Implementación de App Control para empresas en diferentes escenarios: tipos de dispositivos
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Siempre que sea posible, App Control for Business (control de aplicación) debe estar habilitado al configurar un dispositivo por primera vez y antes de instalar las aplicaciones. Esto garantiza que el sistema se encuentra en un estado "limpio" cuando se inicia App Control y es especialmente importante para las aplicaciones permitidas porque fueron instaladas por un instalador administrado o porque Intelligent Security Graph (ISG) determinó que la aplicación era segura para ejecutarse.
Normalmente, la implementación de App Control para empresas se produce mejor en fases, en lugar de ser una característica que simplemente se "activa". La elección y secuencia de fases depende de la forma en que se usan varios equipos y otros dispositivos en su organización y en qué grado administra esos dispositivos. La tabla siguiente puede ayudarle a empezar a desarrollar un plan para implementar App Control en su organización. Es habitual que las organizaciones tengan casos de uso de dispositivos en cada una de las categorías descritas.
Casos de uso comunes
| Caso de uso | Relación de App Control con este caso de uso |
|---|---|
|
Bloquear aplicaciones no deseadas: pocas empresas administran todas las aplicaciones de forma centralizada, lo que necesita un largo período de detección antes de que puedan incluso empezar a decidir qué permitir. En su lugar, el enfoque del departamento de TI cambia para bloquear un conjunto de aplicaciones que consideran problemas, mientras compilan su inventario de aplicaciones. |
Con App Control, implemente una directiva de solo lista de bloqueos junto con una directiva de lista de permitidos de auditoría para recopilar información sobre las aplicaciones y los procesos que se ejecutan en los dispositivos. |
|
Dispositivos apenas administrados: equipos de empresa en los que los usuarios pueden instalar software libremente. Los dispositivos son necesarios para ejecutar aplicaciones específicas, como la solución antivirus de la organización o sus herramientas de administración de clientes del departamento de soporte técnico. |
App Control for Business se puede usar para ayudar a proteger el kernel y permitir que los usuarios ejecuten aplicaciones firmadas, instaladas por la solución de implementación de aplicaciones de la empresa, como Intune, instaladas en ubicaciones donde solo un administrador puede escribir archivos y cualquier aplicación con buena reputación. |
|
Dispositivos totalmente administrados: el departamento de TI restringe el software permitido. Los usuarios pueden solicitar más software o instalar desde una lista de aplicaciones proporcionadas por el departamento de TI. Ejemplos: equipos de escritorio y portátiles de empresa bloqueados. |
Se puede establecer y aplicar una directiva de App Control for Business de línea base inicial. Cada vez que el departamento de TI aprueba más aplicaciones, puede actualizar la directiva de Control de aplicaciones como parte de sus procesos de empaquetado e implementación de aplicaciones. Como alternativa, pueden crear y firmar archivos de catálogo de aplicaciones que, a continuación, se distribuyen como una dependencia de la aplicación. |
|
Dispositivos de carga de trabajo fija: se realizan las mismas tareas cada día. Las listas de aplicaciones aprobadas no suelen modificarse. Ejemplos: quioscos, sistemas de punto de venta, equipos de centros de atención de llamadas. |
App Control for Business se puede implementar completamente y la implementación y la administración continua son relativamente sencillas. Después de la implementación de App Control for Business, solo se pueden ejecutar aplicaciones aprobadas. Esta regla se debe a las protecciones que ofrece App Control. |
| Trae tu dispositivo: los empleados pueden traer sus dispositivos y usarlos fuera del trabajo. | En la mayoría de los casos, App Control for Business no se aplica. En cambio, puedes explorar otras características de seguridad y sistemas de protección alternativos con soluciones de acceso condicional basadas en MDM, como Microsoft Intune. Sin embargo, puede optar por implementar una directiva de modo auditoría en estos dispositivos o emplear una directiva de solo lista de bloqueos para evitar aplicaciones o archivos binarios específicos que su organización considera malintencionados o vulnerables. |
| Sistemas "sucios": la introducción de una solución de control de aplicaciones en sistemas que ya están en uso es mucho más difícil que cuando se aplica a un nuevo dispositivo que aún no ha instalado ninguna aplicación. A veces, se deben realizar compensaciones para mantener la productividad incluso si la organización podría no desear algunas aplicaciones. | Con un script para aplicar directivas de App Control, las organizaciones pueden crear una directiva mediante el examen de cada dispositivo y la creación de reglas para cada archivo binario o de script observado. Este conjunto de reglas se usa para complementar la directiva base más restrictiva aplicada a los dispositivos nuevos, recién configurados. De este modo, cualquier aplicación instalada previamente sigue funcionando, pero todas las instalaciones futuras deben pasar las reglas de control de aplicaciones recién aplicadas por las organizaciones. |
Introducción a Lamna Healthcare Company
En el siguiente conjunto de artículos, exploraremos las directivas para controlar escenarios como los de la tabla mediante una empresa ficticia llamada Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) es un gran proveedor de atención sanitaria que opera en el Estados Unidos. Lamna emplea a miles de personas, desde médicos y enfermeras hasta contadores, abogados internos y técnicos de TI. Sus casos de uso de dispositivos son variados e incluyen estaciones de trabajo de un solo usuario para su personal profesional, quioscos compartidos utilizados por médicos y enfermeras para acceder a los registros de pacientes, dispositivos médicos dedicados como escáneres de MRI y muchos otros. Además, Lamna tiene una directiva relajada de traiga su propio dispositivo para muchos de su personal profesional.
Lamna usa Microsoft Intune en modo híbrido con Configuration Manager y Intune. Aunque usan Microsoft Intune para implementar muchas aplicaciones, Lamna siempre ha tenido prácticas de uso de aplicaciones relajadas: equipos individuales y empleados han podido instalar y usar las aplicaciones que consideren necesarias para su rol en sus propias estaciones de trabajo. Lamna también comenzó recientemente a usar Microsoft Defender para punto de conexión para mejorar la detección y respuesta de puntos de conexión.
Recientemente, Lamna experimentó un evento de ransomware que requería un costoso proceso de recuperación y que puede haber incluido la filtración de datos por parte del atacante desconocido. Parte del ataque incluía la instalación y ejecución de archivos binarios malintencionados que evitaban la detección por la solución antivirus de Lamna, pero que habrían sido bloqueados por una directiva de Control de aplicaciones. En respuesta, la junta ejecutiva de Lamna ha autorizado muchas nuevas respuestas de TI de seguridad, incluidas directivas de ajuste para el uso de aplicaciones e introducción de App Control.
Siguiente
Ahora, vamos a crear nuestra directiva inicial con el "círculo de confianza" de Smart App Control como punto de partida.
O bien, si lo prefiere: