Configuración del agente: Control de aplicaciones

Herramientas > Seguridad y cumplimiento > Configuración del agente > Seguridad > Seguridad Endpoint > Control de aplicaciones

Utilice este cuadro de diálogo para crear y modificar las configuraciones de control de aplicaciones de Endpoint security (EPS) (archivo de configuración). Cuando se crean configuraciones de EPS, primero se definen los requisitos y las acciones generales y luego se agregan las certificaciones de archivos específicas. Puede crear tantas configuraciones de EPS como desee y modificarlas en cualquier momento.

Si desea modificar la configuración predeterminada de EPS del dispositivo sin volver a instalar el agente de EPS o volver a implementar una configuración completa del agente, realice los cambios deseados en cualquiera de las opciones del cuadro de diálogo de Configuración de EPS, asigne la nueva configuración a una tarea de cambio de configuración y luego impleméntela en los dispositivos de destino.

Este cuadro de diálogo contiene las siguientes páginas:

• Acerca de la página Protección de aplicaciones
• Acerca de la Protección de aplicaciones: página de reglas de protección de archivos
• Acerca de la Protección de aplicaciones: Avanzado y listas blancas: página Avanzado

Acerca de la página Configuración general

Utilice esta página para asignar un nombre al ajuste de Control de aplicaciones. Seleccione Establecer como predeterminado si es lo que desea.

Acerca de la página Protección de aplicaciones

Utilice esta página para configurar las opciones de protección general y las acciones de EPS.

• Habilitar la protección del comportamiento de aplicaciones: Activa la protección EPS , que permite que todos los programas se ejecuten (excepto cuando la operación de un programa amenaza la seguridad del sistema) de acuerdo con lo definido por las reglas de protección predefinidas. Puede conceder derechos especiales a los archivos de programa a través de listas de archivos de confianza mediante la configuración de las certificaciones de archivo personalizadas. La protección EPS observa el comportamiento de la aplicación (si la aplicación puede modificar otro ejecutable, modificar el Registro y así sucesivamente) y hace cumplir las normas de seguridad.
  • Evitar el cifrado del registro de arranque maestro (MBR, por sus siglas en inglés): bloquea el acceso al registro de arranque maestro (MBR), lo que ayuda a proteger a los clientes de ransomware que cifra el MBR.
  • Autodetectar y poner en la lista negra los crypto-ransomware: el agente de EPS buscará procesos de cifrado y, si los detecta, el EPS detendrá los procesos, intentará eliminarlo del inicio y lo agregará al lista de denegación. EPS detectará los procesos de cifrado lo antes posible, pero es posible que algunos archivos se cifren antes de poder matar el proceso. Es recomendable utilizar las reglas de protección de archivos para proteger los archivos y que no sean cifrados por ransomware.
    

Acerca de la Protección de aplicaciones: página de reglas de protección de archivos

Utilice esta página para ver, administrar y dar prioridad a las reglas de protección de archivos. Las reglas de protección de archivos son un conjunto de restricciones que evita que los programas ejecutables especificados realicen ciertas acciones en los archivos especificados. Con las reglas de protección de archivos, puede permitir o denegar el acceso, la modificación, la creación y la ejecución de cualquier programa o archivo.

Por defecto, estas reglas se habilitan:

• Proteger archivos de Word, PowerPoint y Excel del cifrado por parte de un ransomware: cuando se habilita, Endpoint Security solo permitirá que los procesos de Word, PowerPoint y Excel modifiquen archivos de Word, PowerPoint y Excel (los usuarios aun podrán copiar/pegar esos archivos). Si se ejecuta un ransomware en un punto terminal, no podrá cifrar estos tipos de archivos. En caso de ataque de ransomware, un administrador podrá controla remotamente el dispositivo infectado y copiar los documentos sin tocar en un lugar seguro, asegurando así una recuperación más rápida, porque el usuario final recibirá la última versión de los archivos sin necesidad de recuperarlos de una copia de seguridad antigua.
• Evitar la ejecución de secuencias desde Word, PowerPoint o Excel: un método común para infectar un punto terminal es convencer al usuario final para que ejecute una macro dentro de un documento de Word o Excel. En la mayoría de casos, ejecutará una secuencia de PowerShell u otra que descargar malware al dispositivo. Después de habilitar esta función, Endpoint Security evitará que las macros inicien PowerShell, Visual Basic y otras secuencias. Como consecuencia, si un usuario ejecuta una macro que inicia una secuencia, ésta no se ejecutará y el malware tampoco la podrá ejecutar. La macro seguirá funcionando.

