Creación de una nueva directiva complementaria con el Asistente
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
A partir de Windows 10 versión 1903, App Control for Business admite la creación de varias directivas activas en un dispositivo. Una o varias directivas complementarias permiten a los clientes expandir una directiva base de App Control para aumentar el círculo de confianza de la directiva. Una directiva complementaria solo puede expandir una directiva base, pero varios complementos pueden expandir la misma directiva base. Cuando se usan directivas complementarias, las aplicaciones permitidas por la base o cualquiera de sus directivas complementarias pueden ejecutarse.
Se puede acceder a la información de requisitos previos sobre App Control a través de la guía de diseño de App Control. En esta página se describen los pasos para crear una directiva de Control de aplicaciones complementaria, configurar las opciones de directiva y las reglas de firmante y archivo.
Expansión de una directiva base
Una vez que se elige el tipo de directiva complementaria en la página Nueva directiva, se pueden usar los campos de diálogo nombre de directiva y archivo para asignar un nombre y guardar la directiva complementaria. El siguiente paso requiere seleccionar una directiva base para expandirse. Para expandir una directiva base, la base debe permitir directivas complementarias. El Asistente para control de aplicaciones comprueba si la directiva base permite complementos y muestra la siguiente confirmación.
Si la directiva base no está configurada para directivas complementarias, el Asistente intenta convertir la directiva en una que se pueda complementar. Una vez que se ha realizado correctamente, el Asistente muestra un cuadro de diálogo que muestra que se ha completado la adición de la regla Permitir directiva complementaria.
Las directivas que no se pueden complementar, por ejemplo, otra directiva complementaria, las detecta el Asistente y muestran el siguiente error. Solo se puede complementar una directiva base. Puede encontrar más información sobre las directivas complementarias en nuestro artículo Varias directivas.
Configuración de reglas de directiva
Al iniciar la página, las reglas de directiva se habilitan o deshabilitan automáticamente en función de la directiva base elegida de la página anterior. La mayoría de las reglas de directiva complementarias se heredan de la directiva base. El Asistente analiza automáticamente la directiva base y establece las reglas de directiva complementarias necesarias para que coincidan con las reglas de directiva base. Las reglas de directiva heredadas están atenuadas y no se pueden modificar en la interfaz de usuario.
Una breve descripción de la regla se muestra en la parte inferior de la página cuando el cursor se coloca en el título de la regla.
Descripción de reglas de directiva complementaria configurables
Las directivas complementarias solo pueden configurar tres reglas de directiva. En la tabla siguiente se describe cada regla de directiva, empezando por la columna más a la izquierda. Al seleccionar la etiqueta + Opciones avanzadas se muestra otra columna de reglas de directiva, las reglas de directiva avanzadas.
| Opción de regla | Descripción |
|---|---|
| Autorización de Intelligent Security Graph | Use esta opción para permitir automáticamente aplicaciones con una reputación "conocida buena" según lo definido por Intelligent Security Graph (ISG) de Microsoft. |
| Instalador administrado | Use esta opción para permitir automáticamente las aplicaciones instaladas por una solución de distribución de software, como Microsoft Configuration Manager, que se ha definido como instalador administrado. |
| Deshabilitación de la protección de reglas de FilePath en tiempo de ejecución | Esta opción deshabilita la comprobación en tiempo de ejecución predeterminada que solo permite reglas de FilePath para rutas de acceso que solo un administrador puede escribir. |
Creación de reglas de archivo personalizadas
Las reglas de archivo de una directiva de Control de aplicaciones especifican el nivel en el que se identifican y confían las aplicaciones. Las reglas de archivo son el mecanismo principal para definir la confianza en la directiva de Control de aplicaciones. Al seleccionar + Reglas personalizadas , se abre el panel de condiciones de reglas de archivo personalizado para crear y personalizar reglas de archivo de destino para la directiva. El Asistente admite cuatro tipos de reglas de archivo:
Reglas del publicador
El tipo de regla de archivo publisher usa propiedades de la cadena de certificados de firma de código para las reglas de archivo base. Una vez seleccionado el archivo del que basar la regla, denominado archivo de referencia, use el control deslizante para indicar la especificidad de la regla. En la tabla siguiente se muestra la relación entre la ubicación del control deslizante, el nivel de regla de Control de aplicaciones para empresas correspondiente y su descripción. Cuanto menor sea la ubicación de la tabla y el control deslizante de la interfaz de usuario, mayor será la especificidad de la regla.
