Creación de una directiva de App Control mediante un equipo de referencia
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
En esta sección se describe el proceso para crear una directiva de App Control para empresas mediante un equipo de referencia que ya está configurado con el software que desea permitir. Puede usar este enfoque para dispositivos de carga de trabajo fija dedicados a un propósito funcional específico y compartir atributos de configuración comunes con otros dispositivos que atienden el mismo rol funcional. Algunos ejemplos de dispositivos de carga de trabajo fija pueden ser controladores de Dominio de Active Directory, estaciones de trabajo de Administración seguras, equipos de mezcla de medicamentos farmacéuticos, dispositivos de fabricación, cajas registradoras, cajeros automáticos, etc. Este enfoque también se puede usar para activar App Control en sistemas "en estado salvaje" y desea minimizar el posible impacto en la productividad de los usuarios.
Nota
Algunas de las opciones de App Control para empresas descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas de App Control de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.
Como se describe en escenarios de implementación comunes de App Control para empresas, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso de App Control para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.
Alice Pena es la responsable del equipo de TI encargado de implementar App Control.
Creación de una directiva base personalizada mediante un dispositivo de referencia
Alice creó anteriormente una directiva para los dispositivos de usuario final totalmente administrados de la organización. Ahora quiere usar App Control para proteger los servidores de infraestructura críticos de Lamna. La práctica de creación de imágenes de Lamna para sistemas de infraestructura consiste en establecer una imagen "dorada" como referencia para el aspecto que debe tener un sistema ideal y, a continuación, usar esa imagen para clonar más recursos de la empresa. Alice decide usar estos mismos sistemas de imágenes "dorados" para crear las directivas de Control de aplicaciones, lo que dará lugar a directivas base personalizadas independientes para cada tipo de servidor de infraestructura. Al igual que con la creación de imágenes, tendrá que crear directivas a partir de varios equipos dorados basados en el modelo, el departamento, el conjunto de aplicaciones, etc.
Nota
Asegúrese de que el equipo de referencia está libre de virus y malware, e instale cualquier software que quiera examinar antes de crear la directiva de Control de aplicaciones.
Todas las aplicaciones de software instaladas deben validarse como de confianza antes de crear esta directiva.
Te recomendamos que revises el equipo de referencia para el software que puede cargar archivos DLL arbitrarias y ejecutar código o scripts que podrían hacer que el PC sea más vulnerable. Algunos ejemplos son el software destinado al desarrollo o scripting, como msbuild.exe (parte de Visual Studio y .NET Framework), que se pueden quitar si no desea ejecutar scripts. Puedes quitar o deshabilitar dicho software en el equipo de referencia.
Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los servidores de infraestructura críticos de Lamna:
- Todos los dispositivos ejecutan Windows Server 2019 o superior;
- Todas las aplicaciones se administran e implementan de forma centralizada;
- No hay usuarios interactivos.
En función de lo anterior, Alice define las pseudo-reglas para la directiva:
Reglas de "Windows funciona" que autorizan:
- Windows
- WHQL (controladores de kernel de terceros)
- Aplicaciones firmadas en la Tienda Windows
Reglas para los archivos escaneados que autorizan todos los archivos binarios de aplicaciones preexisterios que se encuentran en el dispositivo
Para crear la directiva de Control de aplicaciones, Alice ejecuta cada uno de los comandos siguientes en una sesión de Windows PowerShell con privilegios elevados, en orden:
Inicializar variables.
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName="FixedWorkloadPolicy_Audit" $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml" $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
Use New-CIPolicy para crear una nueva directiva de Control de aplicaciones mediante el examen del sistema en busca de aplicaciones instaladas:
New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
Nota
- Puedes agregar el parámetro -Fallback para detectar las aplicaciones no detectadas mediante el nivel de regla de archivo principal especificado por el parámetro -Level. Para obtener más información sobre las opciones de nivel de regla de archivo, consulte Niveles de regla de archivo de Control de aplicaciones para empresas.