Estas opciones adicionales están disponibles en esta página:

• Reglas de protección: muestra todas las reglas de protección de archivos predefinidas (predeterminadas) que proporciona Ivanti, así como todas las reglas de protección de archivos que se han creado.
  • Nombre de la regla: identifica la regla de protección de archivos.
  • Restricciones: visualiza las acciones específicas de los programas en los archivos restringidos por la regla de protección de archivos.
  • Programas: muestra los programas ejecutables protegidos por la regla de protección.
• Subir \ Bajar: Determina la prioridad de la regla de protección de archivos superior en la lista precede a la regla que está debajo en la lista. Por ejemplo, podría crear una regla que restrinja que un programa tenga acceso o modifique cierto archivo o tipo de archivo, pero luego crear otra regla que permita una excepción a dicha restricción a uno o más de los programas designados. Siempre y cuando la segunda regla permanezca más arriba en la lista de reglas, ésta tendrá efecto.
• Restablecer: restaura las reglas de protección de archivos predefinidas (predeterminadas) que proporciona Ivanti.
• Agregar: abre el cuadro de diálogo Configurar regla de protección de archivos en el que puede agregar o quitar programas y archivos, y especificar las restricciones.
• Editar: abre cuadro de diálogo Configurar regla de protección de archivos en el que puede modificar una regla de protección de archivos existente.
• Eliminar: elimina la regla de protección de archivos de la base de datos principal.

Acerca de la Protección de aplicaciones: Avanzado y listas blancas: página Avanzado

Use esta página para configurar el modo de operación de la protección EPS.

• Modo de comportamiento de la aplicación: especifica el comportamiento de protección cuando se habilita la protección EPS. Seleccione uno de los métodos de operación siguientes:
  • Bloqueo: se bloquean las violaciones a la seguridad Y se registran en un archivo histórico de acciones en el servidor central.
  • Aprendizaje: Todas las violaciones a la seguridad de las aplicaciones se permiten, pero se observa (o aprende) el comportamiento de las aplicaciones y se envía esta información de regreso a la base de datos central en una Lista de archivos de confianza. Utilice este modo para descubrir el comportamiento de aplicaciones en un dispositivo o conjunto de dispositivos específicos, y luego utilice esa información para personalizar las políticas de EPS antes de implementarlas y aplicar la protección de EPS en toda la red.
  • Sólo registro: se permiten las violaciones a la seguridad Y se registran en un archivo histórico de acciones en el servidor central.
  • Silencio: se bloquean las violaciones a la seguridad, Y NO se registran en un archivo histórico de acciones en el servidor central.

Acerca de la página Listas blancas

• Habilitar protección de lista blanca: cuando se selecciona, solo se pueden ejecutar y aprender las aplicaciones de una Lista de archivos de confianza y con la opción de Permitir ejecución habilitada.
• Evitar que Windows Explorer modifique o elimine archivos ejecutables: Active esta opción si no desea que Windows pueda modificar o eliminar los archivos ejecutables.
• Tratar los archivos con "buena reputación" como si estuvieran en la lista de archivos de confianza asociados: cuando se selecciona, automáticamente se confía en los archivos que estén en la base de datos alojada en Ivanti de archivos de confianza conocidos. Para obtener más información, consulte Uso de la reputación de archivos para restringir aplicaciones.
• Tratar los archivos con "mala reputación" como si estuvieran en la lista negra: rechaza el acceso a los archivos que estén en la base de datos alojada en Ivanti de archivos maliciosos conocidos.

Acerca del cuadro de diálogo Configurar regla de protección de archivos

Utilice esta página para configurar las reglas de protección de archivos.

• Nombre de la regla: identifica la regla de protección de archivos con un nombre descriptivo.
• Programas supervisados
  • Todos los programas: especifica que todos los programas ejecutables están restringidos para realizar las acciones seleccionadas a continuación en los archivos especificados abajo.
  • Programas mencionados: especifica que sólo en los programas ejecutables en la lista se han aplicado las restricciones seleccionadas a continuación.
  • Aplicar si el proceso está en la cadena de ejecución: los programas pueden iniciar otros programas. Si el programa monitorizado está en la cadena de ejecución, aplique la regla, aunque el programa monitorizado no sea el que accede a los archivos protegidos.
  • Permitir que los archivos de confianza omitan la regla: permite que cualquiera de los programas ejecutables que pertenecen actualmente a la lista de archivos certificados omitan las restricciones asociadas a la regla de protección de archivos.
  • Agregar: le permite elegir los programas restringidos por la regla de protección de archivos. Puede utilizar nombres de archivos y comodines.
  • Editar: le permite modificar el nombre del programa.
  • Eliminar: Elimina el programa de la lista.

• Archivos protegidos
  • Cualquier archivo: especifica que todos los archivos tienen protección de los programas especificados anteriormente según sus restricciones.
  • Archivos mencionados: especifica que sólo los archivos de la lista están protegidos.
  • Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar nombres de archivos o comodines.
  • Editar: le permite modificar el nombre del archivo.
  • Eliminar: Elimina el archivo de la lista.
  • Aplicar también a subdirectorios: aplica las reglas de protección de archivos a cualquier subdirectorio de un directorio mencionado.
  • Aplicar solo a los archivos descargados de internet: solo se protegen los archivos descargados de internet de los programas monitorizados.
• Acciones restringidas en los archivos protegidos
  • Acceso de lectura: impide que los programas especificados anteriormente tengan acceso a los archivos protegidos.
  • Modificación: impide que los programas especificados anteriormente realicen cambios en los archivos protegidos.
  • Creación: impide que los programas especificados anteriormente creen los archivos.
  • Ejecución: impide que los programas especificados anteriormente ejecuten los archivos protegidos.