Seguridad
Esta configuración le permite controlar las actividades de los usuarios dentro de Workspace Environment Management.
Seguridad de las aplicaciones
Importante:
Para controlar qué aplicaciones pueden ejecutarse los usuarios, puede utilizar la interfaz de Windows AppLocker o Workspace Environment Management para administrar las reglas de Windows AppLocker. Puede cambiar entre estos enfoques en cualquier momento, pero le recomendamos que no utilice ambos enfoques al mismo tiempo.
Esta configuración permite controlar las aplicaciones que los usuarios pueden ejecutar mediante la definición de reglas. Esta funcionalidad es similar a Windows AppLocker. Cuando se utiliza Workspace Environment Management para administrar reglas de AppLocker de Windows, el agente procesa (convierte) las reglas de la ficha Seguridad de aplicaciones en reglas de AppLocker de Windows en el host del agente. Si detiene las reglas de procesamiento del agente, se conservan en el conjunto de configuraciones y AppLocker continúa ejecutándose mediante el último conjunto de instrucciones procesadas por el agente.
Seguridad de las aplicaciones
Esta ficha muestra las reglas de seguridad de aplicaciones del conjunto de configuraciones actual de Workspace Environment Management. Puede utilizar Buscar para filtrar la lista según una cadena de texto.
Cuando selecciona el elemento de nivel superior “Seguridad de aplicaciones” en la ficha Seguridad, se encuentran disponibles las siguientes opciones para habilitar o inhabilitar el procesamiento de reglas:
-
Procesar reglas de seguridad de aplicaciones. Cuando se selecciona, se habilitan los controles de la ficha Seguridad de aplicaciones y el agente procesa las reglas del conjunto de configuraciones actual, convirtiéndolas en reglas de AppLocker en el host del agente. Si no se selecciona, los controles de ficha Seguridad de aplicaciones se inhabilitan y el agente no procesa las reglas en reglas de AppLocker. (En este caso, las reglas de AppLocker no se actualizan.)
Nota:
Esta opción no está disponible si la consola de administración de Workspace Environment Management está instalada en Windows 7 SP1 o Windows Server 2008 R2 SP1 (o versiones anteriores).
-
Reglas DLL de proceso. Cuando se selecciona, el agente procesa las reglas DLL en la configuración actual establecida en las reglas DLL de AppLocker en el host del agente. Esta opción solo está disponible si selecciona Reglas de seguridad de aplicaciones de proceso.
Importante:
Si utiliza reglas DLL, debe crear una regla DLL con el permiso “Permitir” para cada DLL que utilizan todas las aplicaciones permitidas.
Precaución:
Si utiliza reglas DLL, los usuarios pueden experimentar una reducción en el rendimiento. Esto sucede porque AppLocker comprueba cada DLL que carga una aplicación antes de que se le permita ejecutar.
-
La configuración Sobrescribir y combinar le permite determinar cómo procesa el agente las reglas de seguridad de las aplicaciones.
- Sobrescribir. Permite sobrescribir las reglas existentes. Cuando se selecciona, las reglas que se procesan por última vez sobrescriben las reglas que se procesaron anteriormente. Recomendamos que aplique este modo solo a equipos de sesión única.
- Fusionar. Permite fusionar reglas con reglas existentes. Cuando se producen conflictos, las reglas que se procesan por última vez sobrescriben las reglas que se procesaron anteriormente. Si necesita modificar la configuración de aplicación de reglas durante la fusión, utilice el modo de sobrescritura, ya que el modo de combinación conservará el valor anterior si es diferente.
Colecciones de reglas
Las reglas pertenecen a colecciones de reglas de AppLocker. Cada nombre de colección indica cuántas reglas contiene, por ejemplo (12). Haga clic en un nombre de colección para filtrar la lista de reglas por una de las siguientes colecciones:
- Reglas ejecutables. Reglas que incluyen archivos con las extensiones .exe y .com asociados a una aplicación.
- Reglas de Windows. Reglas que incluyen formatos de archivo de instalación (.msi, .msp, .mst) que controlan la instalación de archivos en equipos cliente y servidores.
- Reglas de script. Reglas que incluyen archivos de los siguientes formatos: .ps1, .bat, .cmd, .vbs, .js.
- Reglas empaquetadas. Reglas que incluyen aplicaciones empaquetadas, también conocidas como aplicaciones universales de Windows. En las aplicaciones empaquetadas, todos los archivos del paquete de aplicaciones comparten la misma identidad. Por lo tanto, una regla puede controlar toda la aplicación. Workspace Environment Management solo admite reglas de publicador para aplicaciones empaquetadas.