| Condición de regla | Nivel de regla de control de aplicaciones | Descripción |
|---|---|---|
| Entidad de certificación emisora | PCACertificate | El certificado más alto disponible se agrega a los firmantes. Este certificado suele ser el certificado PCA, un nivel por debajo del certificado raíz. Cualquier archivo firmado por este certificado se ve afectado. |
| Publicador | Publicador | Esta regla es una combinación de la regla PCACertificate y el nombre común (CN) del certificado hoja. Cualquier archivo firmado por una entidad de certificación principal pero con una hoja de una empresa específica, por ejemplo, un publicador de controladores de dispositivo, se ve afectado. |
| Versión del archivo | SignedVersion | Esta regla es una combinación de la regla PCACertificate y Publisher, y un número de versión. Cualquier cosa del publicador especificado con una versión en o por encima de la especificada se ve afectada. |
| Nombre del archivo | FilePublisher | Más específico. Combinación del nombre de archivo, el publicador y el certificado PCA y un número de versión mínimo. Los archivos del publicador con el nombre especificado y mayor o igual que la versión especificada se ven afectados. |
Reglas de ruta de archivo
Las reglas de ruta de archivo no proporcionan las mismas garantías de seguridad que las reglas de firmante explícitas, ya que se basan en permisos de acceso mutables. Para crear una regla de ruta de archivo, seleccione el archivo con el botón Examinar .
Reglas de atributo de archivo
El Asistente admite la creación de reglas de nombre de archivo basadas en atributos de archivo autenticados. Las reglas de nombre de archivo son útiles cuando una aplicación y sus dependencias (por ejemplo, archivos DLL) pueden compartir el mismo nombre de producto, por ejemplo. Este nivel de regla permite a los usuarios crear fácilmente directivas de destino basadas en el nombre de archivo de nombre de producto. Para seleccionar el atributo de archivo para crear la regla, mueva el control deslizante del Asistente al atributo deseado. En la tabla siguiente se describe cada uno de los atributos de archivo admitidos para crear una regla.
| Nivel de regla | Descripción |
|---|---|
| Nombre de archivo original | Especifica el nombre de archivo original, o el nombre con el que se creó por primera vez el archivo, del binario. |
| Descripción del archivo | Especifica la descripción del archivo proporcionada por el desarrollador del archivo binario. |
| Nombre del producto | Especifica el nombre del producto con el que se envía el binario. |
| Nombre interno | Especifica el nombre interno del binario. |
Reglas hash de archivo
Por último, el Asistente admite la creación de reglas de archivo mediante el hash del archivo. Aunque este nivel es específico, puede provocar una sobrecarga administrativa adicional para mantener los valores hash de las versiones de producto actuales. Cada vez que se actualiza un binario, el valor de hash cambia, por lo que es necesario actualizar la directiva. De forma predeterminada, el Asistente usa el hash de archivo como reserva en caso de que no se pueda crear una regla de archivo con el nivel de regla de archivo especificado.
Eliminación de reglas de firma
La tabla de la izquierda de la página documenta las reglas allow y deny de la plantilla, así como las reglas personalizadas que cree. Las reglas se pueden eliminar de la directiva seleccionando la regla de la tabla de lista de reglas. Una vez resaltada la regla, presione el botón Eliminar debajo de la tabla. De nuevo se le pedirá otra confirmación. Seleccione Yes esta opción para quitar la regla de la directiva y la tabla de reglas.