Información general de control de aplicaciones
El control de aplicaciones ofrece otra capa de protección, además de la de administración de parches, antivirus, antispyware, y configuración de la barrera de seguridad, para evitar la intrusión de actividad dañina en sus dispositivos administrados. El control de aplicaciones supervisa de forma continua los procesos, los archivos, las aplicaciones y las claves de registro especificados con el fin de evitar comportamientos no autorizados. Usted controla qué aplicaciones se ejecutan en los dispositivos y la forma en que se permite su ejecución.
Debido a que es un sistema basado en reglas y no en definiciones (es decir, basado en firmas), el control de aplicaciones es más eficaz en la protección de sistemas en contra de ataques de día cero (la explotación dañina de código vulnerable antes de que se detecten y definan las exposiciones, y de que hayan revisiones disponibles).
A diferencia de la detección y reparación de vulnerabilidades, la detección y eliminación de spyware o el rastreo y la cuarentena de antivirus, la protección del control de aplicaciones no requiere actualizaciones permanentes de archivos (tales como archivos de revisiones, de definiciones y patrones o de bases de datos de firmas).
El control de aplicaciones protege los servidores y las estaciones de trabajo mediante la colocación de agentes de software entre las aplicaciones y el kernel de sistema operativo. Con las reglas predeterminadas que se basan en el comportamiento habitual de los ataques de malware, estos sistemas evalúan actividades tales como solicitudes de conexión de red, intentos de lectura o escritura en la memoria o intentos de acceso a aplicaciones específicas. Se permite el comportamiento que se sabe que es aceptable, el comportamiento conocido como inaceptable se bloquea y el comportamiento sospechoso se marca para su posterior evaluación.
Se accede a la configuración del control de aplicaciones desde la consola principal (Herramientas > Seguridad y cumplimiento > Configuración del agente). La herramienta de Configuración del agente de control de aplicaciones le permite crear tareas de instalación, actualización y eliminación del agente de control de aplicaciones; configurar las opciones de control de aplicaciones que se pueden implementar en los dispositivos de destino que desea proteger y personalizar las opciones de visualización e interacción de control de aplicaciones que determinan la forma en que este aparece y funciona en los dispositivos administrados, al igual que las opciones interactivas que están disponibles para los usuarios finales. también puede ver la actividad de endpoint security y la información del estado de los dispositivos protegidos de la herramienta de Actividad de seguridad (Herramientas > Seguridad y cumplimiento > Actividad de seguridad).
Componente de Endpoint Security
El control de aplicaciones es uno de los componentes de toda la solución de Endpoint Security, junto con las herramientas de Reconocimiento de ubicaciones (control de conexión de red), Control de dispositivos y Ivanti Firewall.
Seguridad preventiva
El control de aplicaciones protege de forma proactiva sus dispositivos administrados de las siguientes maneras:
- Ofrece protección a nivel del kernel contra aplicaciones que intenten modificar los archivos binarios (o cualquier archivo que especifique) en el equipo o la memoria de aplicación de los procesos en ejecución. También bloquea los cambios en ciertas áreas del registro y puede detectar los procesos de rootkit.
- Utiliza la protección de la memoria contra desbordamientos de búfer y explotaciones de pila.
- Ejecuta esquemas de protección a fin de evitar que un atacante genere y ejecute código en un segmento de datos.
- Vigila el acceso no autorizado o no habitual a los archivos.
- Ofrece protección en tiempo real en los equipos sin depender de las bases de datos de firmas.
Seguridad a nivel de sistemas
El control de aplicaciones ofrece la siguiente seguridad a nivel de sistemas:
- Nivel Kernel, protección a nivel de sistemas basada en reglas
- Protección del registro
- Control de inicio
- Detección de rootkits indetectables
- Filtro de red
- Certificación de procesos, archivos y aplicaciones
- Las reglas de protección de archivos que restringen las acciones que los programas ejecutables pueden realizar en archivos específicos
Funciones de la consola de control de aplicaciones
El control de aplicaciones le brinda a los administradores la capacidad para definir y administrar perfiles distintos para los diferentes grupos de usuarios con configuraciones de control de aplicaciones. Las configuraciones de Endpoint security satisfacen las necesidades de todos y cada uno de los grupos de usuarios, ya que permite que los administradores creen varias configuraciones altamente flexibles de los diversos perfiles de usuario.
