Administración de privilegios de conjuntos de reglas

En esta sección:

Aplicaciones

Para deshabilitar un elemento, seleccione el elemento, haga clic con el botón derecho y seleccione Cambiar estado. Esto alterna entre deshabilitar y habilitar. Esto puede ser útil cuando necesite solucionar problemas con el equipo de soporte.

  1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Aplicación > Archivo.
    Se muestra el diálogo Agregar un archivo para Administración de privilegios.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el archivo que desee agregar y haga clic en Aceptar.

    5. En caso necesario, puede seleccionar lo siguiente:

      • Sustituir variables de entornos cuando sea posible
      • Usar expresión regular
      • Convierta un archivo en Elemento permitido. Si se selecciona, también puede seleccionar permitir que el archivo se ejecute aunque no sea propiedad de un propietario de confianza.
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
  6. Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.

Archivo denegado

Archivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe solo se ejecuta cuando -r -t 30 está en la línea de comandos. Todo lo demás que se ejecute mediante shutdown.exe se denegará.

Para configurar los argumentos de un elemento permitido o denegado correctamente, deben aparecer de la manera que lo hacen en el Explorador de procesos, por ejemplo:

Archivo: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Línea de comandos: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Se configuraría como:

Archivo: ruta absoluta o relativa de winword.exe

Argumentos: /n C:\example.docx

  1. Para aplicar una política, seleccione la política en el desplegable de la sección Política.
  2. Puede seleccionar las opciones siguientes para la política:
    • Aplicar a procesos secundarios
    • Aplicar a diálogos comunes
    • Instalar como propietario de confianza
  3. En caso necesario, introduzca una descripción opcional del archivo para referencias futuras.
  4. Para agregar metadatos al archivo, seleccione la pestaña Metadatos:
  5. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    6. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  6. Haga clic en Agregar para agregar el archivo al conjunto de reglas.
    El elemento del archivo se agrega a la vista Aplicaciones del área de trabajo Administración de privilegios.
  1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Aplicación > Carpeta.
    Se muestra el diálogo Agregar una carpeta para Administración de privilegios de usuarios.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque la carpeta que desee agregar y haga clic en Aceptar.

    5. En caso necesario, puede seleccionar lo siguiente:

    • Sustituir variables de entornos cuando sea posible
    • Incluir subcarpetas
    • Usar expresión regular
    • Convierta la carpeta en elemento permitido. Si lo selecciona, también puede seleccionar permitir que los archivos se ejecuten aunque no tengan una propiedad de confianza.
  5. Para aplicar una política, seleccione la política en el desplegable de la sección Política.
  6. Puede seleccionar las opciones siguientes para la política:
    • Aplicar a procesos secundarios
    • Aplicar a diálogos comunes
    • Instalar como propietario de confianza
  7. En caso necesario, introduzca una descripción opcional de la carpeta para referencias futuras.
  8. Para agregar metadatos a la carpeta, seleccione la pestaña Metadatos.
  9. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

    10. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

    Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

    Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

    Para más información, consulte Verificar opciones.

  10. Haga clic en Agregar para agregar la carpeta al conjunto de reglas.
    El elemento de carpeta se agrega a la vista Aplicación del área de trabajo Administración de privilegios.

Le permite especificar un nuevo hash de archivo al que se aplicará la política seleccionada. Para obtener información detallada sobre cómo agregar un hash de archivo.

