Uso de la reputación de archivos para restringir aplicaciones

En la seguridad y el cumplimiento de normativas, la función de reputación de archivos ayuda a garantizar que los archivos del sistema de archivos de los dispositivos no sean software malintencionado y que no se hayan manipulado. Si bien la protección por control del comportamiento de las aplicaciones puede ayudar a proteger los dispositivos administrados, pueden producirse falsos positivos en las aplicaciones legítimas en función de lo que estas hagan. La reputación de archivos da la opción de crear perfiles individuales de control del comportamiento de las aplicaciones para archivos con buena reputación conocida que omitan este control.

De forma predeterminada, la reputación de archivos está deshabilitada. Si habilita esta función, la información anónima de la reputación de los archivos de los dispositivos administrados se enviará de forma segura al servidor de reputación de archivos en la nube de Ivanti, lo que mejora la precisión y la cobertura de la reputación de archivos para todos los usuarios de esta función.

Si habilita la reputación de archivos, cada vez que el dispositivo ejecute una aplicación, el agente comprobará la base de datos local para ver si los archivos de aplicación coinciden con los hash buenos conocidos. Si no hay coincidencias, el agente envía al servidor principal una solicitud con datos acerca de esos archivos. El servidor principal comprueba su base de datos para ver si hay información sobre la reputación de esos archivos. Si no hay, el servidor principal envía una solicitud al servidor de reputación de archivos en la nube de Ivanti. Si los hash del archivo coinciden con los resultados de este servidor, este devuelve la información sobre la reputación de los archivos al servidor principal y al cliente.

El sistema de reputación de archivos utiliza la base de datos de información sobre archivos de Ivanti alojada en la nube de que contiene los hash de nombres, tamaños, metadatos y SHA-1. La base de datos de reputación de archivos está poblada, mayormente, con datos de la National Software Reference Library (NSRL). Para obtener más información, visite su sitio web: http://www.nsrl.nist.gov/new.html.

Los archivos pueden tener una de estas tres reputaciones:

Buena: el archivo coincide con una entrada de la base de datos de la NSRL o Ivanti ha reunido suficiente información para pensar que el archivo es seguro.

Mala: el archivo no coincide con ninguna entrada de la base de datos de la NSRL o Ivanti ha reunido suficiente información para pensar que el archivo no es seguro.

Sin determinar: no hay coincidencias con el archivo o no hay suficientes coincidencias para decidir si su reputación es buena o mala.

Entre otros factores, el algoritmo de reputación del archivo considera la frecuencia con que se producen archivos equivalentes, la antigüedad de la equivalencia, quién diseñó esos archivos y la frecuencia con que esas situaciones se permiten o se bloquean en Endpoint Manager.

Para utilizar el seguimiento de la reputación de archivos en los dispositivos administrados, es necesario dar los siguientes pasos.

1.Descargar las actualizaciones de Ivanti para la reputación de archivos

2.Cree una configuración de agente de control de aplicaciones que utilice la reputación de archivos.

-O-

Incluir las definiciones de reputación como parte de la lista de archivos de la aplicación

3.Desplegar los ajustes en los dispositivos administrados

CerradoPara descargar las actualizaciones de Ivanti para la reputación de archivos

1.Haga clic en Herramientas > Seguridad y cumplimiento > Parches y cumplimiento.

2.Haga clic en el botón Descargar actualizaciones de la barra de herramientas.

3.En la lista Tipos de definiciones, haga clic en Actualizaciones de la reputación de archivos de Ivanti.

4.En el cuadro de diálogo de confirmación, lea las condiciones de uso de la reputación de archivos. Si está de acuerdo, haga clic en Acepto. Si hace clic en No acepto, la casilla de verificación Actualizaciones de la reputación de archivos de Ivanti se desactivará.

5.Haga clic en el botón Descargar ahora o Aplicar.

CerradoPara utilizar la reputación de archivos con Control de aplicaciones

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Endpoint Security, haga clic con el botón derecho en Control de aplicaciones, y haga clic en Nuevo o haga doble clic en una configuración existente.

3.En la página Ajustes generales, seleccione Tratar archivos con buena reputación como si estuvieran en la lista de archivos de confianza asociada.

4.Haga clic en el botón Comportamiento de aplicación con buena reputación.

5.Configure el comportamiento de Control de aplicaciones y del firewall de Ivanti que desee utilizar para los archivos con buena reputación.

6.Haga clic en Aceptar y en Guardar.

CerradoPara utilizar la reputación de archivos con una lista de archivos de aplicaciones

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Seguridad > Endpoint Security, haga clic con el botón derecho en Lista de archivos de aplicaciones, y haga clic en Nuevo o haga doble clic en una lista existente.

3.Active las opciones de la parte superior del cuadro de diálogo para que Incluyan automáticamente los archivos de "buena reputación" cuando envíe la lista a los clientes o Incluir automáticamente los archivos de "mala reputación" cuando envíe la lista a los clientes.

4.Si incluye los archivos de buena reputación, haga clic en el botón de comportamiento de la aplicación permitida para configurar el Control de aplicaciones y los comportamientos de Ivanti firewall que desee para los archivos con buena reputación.

5.Haga clic en Aceptar.

CerradoPara agregar archivos a una lista de archivos de aplicaciones

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.Haga clic en el botón de la barra de herramientas Configurar valores y a continuación, haga clic en Reputaciones de archivos.

3.Haga doble clic sobre la lista de archivos de aplicaciones que desee modificar o cree una nueva.

