Elementos permitidos

En esta sección:

Acerca de los elementos permitidos

Agregar elementos permitidos a los conjuntos de reglas para dar acceso a los usuarios a elementos específicos sin darles privilegios administrativos completos. Los elementos permitidos se muestran en la lista de elementos permitidos de un conjunto de reglas seleccionado:

Archivo

Si solo se especifica un nombre de archivo, por ejemplo, myapp.exe, todas las instancias de éste se permiten, independientemente de la ubicación de la aplicación. Si el archivo se especifica con la ruta completa, por ejemplo, \\servername\sharename\myapp.exe, solo se permitirá esta instancia de la aplicación. Otras instancias de la aplicación deberán satisfacer otras reglas de Control de aplicaciones para que se permita su ejecución.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Permitido > Archivo.
    Se muestra el diálogo Agregar un archivo.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el archivo que desee agregar y haga clic en Aceptar.

    5. En caso necesario, puede seleccionar lo siguiente:

    • Sustituir variables de entornos cuando sea posible
    • Usar expresión regular
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
    Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.

Archivo denegado

Archivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe solo se ejecuta cuando -r -t 30 está en la línea de comandos. Todo lo demás que se ejecute mediante shutdown.exe se denegará.

Para configurar los argumentos de un elemento permitido o denegado correctamente, deben aparecer de la manera que lo hacen en el Explorador de procesos, por ejemplo:

Archivo: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Línea de comandos: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Se configuraría como:

Archivo: ruta absoluta o relativa de winword.exe

Argumentos: /n C:\example.docx

  1. En caso necesario, introduzca una descripción opcional del archivo para referencias futuras.
  2. Seleccione Permitir que el archivo se ejecute aunque no pertenezca a un propietario de confianza para que un usuario, que no sea un propietario de confianza, pueda acceder al archivo.

    3. Por defecto, la comprobación de propiedad de confianza está habilitada, por lo tanto, la aplicación debe superar siempre la comprobación , aunque la aplicación sea un elemento permitido, este ajuste le permite omitir ese paso. Aunque la comprobación de propiedad de confianza se puede deshabilitar completamente, no es recomendable.

  3. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  4. Para agregar metadatos al archivo, seleccione la pestaña Metadatos.
  5. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    6. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  6. Para agregar horas de acceso, seleccione la pestaña Horas de acceso.
  7. Los periodos de acceso solo se pueden asignar cuando se marca Permitir solo archivos para ejecutar a determinadas horas.
  8. Para aplicar horas de acceso, seleccione el periodo de tiempo en la columna del día necesario, puede resaltar varios huecos de hora.
  9. Haga clic con el botón derecho y seleccione Nuevo periodo permitido, el periodo quedará sombreado para indicar que está permitido.
  10. Repita los pasos 12-13 para tantos huecos y días como sea necesario.

    11. Puede configurar qué acción realizar cuando se superen las Horas de acceso en Ajustes de configuración > Control ejecutable >Tiempos de acceso

  11. Para agregar límites de aplicaciones, seleccione la pestaña Límites de aplicaciones.
  12. Seleccione Habilitar los límites de las aplicaciones
  13. Introduzca el número de instancias que un usuario puede ejecutar una aplicación durante una sesión. Por ejemplo, si el límite se ajusta a 1, y el usuario tiene una instancia de 1 ejecutándose y, a continuación, intenta ejecutar una segunda instancia, ésta no se podrá ejecutar. Nota: esto se puede aplicar por usuario, no por equipo.
  14. Haga clic en Agregar para agregar el archivo a los Ejecutables permitidos para el conjunto de reglas.
    El archivo se agrega al área de trabajo de Elementos permitidos.

Carpeta

Se puede especificar una carpeta completa, por ejemplo, \\servername\servershare\myfolder, y todas las aplicaciones de esta carpeta, y todas las subcarpetas, si fuera necesario, que tienen permitido ejecutarse. No se hacen comprobaciones en los archivos de la carpeta y, por lo tanto, los archivos que se copian a la carpeta se podrán ejecutar. Seleccione Incluir subcarpetas para incluir todos los directorios bajo el directorio especificado. Si agrega una ruta de archivo o carpeta de red, debe utilizar el nombre del UNC, puesto que el agente de Control de aplicaciones ignora todas las rutas que se configuran donde la letra de la unidad no es un disco fijo local. El usuario puede acceder a la aplicación de red a través de una letra de unidad asignada a la red, puesto que la ruta se convierte al formato UNC antes de validarla con los ajustes de configuración. Para aplicar automáticamente las variables de entorno, seleccione Sustituir variables de entorno donde se pueda en los diálogos Agregar un archivo o Agregar una carpeta. Esto hace que las rutas sean más genéricas para aplicarlas en distintos equipos. La compatibilidad con los comodines proporciona un nivel adicional de control para especificar rutas de archivo genéricas.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Permitido > Carpeta.
    Se muestra el diálogo Agregar una carpeta.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque la carpeta que desee agregar y haga clic en Aceptar.

