Permitir el registro de objetos COM en una directiva de App Control para empresas
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Microsoft Component Object Model (COM) es un sistema orientado a objetos, distribuido e independiente de la plataforma para crear componentes de software binarios que pueden interactuar. COM especifica un modelo de objetos y requisitos de programación que permiten que los objetos COM interactúen con otros objetos.
Configuración de objetos COM en la directiva de App Control
App Control for Business aplica una lista de permitidos integrada para el registro de objetos COM. Aunque esta lista funciona para los escenarios de uso de aplicaciones más comunes, es posible que tenga que permitir que más objetos COM admitan las aplicaciones usadas en su organización. Puede especificar objetos COM permitidos a través de su GUID en la directiva de Control de aplicaciones, como se describe en este artículo.
Nota
Para agregar esta funcionalidad a otras versiones de Windows 10, puede instalar las actualizaciones siguientes o posteriores.
- Windows 10, 18 de junio de 2019-KB4501371 (compilación del sistema operativo 17763.592)
- Windows 10, 18 de junio de 2019-KB4503294 (compilación del sistema operativo 14393.3053)
Obtención del GUID del objeto COM
Puede obtener el GUID de la aplicación COM de los eventos de bloque de objetos COM 8036 en Visor de eventos ubicados en Application and Service Logs > Microsoft > Windows > AppLocker > MSI and Script y extraer el GUID de los datos del evento.
Configuración de directiva de creación para permitir o denegar el GUID del objeto COM
Tres elementos:
- Proveedor: plataforma en la que se ejecuta código (los valores son PowerShell, WSH, IE, VBA, MSI o un carácter comodín "AllHostIds")
- Clave: GUID para el programa que desea ejecutar, con el formato Key="{33333333-4444-4444-1616-161616161616}"
- ValueName: debe establecerse en "EnterpriseDefinedClsId"
Un atributo:
Valor: debe ser "true" para allow y "false" para deny
Nota
Denegar solo funciona en directivas base, no en directivas complementarias
La configuración debe colocarse en el orden de los valores ASCII (primero por proveedor, luego por clave y, después, por ValueName)
Consideraciones sobre varias directivas
De forma similar a los archivos ejecutables, los objetos COM deben pasar todas las directivas de Control de aplicaciones aplicadas en el sistema para que se ejecuten. Por ejemplo, si el objeto COM en evaluación pasa la mayoría de las directivas de Control de aplicaciones, el objeto COM se bloquea. Si usa una combinación de directivas base y complementarias, el objeto COM solo debe incluirse en la lista de permitidos en la directiva base o en una de las directivas complementarias.
Ejemplos
Ejemplo 1: permite el registro de todos los GUID de objeto COM en cualquier proveedor
<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Ejemplo 2: Impide que un objeto COM específico se registre a través de Internet Explorer (IE)
<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>false</Boolean>
</Value>
</Setting>
Ejemplo 3: permite que un objeto COM específico se registre en PowerShell
<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Configuración de los CLSID
Este es un ejemplo de un error en la Visor de eventos que se encuentra en Registros > de aplicaciones y servicios Msi y script de Microsoft > Windows > AppLocker>:
Nombre del registro: Microsoft-Windows-AppLocker/MSI y script
Origen: Microsoft-Windows-AppLocker
Fecha: 11/11/2020 1:18:11 PM
Identificador de evento: 8036
Categoría de tarea: Ninguno
Nivel: Error
palabras clave:
Usuario: S-1-5-21-3340858017-3068726007-3466559902-3647
Equipo: contoso.com
Descripción: {f8d253d9-89a4-4daa-87b6-1168369f0b21} no se pudo ejecutar debido a la directiva de CI de configuración.
XML del evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
<EventID>8036</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2020-11-11T13:18:11.4029179Z" />
<EventRecordID>819347</EventRecordID>
<Correlation ActivityID="{61e3e871-adb0-0047-c9cc-e761b0add601}" />
<Execution ProcessID="21060" ThreadID="23324" />
<Channel>Microsoft-Windows-AppLocker/MSI and Script</Channel>
<Computer>contoso.com</Computer>
<Security UserID="S-1-5-21-3340858017-3068726007-3466559902-3647" />
</System>
<EventData>
<Data Name="IsApproved">false</Data>
<Data Name="CLSID">{f8d253d9-89a4-4daa-87b6-1168369f0b21}</Data>
</EventData>
</Event>
Para agregar este CLSID a la directiva existente, siga estos pasos:
Abra PowerShell ISE con privilegios administrativos.