- Para especificar que la directiva de App Control examine solo una unidad específica, incluya el parámetro -ScanPath seguido de una ruta de acceso. Sin este parámetro, la herramienta examinará la unidad C de forma predeterminada.
- Cuando se especifica el parámetro -UserPEs (para incluir archivos ejecutables en modo de usuario en el examen), la opción de regla 0 Enabled:UMCI se agrega automáticamente a la directiva de Control de aplicaciones. Si no especifica -UserPEs, la directiva estará vacía de ejecutables en modo de usuario y solo tendrá reglas para los archivos binarios del modo kernel, como los controladores. En otras palabras, la lista de permitidos no incluirá aplicaciones. Si crea dicha directiva y posteriormente agrega la opción de regla 0 Enabled:UMCI, todos los intentos de iniciar aplicaciones provocarán una respuesta de App Control para empresas. En el modo de auditoría, la respuesta es registrar un evento y, en modo de aplicación, la respuesta es bloquear la aplicación.
- Para crear una directiva para Windows 10 1903 y versiones posteriores, incluida la compatibilidad con directivas complementarias, use -MultiplePolicyFormat.
- Para especificar una lista de rutas de acceso que se excluirán del examen, use la opción -OmitPaths y proporcione una lista delimitada por comas de rutas de acceso.
- El ejemplo anterior incluye
3> CIPolicylog.txt
, que redirige mensajes de advertencia a un archivo de texto, CIPolicylog.txt.
Combine la nueva directiva con la directiva de WindowsDefault_Audit para asegurarse de que se cargarán todos los archivos binarios y controladores de kernel de Windows.
Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
Asigne a la nueva directiva un nombre descriptivo y un número de versión inicial:
Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
Modifique la directiva combinada para establecer reglas de directiva:
Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
Si procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.
Use ConvertFrom-CIPolicy para convertir la directiva de Control de aplicaciones a un formato binario:
[xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip" ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
Cargue el XML de directiva base y el binario asociado en una solución de control de código fuente como GitHub o una solución de administración de documentos como Office 365 SharePoint.
Alice ahora tiene una directiva inicial para los servidores de infraestructura críticos de Lamna que está lista para implementarse en modo de auditoría.
Creación de una directiva base personalizada para minimizar el impacto del usuario en los dispositivos cliente en uso
Alice creó anteriormente una directiva para los dispositivos totalmente administrados de la organización. Alice ha incluido la directiva de dispositivos totalmente administrada como parte del proceso de compilación de dispositivos de Lamna, por lo que todos los dispositivos nuevos ahora comienzan con App Control habilitado. Se está preparando para implementar la directiva en sistemas que ya están en uso, pero que están preocupados por provocar interrupciones en la productividad de los usuarios. Para minimizar ese riesgo, Alice decide adoptar un enfoque diferente para esos sistemas. Seguirá implementando la directiva de dispositivo totalmente administrada en modo de auditoría en esos dispositivos, pero para el modo de cumplimiento combinará las reglas de directiva de dispositivos totalmente administradas con una directiva creada mediante el examen del dispositivo para todo el software instalado anteriormente. De este modo, cada dispositivo se trata como su propio sistema "dorado".
Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los dispositivos en uso totalmente administrados de Lamna:
- Todo lo que se describe para los dispositivos totalmente administrados de Lamna;
- Los usuarios han instalado aplicaciones que necesitan para seguir ejecutándose.
En función de lo anterior, Alice define las pseudo-reglas para la directiva:
- Todo lo incluido en la directiva de dispositivos totalmente administrados
- Reglas para los archivos escaneados que autorizan todos los archivos binarios de aplicaciones preexisterios que se encuentran en el dispositivo
Para los dispositivos existentes y en uso de Lamna, Alice implementa un script junto con el XML de directiva de dispositivos totalmente administrados (no el binario de directiva de App Control convertido). A continuación, el script genera una directiva personalizada localmente en el cliente como se describe en la sección anterior, pero en lugar de combinarse con la directiva DefaultWindows, el script se combina con la directiva Dispositivos totalmente administrados de Lamna. Alice también modifica los pasos anteriores para que coincidan con los requisitos de este caso de uso diferente.