- Reglas DLL. Reglas que incluyen archivos de los siguientes formatos: .dll, .ocx.
Al filtrar la lista de reglas en una colección, la opción Cumplimiento de reglas está disponible para controlar cómo AppLocker aplica todas las reglas de esa colección en el host del agente. Los siguientes valores de aplicación de reglas son posibles:
Desactivado (predeterminado). Las reglas se crean y se establecen en “off”, lo que significa que no se aplican.
Enciendo. Las reglas se crean y se establecen para “aplicar”, lo que significa que están activas en el host del agente.
Auditoría. Las reglas se crean y se establecen en “auditoría”, lo que significa que están en el host del agente en un estado inactivo. Cuando un usuario ejecuta una aplicación que infringe una regla de AppLocker, la aplicación puede ejecutarse y la información sobre la aplicación se agrega al registro de eventos de AppLocker.
Para importar reglas de AppLocker
Puede importar reglas exportadas de AppLocker a Workspace Environment Management. La configuración importada de Windows AppLocker se agrega a cualquier regla existente en la ficha Seguridad. Cualquier regla de seguridad de aplicación no válida se elimina automáticamente y se incluye en un cuadro de diálogo de informe.
-
En la cinta, haga clic en Importar reglas de AppLocker.
-
Busque el archivo XML exportado desde AppLocker que contiene las reglas de AppLocker.
-
Haga clic en Importar.
Las reglas se agregan a la lista Reglas de seguridad de aplicaciones.
Para agregar una regla
-
Seleccione un nombre de colección de reglas en la barra lateral. Por ejemplo, para agregar una regla ejecutable seleccione la colección “Reglas ejecutables”.
-
Haga clic en Agregar regla.
-
En la sección Visualización, escriba los siguientes detalles:
- Nombre. El nombre para mostrar de la regla tal como aparece en la lista de reglas.
- Descripción. Información adicional sobre el recurso (opcional).
-
En la sección Tipo, haga clic en una opción:
- Ruta. La regla coincide con una ruta de acceso de archivo o carpeta.
- Publicador. La regla coincide con un publicador seleccionado.
- Hash. La regla coincide con un código hash específico.
-
En la sección Permisos, haga clic en si esta regla permitirá o denegará la ejecución de aplicaciones.
-
Para asignar esta regla a usuarios o grupos de usuarios, en el panel Asignaciones, elija usuarios o grupos a los que asignar esta regla. La columna “Asignado” muestra un icono de “verificación” para usuarios o grupos asignados.
Sugerencia:
- Puede utilizar las teclas modificadoras de selección habituales de Windows para realizar varias selecciones o utilizar Seleccionar todo para seleccionar todas las filas.
- Los usuarios ya deben estar en la lista de usuarios de Workspace Environment Management.
- Puede asignar reglas una vez creada la regla.
-
Haga clic en Siguiente.
-
Especifique los criterios con los que coincide la regla, según el tipo de regla que elija:
- Ruta. Especifique una ruta de acceso de archivo o carpeta con la regla que debe coincidir. Cuando elige una carpeta, la regla coincide con todos los archivos dentro y debajo de esa carpeta.
- Publicador. Especifique un archivo de referencia firmado y, a continuación, utilice el control deslizante Información de publicador para ajustar el nivel de coincidencia de propiedades.
- Hash. Especifique un archivo. La regla coincide con el código hash del archivo.
-
Haga clic en Siguiente.
-
Agregue las excepciones que necesite (opcional). En Agregar excepción, elija un tipo de excepción y, a continuación, haga clic en Agregar. (Puede modificar y quitar excepciones según sea necesario.)
-
Para guardar la regla, haga clic en Crear.
Para asignar reglas a los usuarios
Seleccione una o varias reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. En el editor, seleccione las filas que contienen los usuarios y grupos de usuarios a los que quiere asignar la regla y, a continuación, haga clic en Aceptar. También puede anular la asignación de las reglas seleccionadas de todos mediante Seleccionar todo para borrar todas las selecciones.
Nota: Si selecciona varias reglas y hace clic en Modificar, cualquier cambio de asignación de reglas para esas reglas se aplica a todos los usuarios y grupos de usuarios que seleccione. En otras palabras, las asignaciones de reglas existentes se fusionan entre esas reglas.
Para agregar reglas predeterminadas
Haga clic en Agregar reglas predeterminadas. Se agrega a la lista un conjunto de reglas predeterminadas de AppLocker.