  1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
  2. Haga clic con el botón derecho sobre Aplicación > Hash de archivo.
    Se muestra el diálogo Agregar un hash de archivo para Administración de privilegios de usuarios.
  3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
  4. En el diálogo Abrir, busque el hash del archivo que desee agregar y haga clic en Aceptar.
    • Convierta el hash de archivo en un elemento permitido. Seleccione agregar el hash de archivo a la lista de Elementos permitidos.
  5. Introducir argumentos de la línea de comando opcionales en el cuadro de texto Argumentos. Introducir todos los argumentos a medida que aparezcan en el Explorador de procesos.
  6. Los argumentos de línea de comandos amplían los criterios de coincidencia más allá de lo que se introduce en el campo Archivo. Si se agrega un argumento, tanto el archivo como el argumento se debe satisfacer para que se de una coincidencia. Se puede agregar cualquier argumento que aparezca en la línea de comandos para un proceso, como etiquetas, interruptores, archivos y cuadrículas.
  7. Para aplicar una política, seleccione la política en el desplegable de la sección Política.
  8. Puede seleccionar las opciones siguientes para la política:
    • Aplicar a procesos secundarios
    • Aplicar a diálogos comunes
    • Instalar como propietario de confianza
  9. En caso necesario, introduzca una descripción opcional del hash de archivo para referencias futuras.
  10. El valor hash de archivo se muestra, seleccione Volver a analizar para actualizar el hash del archivo.
  11. Haga clic en Agregar para agregar el hash de archivo al conjunto de reglas.
    El elemento del hash de archivo se agrega a la vista Aplicaciones del área de trabajo Administración de privilegios.
  1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
  2. Haga clic con el botón derecho y seleccione Aplicación > Colección de reglas.
    Se muestra el diálogo de Selección de la colección de reglas.
  3. Marque la casilla Agregar regla de las colecciones a las que desee agregar al conjunto de reglas.
  4. Después de seleccionar una colección, puede especificar los ajustes siguientes:
    • Hacer Permitido: seleccione para hacer que una colección de reglas sea un elemento permitido.
    • Permitir propietario sin confianza: si se selecciona Hacer permitido, puede seleccionar permitir ejecutar los archivos aunque no tengan una propiedad de confianza.
    • Aplicar a procesos secundarios: seleccione para aplicar los ajustes a todos los procesos secundarios.
    • Aplicar a diálogos comunes: seleccione para aplicar los ajustes a diálogos comunes.
    • Instalar como propietario de confianza: seleccione para instalar como propietario de confianza.
  5. Haga clic en Aceptar para agregar las colecciones a la vista Aplicaciones en el área de trabajo Administración de privilegios.

Componentes

Agregar componente Muestra el diálogo Seleccionar componentes.

Filtrar la vista por sistema operativo compatible y seleccionar el nombre del panel de control y los componentes de complemento de administración que desee agregar a la regla.

Autoelevación

Habilitar la autoelevación: seleccionar para habilitar la autoelevación y aplicar los ajustes requeridos:

  • Aplicar solo la autoelevación a elementos de la lista siguiente
  • Aplicar la autoelevación a todos los elementos de la lista siguiente

Opciones: muestra el diálogo Opciones de autoelevación.

Opciones de autoelevación

Opción Descripción
Hacer elementos permitidos Haga los elementos de regla permitidos y reemplace los elementos permitidos asociados.
Permitir que se ejecuten los elementos aunque no tengan un propietario de confianza

  • Esta opción está disponible cuando se selecciona Hacer elementos permitidos. Cuando se selecciona, todos los elementos de regla se ejecutan independientemente del propietario.

    		•
    Aplicar a procesos secundarios Por defecto, la Política de autoelevación que se aplica a los elementos de regla no son heredados por los procesos secundarios. Seleccione esta opción para aplicar la política a los hijos directos del proceso principal.
    Aplicar a diálogos comunes Eleve el acceso para Abrir el archivo y Guarde las opciones de menú de las ventanas de archivos cuando se haya elevado un archivo o una carpeta. Por defecto, los diálogos comunes no se elevan.
    Instalar como propietario de confianza Haga que el administrador local sea el propietario de todos los archivos creados por la aplicación definida. Esta opción no está aplicada a las aplicaciones regulares, solo los paquetes de instalador.
    Ocultar las opciones de Windows "Ejecutar como administrador" para elementos autoelevados. Ocultar la opción Ejecutar como administrador desde el menú de accesos directos de Windows.
    1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
    2. Haga clic con el botón derecho y seleccione Autoelevación > Archivo.
      Se muestra el diálogo Agregar un archivo para autoelevación.
    3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
    4. En el diálogo Abrir, busque el archivo que desee agregar y haga clic en Aceptar.

      5. En caso necesario, puede seleccionar lo siguiente:

      • Sustituir variables de entornos cuando sea posible
      • Usar expresión regular
    5. En caso necesario, introduzca una descripción opcional de la carpeta para referencias futuras.
    6. Seleccione la pestaña Metadatos.
    7. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

      8. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

      Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

      Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

      Para más información, consulte Verificar opciones.

    8. Haga clic en Agregar para agregar el archivo al conjunto de reglas.
      El elemento del archivo se agrega a la vista Autoelevación del área de trabajo Administración de privilegios.
    1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
    2. Haga clic con el botón derecho y seleccione Autoelevación > Carpeta.
      Se muestra el diálogo Agregar una carpeta para autoelevación.
    3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
    4. En el diálogo Abrir, busque la carpeta que desee agregar y haga clic en Aceptar.