Copie y edite este comando y, a continuación, ejecútelo desde el ISE de PowerShell de administrador. Considere el nombre de la directiva como
AppControl_policy.xml.PS C:\WINDOWS\system32> Set-CIPolicySetting -FilePath <path to policy xml>\AppControl_policy.xml -Key "{f8d253d9-89a4-4daa-87b6-1168369f0b21}" -Provider WSH -Value true -ValueName EnterpriseDefinedClsId -ValueType BooleanUna vez que se haya ejecutado el comando, busque la sección siguiente agregada al XML de directiva.
<Settings> <Setting Provider="WSH" Key="{f8d253d9-89a4-4daa-87b6-1168369f0b21}" ValueName="EnterpriseDefinedClsId"> <Value> <Boolean>true</Boolean> </Value> </Setting>
Lista de permitidos de objetos COM predeterminada
En la tabla siguiente se describe la lista de objetos COM de confianza inherente en App Control for Business. Los objetos de esta lista no tienen que incluirse en la lista de permitidos en las directivas de App Control. Se pueden denegar mediante la creación de reglas de denegación explícitas en la directiva de App Control.
| Nombre de archivo | CLSID |
|---|---|
| scrrun.dll | EE09B103-97E0-11CF-978F-00A02463E06F |
| scrrun.dll | 0D43FE01-F093-11CF-8940-00A0C9054228 |
| vbscript.dll | 3F4DACA4-160D-11D2-A8E9-00104B365C9F |
| WEX. Logger.Log | 70B46225-C474-4852-BB81-48E0D36F9A5A |
| TE. Common.TestData | 1d68f3c0-b5f8-4abd-806a-7bc57cdce35a |
| TE. Common.RuntimeParameters | 9f3d4048-6028-4c5b-a92d-01bc977af600 |
| TE. Common.Verify | e72cbabf-8e48-4d27-b14e-1f347f6ec71a |
| TE. Common.Interruption | 5850ba6f-ce72-46d4-a29b-0d3d9f08cc0b |
| msxml6.dll | 2933BF90-7B36-11d2-B20E-00C04F983E60 |
| msxml6.dll | ED8C108E-4349-11D2-91A4-00C04F7969E8 |
| mmcndmgr.dll | ADE6444B-C91F-4E37-92A4-5BB430A33340 |
| puiobj.dll | B021FF57-A928-459C-9D6C-14DED0C9BED2 |
| wdtf.dll | 041E868E-0C7D-48C6-965F-5FD576530E5B |
| wdtfedtaction.dll | 0438C02B-EB9C-4E42-81AD-407F6CD6CDE1 |
| wdtfioattackaction.dll | 078B1F7D-C34C-4B13-A7C3-9663901650F1 |
| wdtfmutt2tcdsimpleioaction.dll | 0ABB2961-2CC1-4F1D-BE8E-9D330D06B77D |
| wdtfdriverpackageaction.dll | 0D7237E6-930F-4682-AD0A-52EBFFD3AEE3 |
| wdtf.dll | 0D972387-817B-46E7-913F-E9993FF401EB |
| wdtf.dll | 0E770B12-7221-4A5D-86EE-77310A5506BB |
| wdtfdriversetupdeviceaction.dll | 0FA57208-5100-4CD6-955C-FE69F8898973 |
| wdtf.dll | 1080A020-2B47-4DA9-8095-DBC9CEFFFC04 |
| wdtfnetworksimpleioaction.dll | 10CF2E12-1681-4C53-ADC0-932C84832CD8 |
| wdtf.dll | 140F2286-3B39-4DE1-AF94-E083DEEA6BB9 |
| wdtfinterfaces.dll | 1A7D6D61-4FE5-42E2-8F23-4FC1731C474F |
| wdtfaudiosimpleioaction.dll | 1C658D42-4256-4743-A4C5-90BF3A3A186A |
| wdtf.dll | 2236B1F3-4A33-48C2-B22C-A1F93A626F05 |
| wdtfsystemaction.dll | 23440924-1AB0-41F2-A732-B75069E5C823 |
| wdtfdriversetupsystemaction.dll | 238C0AEB-1DFC-4575-AAF3-C67FE15C1819 |
