Compartir a través de


Sugerencias de app control Administración & problemas conocidos

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

En este artículo se tratan sugerencias y trucos para administradores y problemas conocidos con App Control for Business. Pruebe esta configuración en el laboratorio antes de habilitarla en producción.

Ubicaciones de archivos de directiva de Control de aplicaciones

Las directivas de App Control con formato de directiva múltiple se encuentran en las siguientes ubicaciones en función de si la directiva está firmada o no y del método de implementación de directivas que se usó.

  • <Volumen del sistema> operativo\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
  • <Partición> del sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip

El valor de {PolicyId GUID} es único por directiva y se define en el XML de directiva con el <elemento PolicyId> .

Para las directivas de App Control de formato de directiva única, además de las dos ubicaciones anteriores, busque también un archivo denominado SiPolicy.p7b en las siguientes ubicaciones:

  • <Partición> del sistema EFI\Microsoft\Boot\SiPolicy.p7b
  • <Volumen del sistema> operativo\Windows\System32\CodeIntegrity\SiPolicy.p7b

Nota

Puede haber una directiva de App Control con formato de directiva múltiple con el GUID {A244370E-44C9-4C06-B551-F6016E563076} de formato de directiva única en cualquiera de las ubicaciones del archivo de directiva.

Orden de precedencia de reglas de archivo

Cuando el motor de Control de aplicaciones evalúa los archivos con respecto al conjunto activo de directivas en el dispositivo, las reglas se aplican en el orden siguiente. Una vez que un archivo encuentra una coincidencia, App Control detiene el procesamiento adicional.

  1. Reglas de denegación explícitas: un archivo se bloquea si existe alguna regla de denegación explícita para él, incluso si se crean otras reglas para intentar permitirlo. Las reglas de denegación pueden usar cualquier nivel de regla. Use el nivel de regla más específico práctico al crear reglas de denegación para evitar bloquear más de lo que piensa.

  2. Reglas de permiso explícitas: si existe alguna regla de permiso explícita para el archivo, el archivo se ejecuta.

  3. A continuación, App Control busca el atributo extendido (EA) del instalador administrado o el EA de Intelligent Security Graph (ISG) en el archivo. Si existe cualquiera de los eas y la directiva habilita la opción correspondiente, se permite el archivo.

  4. Por último, App Control realiza una llamada en la nube al ISG para obtener reputación sobre el archivo, si la directiva habilita la opción ISG.

  5. Cualquier archivo no permitido por una regla explícita o basado en ISG o MI se bloquea implícitamente.

Problemas conocidos

El error de detención de arranque (pantalla azul) se produce si hay más de 32 directivas activas

Hasta que apliques la actualización de seguridad de Windows publicada el 9 de abril de 2024 o después, el dispositivo se limita a 32 directivas activas. Si se supera el número máximo de directivas, las pantallas azules del dispositivo que hacen referencia a ci.dll con un valor de comprobación de errores de 0x0000003b. Tenga en cuenta este límite máximo de recuento de directivas al planear las directivas de App Control. Las directivas de bandeja de entrada de Windows que están activas en el dispositivo también cuentan para este límite. Para quitar el límite máximo de directivas, instale la actualización de seguridad de Windows publicada el 9 de abril de 2024 o posterior y reinicie el dispositivo. De lo contrario, reduzca el número de directivas en el dispositivo para permanecer por debajo de 32 directivas.

Nota

El límite de directivas no se quitó el Windows 11 21H2 y permanecerá limitado a 32 directivas.

Las directivas de modo auditoría pueden cambiar el comportamiento de algunas aplicaciones o provocar bloqueos de aplicaciones

Aunque el modo de auditoría de App Control está diseñado para evitar el impacto en las aplicaciones, algunas características siempre se aplican con cualquier directiva de Control de aplicaciones que active la integridad del código en modo de usuario (UMCI) con la opción 0 Enabled:UMCI. Esta es una lista de los cambios conocidos del sistema en el modo de auditoría:

  • Algunos hosts de script pueden bloquear código o ejecutar código con menos privilegios incluso en modo de auditoría. Consulte Aplicación de scripts con App Control para obtener información sobre los comportamientos individuales del host de script.
  • Opción 19 Habilitada:La seguridad dinámica del código siempre se aplica si alguna directiva UMCI incluye esa opción. Consulte Control de aplicaciones y .NET.

Las imágenes nativas de .NET pueden generar eventos de bloque falsos positivos

En algunos casos, los registros de integridad de código donde se escriben errores y advertencias de App Control for Business incluyen eventos de error para imágenes nativas generadas para ensamblados de .NET. Normalmente, los bloques de imágenes nativas son funcionalmente benignos, ya que una imagen nativa bloqueada vuelve a su ensamblado correspondiente y .NET regenera la imagen nativa en su siguiente ventana de mantenimiento programada.

No se admiten firmas que usen criptografía de curva elíptica (ECC)

Las reglas basadas en firmante de App Control solo funcionan con criptografía RSA. No se admiten algoritmos ECC, como ECDSA. Si App Control bloquea un archivo basado en firmas ECC, los eventos de información de firma 3089 correspondientes muestran VerificationError = 23. En su lugar, puede autorizar los archivos mediante reglas hash o de atributo de archivo, o mediante otras reglas de firmante si el archivo también está firmado con firmas mediante RSA.

Los instaladores MSI se tratan como escritura del usuario en Windows 10 cuando lo permite la regla FilePath.

Los archivos del instalador MSI siempre se detectan como escritura del usuario en Windows 10 y en Windows Server 2022 y versiones anteriores. Si necesita permitir archivos MSI mediante reglas de FilePath, debe establecer la opción 18 Disabled:Runtime FilePath Rule Protection en la directiva de App Control.

App Control bloquea las instalaciones msi iniciadas directamente desde Internet

Se produce un error al instalar .msi archivos directamente desde Internet en un equipo protegido por App Control. Por ejemplo, este comando produce un error:

msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

Como solución alternativa, descargue el archivo MSI y ejecútelo localmente:

msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi

Arranque lento y rendimiento con directivas personalizadas

App Control evalúa todos los procesos que se ejecutan, incluidos los procesos de Windows de bandeja de entrada. Puede provocar tiempos de arranque más lentos, rendimiento degradado y, posiblemente, problemas de arranque si las directivas no se basan en las plantillas de App Control o no confían en los firmantes de Windows. Por estos motivos, debe usar las plantillas base de App Control siempre que sea posible para crear las directivas.

Consideraciones sobre la directiva de etiquetado de AppId

Las directivas de etiquetado de AppId que no se basan en las plantillas base de App Control o que no permiten los firmantes integrados de Windows pueden provocar un aumento significativo en los tiempos de arranque (aproximadamente 2 minutos).

Si no puedes permitir la lista de firmantes de Windows ni compilar las plantillas base de App Control, agrega la siguiente regla a las directivas para mejorar el rendimiento:

Permitir todos los archivos DLL de la directiva.

Permitir todos los archivos dll en la directiva xml.

Puesto que las directivas de etiquetado de AppId se evalúan pero no pueden etiquetar archivos dll, esta regla abrevia la evaluación de dll y mejora el rendimiento de la evaluación.