Elementos denegados

En esta sección:

Acerca de los Elementos denegados

Agregar elementos denegados a los conjuntos de reglas para restringir el acceso a elementos específicos. Los elementos denegados se muestran en la lista de elementos denegados de una regla seleccionada ajustada.

Si utiliza la opción predeterminada, que confía en todas las aplicaciones instaladas del Propietario de confianza, solo necesita agregar aplicaciones específicas que no desee que ejecuten los usuarios. Por ejemplo, puede añadir herramientas administrativas, como herramientas de gestión y edición del registro.

No necesita utilizar esta lista para denegar las aplicaciones que no permita el administrador, porque están bloqueadas por la comprobación de la propiedad de confianza.

Control de aplicaciones la función arrastrar y soltar se puede usar para agregar archivos, carpetas, unidades y elementos de firma para Windows Explorer o copiar y mover elementos entre el nodo de Elementos permitidos y los nodos de Elementos denegados en cada uno de los nodos de configuración principales.

Archivo

Si solo se especifica un nombre de archivo, por ejemplo, myapp.exe, todas las instancias de éste se deniegan, independientemente de la ubicación de la aplicación. Si el archivo se especifica con la ruta completa, por ejemplo, \\servername\sharename\myapp.exe, solo se denegará esta instancia de la aplicación.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Denegado > Archivo.
    Se muestra el diálogo Agregar un archivo.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el archivo que desee agregar y haga clic en Aceptar.
    En caso necesario, puede seleccionar lo siguiente:
    • Sustituir variables de entornos cuando sea posible
    • Usar expresión regular
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
    Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.

Archivo denegado

Archivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe solo se ejecuta cuando -r -t 30 está en la línea de comandos. Todo lo demás que se ejecute mediante shutdown.exe se denegará.

Para configurar los argumentos de un elemento permitido o denegado correctamente, deben aparecer de la manera que lo hacen en el Explorador de procesos, por ejemplo:

Archivo: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Línea de comandos: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Se configuraría como:

Archivo: ruta absoluta o relativa de winword.exe

Argumentos: /n C:\example.docx

  1. En caso necesario, introduzca una descripción opcional del archivo para referencias futuras.
  2. Seleccione No mostrar el mensaje de acceso denegado cuando se deniegue para bloquear en silencio el archivo sin informar al usuario.
  3. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  4. Para agregar metadatos al archivo, seleccione la pestaña Metadatos.
  5. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    6. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  6. Haga clic en Agregar para agregar el archivo a los Ejecutables denegados para el conjunto de reglas.
    El archivo se agrega al área de trabajo de Elementos denegados.

Carpeta

Se puede especificar una carpeta completa, por ejemplo, \\servername\servershare\myfolder, y todas las aplicaciones de esta carpeta, y todas las subcarpetas, se denegarán. No se hacen comprobaciones en los archivos de la carpeta y, por lo tanto, se rechazarán los archivos que se copian a la carpeta.

Si agrega una ruta de archivo o carpeta de red, debe utilizar el nombre del UNC, puesto que el agente de Control de aplicaciones ignora todas las rutas que se configuran donde la letra de la unidad no es un disco fijo local. El usuario puede acceder a la aplicación de red a través de una letra de unidad asignada a la red, puesto que la ruta se convierte al formato UNC antes de validarla con los ajustes de configuración. La compatibilidad con los comodines proporciona un nivel adicional de control para especificar rutas de archivo genéricas.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Denegado > Carpeta.
    Se muestra el diálogo Agregar una carpeta.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque la carpeta que desee agregar y haga clic en Aceptar.
    En caso necesario, puede seleccionar lo siguiente:
    • Sustituir variables de entornos cuando sea posible
    • Usar expresión regular
    • Incluir subcarpetas
  5. En caso necesario, introduzca una descripción opcional de la carpeta para referencias futuras.
  6. Seleccione No mostrar el mensaje de acceso denegado cuando se deniegue para bloquear en silencio la carpeta sin informar al usuario.
  7. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  8. Para agregar metadatos a la carpeta, seleccione la pestaña Metadatos.
  9. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    10. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  10. Haga clic en Agregar para agregar la carpeta a los Ejecutables denegados para el conjunto de reglas.
    La carpeta se agrega al área de trabajo Denegado.

Unidad

Puede especificar una unidad completa, por ejemplo; W, y todas las aplicaciones de esta unidad estarán denegadas, incluidas las subcarpetas. No se hacen comprobaciones en los archivos de la unidad y, por lo tanto, los archivos que se copian en la carpeta de esta unidad no se podrán ejecutar.

Le permite especificar unidades ejecutables denegadas.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Denegado > Unidad.
    Se muestra el diálogo Agregar una unidad.
  3. Introduzca la letra de la unidad que desee denegar y una descripción.
  4. Seleccione No mostrar el mensaje de acceso denegado cuando se deniegue para bloquear en silencio la unidad sin informar al usuario.
  5. Haga clic en Agregar para agregar la unidad a la lista de ejecutables denegados.

Hash de archivo

Se puede agregar un archivo junto con un hash digital del archivo. Esto garantiza que solo ese archivo en concreto se denegará, pero desde cualquier ubicación.

Le permite agregar los elementos ejecutables denegados por un hash de archivo.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Denegado > Hash de archivo.
    Se muestra el diálogo Agregar un hash de archivo.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el hash del archivo que desee agregar y haga clic en Aceptar.
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
    Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.
  6. En caso necesario, introduzca una descripción opcional del hash de archivo para referencias futuras.
  7. El valor hash de archivo se muestra, seleccione Volver a analizar para actualizar el hash del archivo.
  8. Seleccione No mostrar el mensaje de acceso denegado cuando se deniegue para bloquear en silencio el archivo sin informar al usuario.
  9. Seleccione Ignorar el filtrado de eventos para elevar todos los eventos independientemnte de qué se haya ajustado en la Selección de eventos.
  10. Haga clic en Agregar para agregar el hash de archivo a los elementos de hash de archivo denegados para el conjunto de reglas.
    El elemento del hash de archivo se agrega al área de trabajo denegado.

Colección de reglas

Las colecciones de reglas pueden contener muchos elementos y muchas combinaciones, por ejemplo el archivo, la carpeta, la unidad, la firma y la red de una aplicación concreta. Se deniegan todos los archivos.

  1. Seleccione el nodo Control ejecutable para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Denegado > Colección de reglas.
    Se muestra el diálogo de Selección de la colección de reglas.
  3. Marque la casilla Agregar regla de las colecciones a las que desee agregar al conjunto de reglas.
  4. Una vez seleccionada la colección, puede seleccionar:
    • Denegación silenciosa: bloquea los elementos sin mostrar mensajes.
    • Ignorar el filtrado de eventos: eleva todos los eventos independientemente de qué se haya ajustado en la Selección de eventos.
  5. Haga clic en Aceptar para agregar las colecciones a las Colecciones de reglas denegadas para el conjunto de reglas.
    La colección de reglas se agrega al área de trabajo Denegado.

Temas relacionados

Elementos permitidos