Compartir a través de

Planeamiento de la administración de directivas de ciclo de vida de App Control for Business

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

En este artículo se describen las decisiones que debe tomar para establecer los procesos para administrar y mantener las directivas de App Control for Business.

Administración del ciclo de vida XML de directiva

El primer paso para implementar App Control es considerar cómo se administrarán y mantendrán las directivas a lo largo del tiempo. El desarrollo de un proceso para administrar las directivas de App Control for Business ayuda a garantizar que App Control siga controlando de forma eficaz cómo se permite que las aplicaciones se ejecuten en su organización.

La mayoría de las directivas de App Control para empresas evolucionarán con el tiempo y continuarán a través de un conjunto de fases identificables durante su duración. Normalmente, estas fases incluyen:

  1. Defina (o refine) el "círculo de confianza" para la directiva y cree una versión del modo de auditoría del XML de la directiva. En el modo de auditoría, se generan eventos de bloque, pero los archivos no se impiden que se ejecuten.
  2. Implemente la directiva de modo de auditoría en los dispositivos previstos.
  3. Supervise los eventos de bloque de auditoría de los dispositivos previstos y agregue, edite o elimine reglas según sea necesario para abordar bloques inesperados o no deseados.
  4. Repita los pasos del 2 al 3 hasta que los eventos de bloque restantes cumplan las expectativas.
  5. Genere la versión del modo aplicado de la directiva. En el modo aplicado, los archivos que la directiva no permite no se pueden ejecutar y se generan los eventos de bloque correspondientes.
  6. Implemente la directiva de modo aplicado en los dispositivos previstos. Se recomienda usar implementaciones almacenadas provisionalmente para las directivas aplicadas a fin de detectar y responder a problemas antes de implementar la directiva de forma general.
  7. Repita los pasos del 1 al 6 siempre que cambie el "círculo de confianza" deseado.

Proceso recomendado de implementación de directivas de App Control.

Mantener directivas de Control de aplicaciones en una solución de administración de documentos o control de código fuente

Para administrar de forma eficaz las directivas de App Control for Business, debe almacenar y mantener los documentos XML de la directiva en un repositorio central al que puedan acceder todos los responsables de la administración de directivas de App Control. Se recomienda una solución de control de código fuente como GitHub o una solución de administración de documentos, como Office 365 SharePoint, que proporcionan control de versiones y permiten especificar metadatos sobre los documentos XML.

Establecer metadatos PolicyName, PolicyID y Version para cada directiva

Use el cmdlet Set-CIPolicyIDInfo para asignar un nombre descriptivo a cada directiva y establecer un identificador de directiva único. Estos atributos únicos le ayudan a diferenciar cada directiva al revisar eventos de Control de aplicaciones para empresas o al ver el documento XML de directiva. Aunque puede especificar un valor de cadena para PolicyId, para las directivas que usan el formato de directiva múltiple se recomienda usar el modificador -ResetPolicyId para permitir que el sistema genere automáticamente un identificador único para la directiva.

Nota

PolicyID solo se aplica a las directivas que usan el formato de directiva múltiple en equipos que ejecutan Windows 10, versión 1903 y posteriores o Windows 11. La ejecución de -ResetPolicyId en una directiva creada para equipos anteriores a 1903 lo convertirá a varios formatos de directiva e impedirá que se ejecute en esas versiones anteriores de Windows 10. PolicyID debe establecerse solo una vez por directiva y usar distintos PolicyID para las versiones de auditoría y modo aplicado de cada directiva.

Además, se recomienda usar el cmdlet Set-CIPolicyVersion para incrementar el número de versión interno de la directiva al realizar cambios en la directiva. La versión debe definirse como una cadena de versión estándar de cuatro partes (por ejemplo, "1.0.0.0").