      5. En caso necesario, puede seleccionar lo siguiente:

      • Sustituir variables de entornos cuando sea posible
      • Usar expresión regular
      • Incluir subcarpetas
    5. En caso necesario, introduzca una descripción opcional de la carpeta para referencias futuras.
    6. Seleccione la pestaña Metadatos.
    7. Para completar automáticamente los campos, seleccione Rellenar metadatos desde archivo.

      8. Los campos siguientes se pueden rellenar: Nombre del producto, Proveedor, Nombre de empresa, Descripción del archivo, Versión del archivo y Versión del producto.

      Puede refinar todos los datos. Seleccione la casilla necesaria y edite los campos.

      Si se habilitan los metadatos del Proveedor se, una opción más se habilita: Verificar el certificado durante el tiempo de ejecución. Cuando se habilita esta opción, el agente verifica el certificado mientras está haciendo coincidir el archivo. Haga clic en Verificar opciones para acceder a más conjuntos de criterios, usados durante las coincidencias de archivos.

      Para más información, consulte Verificar opciones.

    8. Haga clic en Agregar para agregar la carpeta al conjunto de reglas.
      El elemento de la carpeta se agrega a la vista Autoelevación del área de trabajo Administración de privilegios.
    1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
    2. Haga clic con el botón derecho y seleccione Autoelevación > Archivo de hash.
      Se muestra el diálogo Agregar un archivo de hash para autoelevación.
    3. En la pestaña Propiedades, haga clic en los puntos suspensivos (...) del cuadro de texto:
    4. En el diálogo Abrir, busque el hash del archivo que desee agregar y haga clic en Aceptar.
    5. En caso necesario, introduzca una descripción opcional del hash de archivo para referencias futuras.
    6. El valor hash de archivo se muestra, seleccione Volver a analizar para actualizar el hash del archivo.
    7. Haga clic en Agregar para agregar el hash de archivo al conjunto de reglas.
      El elemento del archivo de hash se agrega a la vista Autoelevación del área de trabajo Administración de privilegios.
    1. Seleccione el nodo Administración de privilegios para un conjunto de reglas.
    2. Haga clic con el botón derecho y seleccione Autoelevación > Colección de reglas.
      Se muestra el diálogo Selección de colección de reglas. Se listan todas las colecciones de reglas de administración de privilegios.
    3. Marque la casilla Agregar regla de las colecciones a las que desee agregar al conjunto de reglas.
    4. Haga clic en Aceptar para agregar las colecciones a la vista Aplicaciones en el área de trabajo Administración de privilegios.

    Controles del sistema

    Use los Controles del sistema para controlar la capacidad de realizar las acciones siguientes. Los controles se pueden aplicar para elevar o restringir el acceso al elemento especificado.

    • Desinstalar elemento de control: use esta opción para permitir o restringir la desinstalación de las aplicaciones instaladas cuando coincide una condición de regla. Desinstalar elementos de control se configura definiendo las aplicaciones que se controlan. Se pueden aplicar más validaciones para dirigirse a un fabricante con nombre y a versiones de aplicaciones específicas. Para permitir o restringir todas las aplicaciones de un fabricante, introduzca * en el campo Aplicación combinado con el nombre del fabricante.
    • Elemento de control de servicio: use esta opción para seleccionar qué servicios se pueden modificar, detener, iniciar y reiniciar cuando coinciden condiciones de reglas.

      • El Servicio del agente es el único servicio que no se puede reiniciar cuando se detiene.

      Los Elementos de control de servicio se configuran especificando el nombre en pantalla o el nombre interno. El nombre en pantalla del servicio puede diferir entre los Sistemas operativos localizados, mientras que el nombre interno será el mismo. Por tanto, si esta configuración se va a usar en diferentes ubicaciones, se recomienda usar solo el nombre interno.

    • Elemento de control de registro de eventos: use esta opción para seleccionar qué registros de eventos se pueden o no borrar cuando las Condiciones de reglas han coincidido. Los elementos de control de registro de eventos se configuran seleccionando el nombre del registro o de los registros que se van a controlar.
    • Elemento de control de la terminación de procesos: use esta opción para evitar que los usuarios, incluso los administradores, puedan detener los procesos, como software antivirus. Los usuarios pueden detener procesos, por ejemplo, haciendo clic en cerrar la IU de una aplicación, pero no pueden forzar la terminaci´n de un proceso, como terminar una tarea desde la pestaña Detalles del Administrador de tareas. Se puede especificar un archivo individual o dirigirse a todos los procesos de una carpeta concreta.

      • Como alternativa, agregue Metadatos para incluir criterios adicionales para hacer coincidir archivos y carpetas.

    Temas relacionados

    Gestión de privilegios

    Gestión de privilegios de los ajustes de configuración