4.En la barra de herramientas Lista de archivos de aplicaciones haga clic en y en Agregar archivo buscándolo o Agregar archivo bloqueado introduciendo un nombre.

5.Según la opción que escoja, busque el archivo que desee y haga clic en Guardar o introduzca los detalles del archivo manualmente y haga clic en Aceptar.

CerradoPara desplegar la configuración del agente de reputación de archivos en los dispositivos administrados

1.En la ventana Configuración de agentes, haga clic en el botón de la barra de herramientas Crear tarea y a continuación, haga clic en Cambiar configuración.

2.Seleccione una tarea programada o una política de acuerdo con sus preferencias para el tipo de tarea de cambio de configuración.

3.En la lista de configuraciones al lado de Seguridad de terminales, seleccione la configuración de seguridad de terminales que utiliza la configuración de control de aplicaciones que ha guardado.

4.Haga clic en Aceptar y termine de configurar la tarea en la ventana Tareas programadas.

CerradoPara reemplazar las reputaciones de archivos existentes

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.Haga clic en el botón de la barra de herramientas Configurar valores y a continuación, haga clic en Reputaciones de archivos. Para ordenar la lista de archivos, utilice las casillas de la parte superior de la página y haga clic en Aplicar filtro.

3.Seleccione los archivos cuya reputación desee modificar y haga clic en el botón Reemplazar reputación.

4.Asegúrese de que Configuración de reemplazo de la reputación de Ivanti está marcado y seleccione la Reputación deseada.

5.Haga clic en Aceptar.

CerradoPara importar desde otras listas de archivos de aplicaciones

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Seguridad > Endpoint Security, haga clic con el botón derecho en Lista de archivos de aplicaciones, y haga clic en Nuevo o haga doble clic en una lista existente.

3.En la barra de herramientas Lista de archivos de aplicaciones, haga clic en y en Importar desde otras listas de archivos de aplicaciones.

4.Aplique los filtros, en caso necesario, y seleccione los archivos que desee importar. Haga clic en Siguiente.

5.Configure los comportamientos de aplicación que desee para los archivos seleccionados y haga clic en Aceptar.

6.Haga clic en Aceptar para guardar los cambios de la lista de archivos de aplicaciones.

CerradoPara importar las listas de archivos de un archivo .csv

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Seguridad > Endpoint Security, haga clic con el botón derecho en Lista de archivos de aplicaciones, y haga clic en Nuevo o haga doble clic en una lista existente.

3.En la barra de herramientas Lista de archivos de aplicaciones, haga clic en y en Importar desde archivo .csv

4.Busque el archivo .csv que contenga la información de la lista de archivos de aplicaciones y haga clic en Abrir.

5.Configure los archivo importados, en caso necesario, y clic en Aceptar.

El formato del archivo .csv es el siguiente:

"Nombre de archivo", "Tamaño de archivo", "Versión", "Nombre del fabricante", "Nombre del producto", "Comando base64 Hash MD5", "Comando SHA1", "Comando SHA256", "Permisos"

Aquí hay un ejemplo de entrada CSV:

"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"

Las secuencias de permiso permitidas son las siguientes:

  • AuthorizedInstaller: permitir que el archivo se instale
  • AllowExecution: permitir que el archivo se ejecute
  • BypassBufferOverflow: desviar la protección de desbordamiento
  • ModifyProtRegKeys: modificar claves protegidas de registro
  • ProtAppInMem: proteger aplicación en memoria
  • ModifyExeFiles: modificar archivos ejecutables
  • ModifyProtFiles: modificar archivos protegidos
  • BypassAllProtection: omitir toda protección
  • AddToSysStartup: agregar al inicio del sistema
  • InheritToChildProc: los derechos se pueden heredar en procesos secundarios
  • AllowSmtpOut: permitir enviar archivos por correo electrónico
  • AllowNetConnect: permitir que la aplicación se conecte fuera del ámbito de confianza (internet)
  • AllowNetListen: permitir que la aplicación reciba la conexión dentro del ámbito de confianza (internet)
  • AllowTrustedNetConnect: permitir que la aplicación se conecte dentro del ámbito de confianza
  • AllowTrustedNetListen: permitir que la aplicación reciba la conexión dentro del ámbito de confianza
CerradoPara importar las listas de archivos desde dispositivos de confianza

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Seguridad > Endpoint Security, haga clic con el botón derecho en Lista de archivos de aplicaciones, y haga clic en Nuevo o haga doble clic en una lista existente.

3.En la barra de herramientas Lista de archivos de aplicaciones, haga clic en y en Importar desde dispositivos de confianza.

4.Seleccione los dispositivos que quiera y haga clic en Importar archivos desde dispositivos específicos.

5.Si desea llevar a cabo un rastreo exhaustivo de archivos .exe desde esos dispositivos, haga clic en .

6.Configure los archivo importados, en caso necesario, y clic en Aceptar.

CerradoPara combinar listas de archivos de aplicaciones

1.Haga clic en Herramientas > Seguridad y cumplimiento > Configuración de agentes.

2.En el árbol, en Configuración de agentes > Configuración de mi agente > Seguridad > Endpoint Security, haga clic con el botón derecho en Lista de archivos de aplicaciones, y haga clic en Combinar archivos de aplicaciones.

3.Seleccione la lista de archivos de aplicaciones que desee como Lista de origen.

4.Seleccione si desea combinar las diferencias o reemplazar los archivos de las aplicaciones.

5.Seleccione la lista de destinos para la operación de combinación.

6.Haga clic en Aceptar.