Creación de una directiva de App Control para dispositivos ligeramente administrados
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
En esta sección se describe el proceso para crear una directiva de App Control para empresas para dispositivos ligeramente administrados dentro de una organización. Normalmente, las organizaciones que no son nuevas en App Control serán más correctas si comienzan con una directiva permisiva como la descrita en este artículo. Las organizaciones pueden optar por reforzar la directiva a lo largo del tiempo para lograr una posición de seguridad general más sólida en sus dispositivos administrados por App Control, como se describe en artículos posteriores.
Nota
Algunas de las opciones de App Control para empresas descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas de App Control de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.
Al igual que en la implementación de App Control para empresas en diferentes escenarios: tipos de dispositivos, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso de App Control para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.
Alice Pena es la responsable del equipo de TI encargado de implementar App Control. Actualmente, Lamna tiene directivas de uso de aplicaciones flexibles y una referencia cultural de máxima flexibilidad de aplicaciones para los usuarios. Por lo tanto, Alice sabe que tendrá que adoptar un enfoque incremental para App Control y usar diferentes directivas para diferentes cargas de trabajo.
Para la mayoría de los usuarios y dispositivos, Alice quiere crear una directiva inicial lo más relajada posible con el fin de minimizar el impacto en la productividad del usuario, a la vez que proporciona valor de seguridad.
Definir el "círculo de confianza" para dispositivos ligeramente administrados
Alice identifica los siguientes factores clave para llegar al "círculo de confianza" de los dispositivos ligeramente administrados de Lamna, que actualmente incluyen la mayoría de los dispositivos de usuario final:
- Todos los clientes ejecutan Windows 10 versión 1903 y posteriores, o Windows 11;
- Todos los clientes se administran mediante Configuration Manager o con Intune.
- Algunas aplicaciones, pero no todas, se implementan mediante Configuration Manager;
- La mayoría de los usuarios son administradores locales en sus dispositivos;
- Es posible que algunos equipos necesiten más reglas para autorizar aplicaciones específicas que no se aplican con carácter general a todos los demás usuarios.
En función de lo anterior, Alice define las pseudo-reglas para la directiva:
Reglas de "Windows funciona" que autorizan:
- Windows
- WHQL (controladores de kernel de terceros)
- Aplicaciones firmadas en la Tienda Windows
Reglas de "ConfigMgr funciona" que incluyen:
- Reglas de firmante y hash para que los componentes de Configuration Manager funcionen correctamente.
- Permitir que la regla del instalador administrado autorice Configuration Manager como instalador administrado.
Permitir Intelligent Security Graph (ISG) (autorización basada en reputación)
Aplicaciones firmadas mediante un certificado emitido por una entidad de certificación del Programa raíz de confianza de Windows
reglas de ruta de acceso de solo Administración para las siguientes ubicaciones:
- C:\Archivos de programa*
- C:\Archivos de programa (x86)*
- %windir%*
Creación de una directiva base personalizada mediante una directiva base de App Control de ejemplo
Una vez definido el "círculo de confianza", Alice está lista para generar la directiva inicial para los dispositivos ligeramente administrados de Lamna. Alice decide usar el ejemplo SmartAppControl.xml
para crear la directiva base inicial y, a continuación, personalizarla para satisfacer las necesidades de Lamna.
Alice sigue estos pasos para completar esta tarea:
En un dispositivo cliente, ejecute los siguientes comandos en una sesión de Windows PowerShell con privilegios elevados para inicializar variables:
Nota
Si prefiere usar una directiva base de App Control para empresas de ejemplo diferente, sustituya la ruta de acceso de la directiva de ejemplo por la directiva base que prefiera en este paso.
$PolicyPath = $env:userprofile+"\Desktop\" $PolicyName= "Lamna_LightlyManagedClients_Audit" $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml" $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
Copie la directiva de ejemplo en el escritorio:
Copy-Item $ExamplePolicy $LamnaPolicy
Modifique la directiva para quitar la regla no admitida:
Nota
SmartAppControl.xml
está disponible en Windows 11 versión 22H2 y posteriores. Esta directiva incluye la regla "Enabled:Conditional Windows Lockdown Policy" (Directiva de bloqueo condicional de Windows) que no es compatible con las directivas de Control de aplicaciones empresariales y que se debe quitar. Para obtener más información, consulte Control de aplicaciones y Control de aplicaciones inteligentes. Si usa una directiva de ejemplo distintaSmartAppControl.xml
de , omita este paso.[xml]$xml = Get-Content $LamnaPolicy $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable) $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI) $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns) $node.ParentNode.RemoveChild($node) $xml.Save($LamnaPolicy)
Asigne a la nueva directiva un identificador único, un nombre descriptivo y un número de versión inicial:
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
Use Configuration Manager para crear e implementar una directiva de auditoría en el dispositivo cliente que ejecuta Windows 10 versión 1903 y posteriores, o Windows 11. Combine la directiva de Configuration Manager con la directiva de ejemplo.