Para modificar reglas
Seleccione una o varias reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. Aparece el editor que le permite ajustar los parámetros que se aplican a la selección realizada.
Para suprimir reglas
Seleccione una o más reglas de la lista y, a continuación, haga clic en Eliminar en la barra de herramientas o en el menú contextual.
Para realizar copias de seguridad de las reglas de seguridad de aplicaciones
Puede realizar una copia de seguridad de todas las reglas de seguridad de aplicaciones en el conjunto de configuraciones actual. Las reglas se exportan como un único archivo XML. Puede utilizar Restaurar para restaurar las reglas en cualquier conjunto de configuraciones. En la cinta, haga clic en Copia de seguridad y luego selecciona Configuración de seguridad.
Para restaurar las reglas de seguridad de aplicaciones
Puede restaurar reglas de seguridad de aplicaciones a partir de archivos XML creados por el comando de copia de seguridad de Workspace Environment Management. El proceso de restauración reemplaza las reglas del conjunto de configuraciones actual por las reglas de la copia de seguridad. Al cambiar o actualizar la ficha Seguridad, se detectan las reglas de seguridad de aplicaciones no válidas. Las reglas no válidas se eliminan automáticamente y se muestran en un cuadro de diálogo de informe, que puede exportar.
Durante el proceso de restauración, puede elegir si quiere restaurar asignaciones de reglas a usuarios y grupos de usuarios del conjunto de configuraciones actual. La reasignación solamente se realiza correctamente si los usuarios/grupos con copia de seguridad están presentes en el conjunto de configuraciones o directorio activo actuales. Las reglas que no coincidan se restauran, pero permanecen sin asignar. Después de restaurar, se muestran en un cuadro de diálogo de informe que se puede exportar en formato CSV.
1. En la cinta, haga clic en Restaurar para iniciar el asistente de restauración.
2. Seleccione Configuración de seguridad y, a continuación, haga clic dos veces en Siguiente.
3. En Restaurar desde carpeta, vaya a la carpeta que contiene el archivo de copia de seguridad.
4. Seleccione Configuración de regla de AppLocker y, a continuación, haga clic en Siguiente.
5. Confirme si quiere restaurar asignaciones de reglas o no:
Sí. Restaure las reglas y reasignarlas a los mismos usuarios y grupos de usuarios del conjunto de configuraciones actual.
No. Restaurar reglas y dejarlas sin asignar.
6. Para empezar a restaurar, haga clic en Restaurar configuración.
Gestión de procesos
Estos parámetros le permiten incluir en la lista de permitidos o prohibidos procesos específicos.
Gestión de procesos
Habilitar administración de procesos. Esto cambia si las listas de permitidos/listas de prohibidos de proceso están en vigor. Si se inhabilita, no se tendrá en cuenta ningún parámetro de las fichas Procesar lista de prohibidos y Procesar lista de permitidos.
Nota:
Esta opción solo funciona si el agente de sesión se está ejecutando en la sesión del usuario. Para ello, utilice la configuración del Agente de configuración principal para establecer las opciones de Iniciar agente (al iniciar sesión / al reconectarse / para administradores) para que se inicien según el tipo de usuario/sesión y establezca Tipo de agente en “UI”. Estas opciones se describen en Configuración avanzada.
Procesar listas de prohibidos
Esta configuración le permite incluir en una lista de prohibidos procesos específicos.
Habilitar lista de procesos prohibidos. Esto habilita la lista de procesos prohibidos. Debe agregar procesos mediante su nombre ejecutable (por ejemplo, cmd.exe).
Excluir administradores locales. Excluye las cuentas de administrador local de la lista de procesos prohibidos.
Excluir grupos especificados. Permite excluir grupos de usuarios específicos de la lista de procesos prohibidos.
Lista de procesos permitidos
Esta configuración le permite incluir en la lista de procesos específicos permitidos. Las listas de procesos prohibidos y las listas de procesos permitidos son mutuamente excluyentes.
Habilitar lista de procesos permitidos. Esto habilita la lista de procesos permitidos. Debe agregar procesos mediante su nombre ejecutable (por ejemplo, cmd.exe). Nota Si está habilitada, Habilitar lista de procesos permitidos en la lista de prohibidos automáticamente todos los procesos que no están en la lista de permitidos.
Excluir administradores locales. Excluye las cuentas de administrador local de la lista de proceso permitidos (pueden ejecutar todos los procesos).
Excluir grupos especificados. Le permite excluir grupos de usuarios específicos de la lista de procesos permitidos (pueden ejecutar todos los procesos).