    5. En caso necesario, puede seleccionar lo siguiente:

    • Sustituir variables de entornos cuando sea posible
    • Usar expresión regular
    • Incluir subcarpetas
  5. En caso necesario, introduzca una descripción opcional de la carpeta para referencias futuras.
  6. Seleccione Permitir que el archivo se ejecute aunque no pertenezca a un propietario de confianza para que un usuario, que no sea un propietario de confianza, pueda acceder al archivo.

    7. Por defecto, la comprobación de propiedad de confianza está habilitada, por lo tanto, la aplicación debe superar siempre la comprobación , aunque la aplicación sea un elemento permitido, este ajuste le permite omitir ese paso. Aunque la comprobación de propiedad de confianza se puede deshabilitar completamente, no es recomendable.

  7. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  8. Para agregar metadatos a la carpeta, seleccione la pestaña Metadatos.
  9. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    10. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  10. Para agregar horas de acceso, seleccione la pestaña Horas de acceso.
  11. Los periodos de acceso solo se pueden asignar cuando se marca Permitir solo archivos para ejecutar a determinadas horas.
  12. Para aplicar horas de acceso, seleccione el periodo de tiempo en la columna del día necesario, puede resaltar varios huecos de hora.
  13. Haga clic con el botón derecho y seleccione Nuevo periodo permitido, el periodo quedará sombreado para indicar que está permitido.
  14. Repita los pasos 12-13 para tantos huecos y días como sea necesario.

    15. Puede configurar qué acción realizar cuando se superen las Horas de acceso en Ajustes de configuración > Control ejecutable >Tiempos de acceso

  15. Haga clic en Agregar para agregar la carpeta a los Ejecutables permitidos para el conjunto de reglas.
    La carpeta se agrega al área de trabajo Permitido.

Unidad

Puede especificar una unidad completa, por ejemplo; W, y todas las aplicaciones de esta unidad estarán permitidas, incluidas las subcarpetas. No se hacen comprobaciones en los archivos de la unidad y, por lo tanto, los archivos que se copian en la carpeta de esta unidad se podrán ejecutar.

Le permite especificar las unidades ejecutables permitidas.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Permitido > Unidad.
    Se muestra el diálogo Agregar una unidad.
  3. Introduzca la letra de la unidad que desee permitir y una descripción.
  4. Haga clic en Agregar para agregar el elemento de la unidad a la lista de ejecutables permitidos.

Hash de archivo

Se puede agregar un archivo junto con un hash digital del archivo. Esto garantiza que solo ese archivo en concreto se podrá ejecutar, pero desde cualquier ubicación.

Le permite agregar los elementos ejecutables permitidos por un hash de archivo.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Permitido > Hash de archivo.
    Se muestra el diálogo Agregar un hash de archivo.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el hash del archivo que desee agregar y haga clic en Aceptar.
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
    Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.
  6. En caso necesario, introduzca una descripción opcional del hash de archivo para referencias futuras.
  7. El valor hash de archivo se muestra, seleccione Volver a analizar para actualizar el hash del archivo.
  8. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  9. Para agregar horas de acceso, seleccione la pestaña Horas de acceso.
  10. Los periodos de acceso solo se pueden asignar cuando se marca Permitir solo archivos para ejecutar a determinadas horas.
  11. Para aplicar horas de acceso, seleccione el periodo de tiempo en la columna del día necesario, puede resaltar varios huecos de hora.
  12. Haga clic con el botón derecho y seleccione Nuevo periodo permitido, el periodo quedará sombreado para indicar que está permitido.
  13. Repita los pasos 12-13 para tantos huecos y días como sea necesario.

    14. Puede configurar qué acción realizar cuando se superen las Horas de acceso en Ajustes de configuración > Control ejecutable >Tiempos de acceso

  14. Haga clic en Agregar para agregar el hash de archivo a los elementos de hash de archivo permitidos para el conjunto de reglas.
    El elemento del hash de archivo se agrega al área de trabajo permitido.

Colección de reglas

Puede agregar una colección de reglas a los elementos permitidos de cualquier conjunto de reglas.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Permitido > Colección de reglas.
    Se muestra el diálogo de Selección de la colección de reglas.
  3. Marque la casilla Agregar regla de las colecciones a las que desee agregar al conjunto de reglas.
  4. Una vez seleccionada la colección, puede seleccionar:
    • Permitir propietario de confianza: permite la ejecución de los archivos aunque no tengan un propietario de confianza.
    • Ignorar el filtrado de eventos: eleva todos los eventos independientemente de qué se haya ajustado en la Selección de eventos.
  5. Haga clic en Aceptar para agregar las colecciones a las Colecciones de reglas permitidas para el conjunto de reglas.
    La colección de reglas se agrega al área de trabajo Permitido.

Temas relacionados

Elementos denegados