aplicaciones .
  2. Seleccione la opción La dirección IP del equipo ha cambiado.
  3. Define cuál de las siguientes acciones se toman durante una terminación:
    • Mostrar un mensaje de advertencia inicial
    • Cerrar aplicación
    • Terminar aplicación

    Puede seleccionar las tres opciones y ajustar el tiempo de espera, en segundos, entre cada opción, hasta un máximo de 120 segundos.

Este paso es para ajustar el rango de direcciones IP que se permite para trabajar en la oficina.

  1. Seleccione el nodo Conjuntos de reglas en el panel de navegación.
  2. Seleccione Dispositivo y haga clic con el botón derecho para mostrar el menú de accesos directos.
  3. Seleccione Agregar un conjunto de reglas de dispositivos.
    Se crea un nodo secundario bajo el nodo Dispositivo .
  4. Haga clic en el nuevo nodo para cambiar el nombre, o márquelo y haga clic en Cambiar nombre.
  5. Introduzca un nombre fácil de recordar, por ejemplo, En la oficina.
  6. Haga clic con el botón derecho en el área de trabajo para agregar un dispositivo al conjunto de reglas. Seleccione Nombre del host o dirección IP.
  7. Se muestra el diálogo Agregar un dispositivo de cliente.
  8. Introduzca un rango de direcciones IP permitido y haga clic en Agregar.

Este paso es para ajustar el rango de direcciones IP que no se permite, por ejemplo, cuando se utiliza un VPN desde otra ubicación.

  1. Siga los pasos para crear un nuevo Conjunto de reglas de dispositivos, como hizo en el paso 2.
  2. Introduzca un nombre fácil de recordar, por ejemplo, Fuera de la oficina.
  3. Haga clic con el botón derecho en el área de trabajo y seleccione Agregar dispositivo de cliente.
  4. Se muestra el diálogo Agregar un dispositivo de cliente.

    Haga una de las siguientes acciones:

    • Introduzca un rango de direcciones IP no permitido.
    • Introduzca *.*.*.* para que se supongan todas las otras direcciones IP.
  5. Haga clic en Agregar.

Haga clic en Guardar la configuración.

Configure las acciones que se llevan a cabo al terminar la aplicación

Opción

Descripción

Mostrar un mensaje de advertencia inicial

Muestra un mensaje de advertencia inicial para informar al usuario de que la aplicación denegada se cerrará y de que debe guardar el trabajo. La hora de cerrar se puede especificar mediante la opción Segundos a esperar para... . Utilícela junto con las opciones Cerrar la aplicación y Terminar la aplicación. Si no se usa junto con estas opciones, se muestra un mensaje y la aplicación denegada no se cierra.

Cerrar la aplicación

Cierra la aplicación después del mensaje inicial, lo que da tiempo para que el usuario guarde su trabajo.

Terminar la aplicación

Termina la aplicación denegada sin enviar al usuario un mensaje de advertencia.

Segundos que hay que esperar entre cada acción

Especifica el periodo, en segundos, entre acciones, y también el tiempo entre el cierre y la terminación. El periodo máximo es 120 segundos.

Tiempos de acceso

Si una aplicación ha superado los tiempos de acceso permitidos, puede especificar qué acción llevar a cabo. Por ejemplo, también puede especificar si el usuario puede guardar su trabajo antes de cerrar la aplicación o solo cerrar la aplicación cuando reciba la advertencia:

Mostrar un mensaje de advertencia inicial: seleccionar para mostrar un mensaje de advertencia inicial al usuario cuando una aplicación supere los límites de tiempo de acceso. Normalmente, esto da al usuario tiempo para guardar su trabajo y cerrar la aplicación. Usar junto con las opciones Cerrar la aplicación y Terminar la aplicación. Si no usa esto junto con estas opciones, se muestra solo un mensaje y la aplicación no se cierra.

Cerrar la aplicación: seleccionar para enviar un mensaje de cierre a la aplicación. Cuando la mayoría de aplicaciones recibe un mensaje de cierre, automáticamente dan al usuario la posibilidad de guardar su trabajo. Seleccionar junto con la opción Mostrar un mensaje de advertencia inicial.

Terminar la aplicación: terminar la aplicación sin permitir que el usuario guarde su trabajo. Normalmente, esto se usa después de que la aplicación haya enviado un mensaje de cierre pero no se haya podido terminar. Elija seleccionar Mostrar un mensaje de advertencia inicial o no hacerlo, la aplicación se terminará independientemente de su elección.

Segundos que hay que esperar entre cada acción: especifique el número de segundos que habrá que esperar entre cada una de las opciones de terminación seleccionada. Por ejemplo, si el usuario selecciona las tres opciones de terminación y luego selecciona 20 segundos, se mostrará el mensaje de advertencia, y 20 segundos después se mostrará el mensaje de cierre y, para terminar, la aplicación se terminará después de otros 20 segundos. Por defecto, está ajustado a 60 segundos.

Los tiempos de acceso se pueden especificar para Elementos permitidos de Archivo, Carpeta y Hash de archivo.

Temas relacionados

Acerca del control ejecutable

Opciones de configuración del control de aplicaciones

Colecciones de reglas

Conjuntos de reglas

Elementos permitidos