Los ajustes de control de aplicaciones pueden incluir protección de contraseña personalizada, gestión con WinTrust, modo de protección, permitir y rechazar listas personalizadas, políticas de control de acceso a redes y aplicaciones, certificados de archivos y reglas de protección de archivos.
Funciones del cliente de control de aplicaciones
El cliente de Endpoint Security (desplegado a los dispositivos administrados) les ofrece a los administradores una nueva y potente herramienta para controlar las aplicaciones que se ejecutan en los equipos de escritorio y los servidores empresariales y la forma en que dichas aplicaciones pueden ejecutarse.
El software de cliente de control de aplicaciones utiliza técnicas comprobadas heurísticas y de reconocimiento de comportamiento que identifican patrones y acciones habituales de código malicioso. Por ejemplo, se podría bloquear un archivo que intente escribir en el registro del sistema y marcarlo como con potencial malicioso. El componente de control de aplicaciones utiliza una variedad de técnicas privadas con el fin de detectar el malware de manera fiable aún antes de que se haya identificado una firma.
Plataformas de dispositivo compatibles y productos de antivirus
Para obtener información actualizada sobre el control de aplicaciones de soporte de las plataformas de dispositivos y de productos de antivirus (endpoint security), consulte las preguntas frecuentes de endpoint security en la Comunidad de usuarios de Ivanti:
Preguntas frecuentes de protección de Endpoint
IMPORTANT:
Endpoint security no se admite en los servidores centrales ni en los servidores centrales de resumen
No debe instalar o implementar Ivanti endpoint security en servidores centrales o en servidores centrales de resumen. No obstante, puede implementar endpoint security en una consola adicional.
NO implemente el control de aplicaciones en dispositivos que tengan instalado cualquier otro antivirus.
Asignación de licencias de control de aplicaciones
Para utilizar Endpoint Security y el control de aplicaciones, primero deberá activar el servidor central con una licencia que permita su uso.
Para obtener información sobre las licencias, comuníquese con su distribuidor o visite la página web de Ivanti:
Administración basada en roles con endpoint security
Endpoint security, al igual que Revisiones y cumplimiento, usa la administración basada en roles para permitir a los usuarios el acceso a las funciones. La administración basada en roles constituye el marco de acceso y seguridad que le permite a los Administradores de Ivanti restringir el acceso de los usuarios a las herramientas y los dispositivos. Cada usuario recibe roles y ámbitos específicos que determinan las funciones que puede utilizar y los dispositivos que puede administrar.
Los Administradores asignan dichos roles a los demás usuarios mediante la herramienta Usuarios de la consola. Endpoint security está incluido en el derecho de Configuración del agente, el cual aparece bajo el grupo de derechos de Seguridad en el cuadro de diálogo de Roles. Para poder ver y utilizar las funciones de endpoint security, los usuarios deben tener los derechos de acceso de Configuración del agente necesarios.
Con el derecho de Configuración del agente, puede dar a los usuarios la capacidad para:
- Ver y acceder a las funciones de Endpoint security del menú Herramientas y el Cuadro de herramientas de la consola
- Configurar dispositivos administrados para la protección de Endpoint Security
- Administrar configuraciones de endpoint security (protección de contraseña, administración de código firmado, acción, modo de protección, certificaciones de archivos, reglas de protección de archivos, etc.)
- Implementar tareas de instalación o actualización de endpoint security y tareas de cambio de configuración
- Ver la actividad de endpoint security en los dispositivos protegidos
- Definir opciones de umbral de datos de endpoint security para registrar y visualizar la actividad de endpoint security
Esquema de las tareas principales de endpoint security
La lista siguiente describe las principales tareas involucradas en la configuración, implementación y el uso de la protección endpoint security. Consulte los temas de ayuda específicos de la función para obtener información conceptual y de procedimiento.
- Configurar dispositivos administrados para implementar protección de HIPS (desplegar el agente endpoint security a los dispositivos de destino).
- Configure las opciones de endpoint security con los ajustes de endpoint security, como el manejo de un código firmado, el modo de protección, listas de permiso y rechazo (las aplicaciones que se permite ejecutar en dispositivos), certificados de archivos, reglas de protección de archivos, y opciones interactivas del usuario.
- Detectar el comportamiento de archivos y aplicaciones en los dispositivos con el modo de aprendizaje de endpoint security.
- Aplicar la protección de endpoint security en los dispositivos administrados con el modo automático de bloqueo de endpoint security.
- Ver la actividad de endpoint security en los dispositivos protegidos.