| wdtffuzztestaction.dll | 23D0E542-0390-4873-9AC7-EF86E95E5215 |
| wdtf.dll | 240FA08C-1D70-40CB-BDB3-2CC41A45496B |
| wdtf.dll | 26CC4211-A9A6-4E5C-A30D-3C659BB4CDC9 |
| wdtf.dll | 28EE5F0B-97D8-4A59-BAC8-A8A80E11F56B |
| wdtf.dll | 2C9AF7D6-2589-4413-A2BA-9926EBCFD67C |
| wdtf.dll | 32A9798D-987F-489E-8DB6-2EFB240248BD |
| wdtfinterfaces.dll | 3C0B0D50-611A-4368-AC87-4488D6E0C4A7 |
| wdtfcdromsimpleioaction.dll | 3F2C07F3-199B-4165-A948-B8B59A97FCC5 |
| wdtf.dll | 485785D3-8820-4C3D-A532-4C0F66392A30 |
| wdtfinterfaces.dll | 5EAE59BE-6946-44B7-A7B3-1D59811B246A |
| wdtfiospyaction.dll | 698F6A82-7833-4499-8BA5-2145D604ABD4 |
| wdtfdevicesupportaction.dll | 69D94D1B-0833-40D4-9AE7-7FC6F64F2624 |
| wdtf.dll | 6EE5B280-3B0F-4358-9E20-99F169FAA700 |
| wdtfmuttsimpleioaction.dll | 7776915A-0370-49A7-90B7-20EB36E80B6D |
| wdtfcpuutilizationsystemaction.dll | 7926C7DE-299C-4B09-BB1B-649A4B917ED0 |
| wdtfwirelesssimpleioaction.dll | 7A686BCD-9203-435C-8B06-9D7E7A518F98 |
| wdtfbluetoothsimpleioaction.dll | 7E6C4615-6184-4077-A150-5D30F29993A4 |
| wdtf.dll | 9663A00A-5B72-4810-9014-C77108062949 |
| wdtfinterfaces.dll | 9C261B2B-DBD6-4087-B636-ABE1607989E8 |
| wdtfwebcamsimpleioaction.dll | A1B74619-F02D-4574-8091-2AADD46A5B2B |
| wdtf.dll | A2FD15D7-64F0-4080-AABD-884380202022 |
| wdtfvolumesimpleioaction.dll | AC91E813-B116-4676-AE33-2988B590F3C7 |
| wdtfconcurrentioaction.dll | AE278430-ABC2-49D1-AF30-910B9A88CB1E |
| wdtf.dll | B43FF7F1-629C-4DE5-9559-1D09E0A07037 |
| wdtfdriververifiersystemaction.dll | B7770265-B643-4600-A60B-93F9BA9F4B24 |
| wdtfpnpaction.dll | B8D74985-4EB9-46AA-B2ED-DD2D918849DF |
| wdtfmobilebroadbandsimpleioaction.dll | BCFBBB02-4DA5-466C-9DA7-DC672877B075 |
| wdtf.dll | BE56FAD1-A489-4508-ABB7-3348E1C2C885 |
| wdtfpnpaction.dll | C0B6C572-D37D-47CC-A89D-E6B9E0852764 |
| wdtfioattackaction.dll | C88B324E-6B26-49BC-9D05-A221F15D7E13 |
| wdtfsensorsiosimpleioaction.dll | C8BF7EC0-C746-4DE8-BA46-34528C6329FB |
| wdtfanysimpleioaction.dll | C8C574DA-367B-4130-AED6-1EA61A5C6A4B |
| simpleio_d3dtest.dll | CBC36BDB-A6BC-4383-8194-659470553488 |
| wdtfsystemaction.dll | D30E1E07-AA39-4086-A7E6-9245FBD0A730 |
| wdtf.dll | DD34E741-139D-4F4C-A1E2-D4184FCDD4F9 |
| wdtfsupaction.dll | EA48171B-4265-48C3-B56B-70B175A7FDFA |
| wdtfinterfaces.dll | EB9DB874-D23D-44D5-A988-85E966322843 |
| wdtfinterfaces.dll | ED05EF76-09A9-4409-90CA-C5D0711CA057 |
| wdtfwpdsimpleioaction.dll | EEA17F2B-8E8E-41A3-9776-A87FACD625D0 |
| wdtfinterfaces.dll | F30FC2BB-F424-4A1F-8F95-68CFEE935E92 |
| wdtfedtaction.dll | F6694E02-5AD0-476D-BD2D-43F7E5D10AF6 |
| wdtfsmartcardreadersimpleioaction.dll | FA6F7E49-76C6-490C-B50E-8B1E8E0EEE2A |
| wdtfiospyaction.dll | FE36026D-CDA8-4514-B3D9-57BDA3870D0C |