Nota
Si no usa Configuration Manager, omita este paso.
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Modifique la directiva para establecer reglas de directiva adicionales:
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
Agregue reglas para permitir los directorios de Archivos de programa y Windows:
$PathRules += New-CIPolicyRule -FilePathRule "%windir%\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
Si procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.
Use ConvertFrom-CIPolicy para convertir la directiva de App Control for Business a un formato binario:
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
Cargue el XML de la directiva base y el binario asociado en una solución de control de código fuente, como GitHub o una solución de administración de documentos como Office 365 SharePoint.
En este momento, Alice ahora tiene una directiva inicial que está lista para implementarse en modo de auditoría en los clientes administrados de Lamna.
Consideraciones de seguridad de esta directiva ligeramente administrada
Para minimizar el impacto en la productividad de los usuarios, Alice ha definido una directiva que hace varios equilibrios entre la seguridad y la flexibilidad de las aplicaciones de usuario. Algunos de los inconvenientes incluyen:
Usuarios con acceso administrativo
Esta compensación es la compensación de seguridad más impactante. Permite al usuario del dispositivo, o malware que se ejecuta con los privilegios del usuario, modificar o quitar la directiva de Control de aplicaciones en el dispositivo. Además, los administradores pueden configurar cualquier aplicación para que actúe como instalador administrado, lo que les permitiría obtener autorización de aplicación persistente para las aplicaciones o archivos binarios que deseen.
Posibles mitigaciones:
- Use directivas de Control de aplicaciones firmadas y protección de acceso al BIOS de UEFI para evitar la alteración de las directivas de App Control.
- Para quitar el requisito del instalador administrado, cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación.
- Use la atestación de dispositivos para detectar el estado de configuración de App Control en el momento del arranque y usar esa información para condicionar el acceso a recursos corporativos confidenciales.
Directivas sin firmar
Las directivas sin firmar se pueden reemplazar o quitar sin consecuencias por cualquier proceso que se ejecute como administrador. Las directivas base no firmadas que también habilitan directivas complementarias pueden tener su "círculo de confianza" modificado por cualquier directiva complementaria sin firmar.
Posibles mitigaciones:
- Use directivas de Control de aplicaciones firmadas y protección de acceso al BIOS de UEFI para evitar la alteración de las directivas de App Control.
- Limite quién puede elevar a administrador en el dispositivo.
Instalador administrado
Consulte consideraciones de seguridad con el instalador administrado.
Posibles mitigaciones:
- Para quitar el requisito del instalador administrado, cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación.
- Limite quién puede elevar a administrador en el dispositivo.
Gráfico de seguridad inteligente (ISG)
Consulte consideraciones de seguridad con Intelligent Security Graph
Posibles mitigaciones:
- Implemente directivas que requieran que las aplicaciones se administren mediante TI. Audite el uso de aplicaciones existentes e implemente aplicaciones autorizadas mediante una solución de distribución de software, como Microsoft Intune. Pase de ISG a reglas basadas en firmas o instaladores administrados.
- Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.
Directivas complementarias
Las directivas complementarias están diseñadas para relajar la directiva base asociada. Además, permitir directivas sin firmar permite que cualquier proceso de administrador expanda el "círculo de confianza" definido por la directiva base sin restricciones.
Posibles mitigaciones:
- Use directivas de App Control firmadas que solo permitan directivas complementarias firmadas autorizadas.
- Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.
Reglas de FilePath
Consulte más información sobre las reglas de ruta de archivo.
Posibles mitigaciones:
- Limite quién puede elevar a administrador en el dispositivo.
- Migrar de reglas de ruta de archivo a instalador administrado o reglas basadas en firmas.
Archivos firmados
Aunque los archivos firmados por código comprueban la identidad del autor y garantizan que el código no ha sido modificado por nadie que no sea el autor, no garantiza que el código firmado sea seguro.
Posibles mitigaciones:
- Use un software antivirus o antimalware de buena reputación con protección en tiempo real, como Microsoft Defender, para proteger sus dispositivos de archivos malintencionados, adware y otras amenazas.