Actualizaciones de reglas de directiva

Es posible que tenga que revisar la directiva cuando se implementen nuevas aplicaciones o el publicador de software actualice las aplicaciones existentes para asegurarse de que las aplicaciones se ejecutan correctamente. Si se requieren actualizaciones de reglas de directiva dependerá significativamente de los tipos de reglas que incluya la directiva. Las reglas basadas en certificados de firma de código proporcionan la mayor resistencia frente a los cambios de aplicación, mientras que las reglas basadas en atributos de archivo o hash suelen requerir actualizaciones cuando cambian las aplicaciones. Como alternativa, si usa la funcionalidad del instalador administrado de App Control e implementa de forma coherente todas las aplicaciones y sus actualizaciones a través del instalador administrado, es menos probable que necesite actualizaciones de directivas.

Administración de eventos de App Control

Cada vez que App Control bloquea un proceso, los eventos se escriben en los registros de eventos CodeIntegrity\Operational o AppLocker\MSI y Script de Windows. El evento describe el archivo que intentó ejecutarse, los atributos de ese archivo y sus firmas, y el proceso que intentó ejecutar el archivo bloqueado.

La recopilación de estos eventos en una ubicación central puede ayudarle a mantener la directiva de App Control para empresas y a solucionar problemas de configuración de reglas. Puede usar el agente de Azure Monitor para recopilar automáticamente los eventos de App Control para su análisis.

Además, Microsoft Defender para punto de conexión recopila eventos de Control de aplicaciones que se pueden consultar mediante la característica de búsqueda avanzada.

Directiva de soporte técnico de aplicaciones y usuarios

Entre las consideraciones se incluyen:

  • ¿Qué tipo de soporte técnico del usuario final se proporciona para las aplicaciones bloqueadas?
  • ¿Cómo se agregan nuevas reglas a la directiva?
  • ¿Cómo se actualizan las reglas existentes?
  • ¿Los eventos se reenvía para su revisión?

Soporte técnico del departamento de soporte técnico

Si su organización tiene un departamento de soporte técnico establecido, tenga en cuenta los siguientes puntos al implementar directivas de App Control for Business:

  • ¿Qué documentación requiere el departamento de soporte técnico para las nuevas implementaciones de directivas?
  • ¿Cuáles son los procesos críticos de cada grupo de negocios tanto en el flujo de trabajo como en el tiempo que se verán afectados por las directivas de App Control y cómo podrían afectar a la carga de trabajo del departamento de soporte técnico?
  • ¿Quiénes son los contactos del departamento de soporte técnico?
  • ¿Cómo resolverá el departamento de soporte técnico los problemas de App Control entre el usuario final y los recursos que mantienen las reglas de App Control for Business?

Compatibilidad con el usuario final

Dado que App Control para empresas impide que se ejecuten aplicaciones no aprobadas, es importante que su organización planee cuidadosamente cómo proporcionar soporte técnico al usuario final. Entre las consideraciones se incluyen:

  • ¿Desea usar un sitio de intranet como primera línea de soporte técnico para los usuarios que intentan ejecutar una aplicación bloqueada?
  • ¿Cómo desea admitir excepciones a la directiva? ¿Permitirá que los usuarios ejecuten un script para permitir temporalmente el acceso a una aplicación bloqueada?

Documentar el plan

Después de decidir cómo administrará su organización la directiva de App Control para empresas, registre sus conclusiones.

  • Directiva de soporte técnico del usuario final. Documente el proceso que usará para controlar las llamadas de los usuarios que han intentado ejecutar una aplicación bloqueada y asegúrese de que el personal de soporte técnico tenga pasos de escalado claros para que el administrador pueda actualizar la directiva de App Control para empresas, si es necesario.
  • Procesamiento de eventos. Documente si los eventos se recopilarán en una ubicación central denominada almacén, cómo se archivará ese almacén y si los eventos se procesarán para su análisis.
  • Administración de directivas. Detalla qué directivas están planeadas, cómo se administrarán y cómo se mantendrán las reglas a lo largo del tiempo.