Seguridad
Seguridad de las aplicaciones
La función de seguridad de las aplicaciones le permite definir reglas para controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Puede configurar las reglas de seguridad de las aplicaciones en la consola web y proporcionar una herramienta para recuperar la información necesaria para la configuración de las reglas. Además, puede usar esta función para crear grupos de asignación con reglas de seguridad. Cuando las reglas de aplicación de proceso y las reglas de DLL de proceso están habilitadas, el modo de sobrescritura está activado de forma predeterminada. En el modo de sobrescritura, las reglas que se procesan al final sobrescriben las reglas que se procesaron anteriormente. Se recomienda aplicar este modo solo a las máquinas de sesión única. Esta función también le permite crear las siguientes reglas:
- Reglas ejecutables
- Reglas del instalador de Windows
- Reglas de script
- Reglas de aplicaciones empaquetadas
- Reglas de DLL
Nota:
Antes de crear reglas, le recomendamos que primero agregue las reglas predeterminadas para garantizar que los archivos importantes del sistema puedan ejecutarse.
Crear regla de instalación de Windows
Esto incluye dos elementos del menú: Información básica y Excepciones. Para crear una regla de Windows Installer, complete los pasos siguientes en Información básica y Excepciones:
- Al seleccionar Crear regla, accederá a la página Crear regla del instalador de Windows.
- Introduzca el nombre y una descripción opcional.
- Seleccione la accióndeseada.
- Seleccione el tipo de criterio, como la ruta, el publicadoro el hash del archivo, en la lista desplegable.
- Al seleccionar Abrir visor de información de archivos, se dirigirá al WEM Tool Hub. Utilice el WEM Tool Hub** para obtener rápidamente la información requerida. Para obtener más información, consulte Visor de información de archivos.
- Si lo desea, puede agregar excepciones para incluir los archivos que normalmente se incluyen en la regla según los criterios principales. Para realizar esta tarea, seleccione Agregar excepción.
- Vaya a WEM Tool Hub para copiar los datos de uno de los criterios especificados en el Visor de información de archivos y, a continuación, haga clic en Pegar desde el visor de información de archivos.
- Haga clic en Listo.
- Seleccione Continuar con la asignación para actualizar las asignaciones según sea necesario en la página Administrar asignaciones.
- Seleccione Objetivos de asignación (usuarios y grupos) a los que asignar este elemento. Utilice filtros para contextualizar la tarea. Los filtros que especifique solo son efectivos en el modo de sobrescritura y solo se admiten en las versiones del agente 2406 o posteriores.
- Introduzca un asterisco si necesita que se aplique una regla específica a todos los archivos.
Elevación de privilegios
Esta función define reglas para ejecutar ciertos programas con privilegios de administrador. Puede elevar los privilegios de usuarios no administrativos a un nivel de administrador necesario para algunos ejecutables. Como resultado, los usuarios pueden iniciar esos ejecutables como si fueran miembros del grupo de administradores.
Opciones de elevación de privilegios
-
Reglas de elevación de privilegios de proceso: cuando se selecciona, permite que los agentes procesen configuraciones de elevación de privilegios y otras opciones en la pestaña Elevación de privilegios se vuelven disponibles.
-
Aplicar a los sistemas operativos Windows Server: controla si se deben aplicar configuraciones de elevación de privilegios a los sistemas operativos Windows Server. Si se selecciona, las reglas asignadas a los usuarios funcionarán en máquinas de Windows Server. De forma predeterminada, esta opción está inhabilitada.
-
Aplicar RunAsInvoker: controla si se debe forzar que todos los ejecutables se ejecuten bajo la cuenta de Windows actual. Si se selecciona, no se pide a los usuarios que ejecuten ejecutables como administradores.
Este panel también muestra la lista completa de reglas que ha configurado. Haga clic en Reglas ejecutables, Reglas del instalador de Windowso Autoelevación para filtrar la lista de reglas a un tipo de regla específico. Puede utilizar Buscar para filtrar la lista. La columna asignada muestra un icono de marca de verificación para los usuarios o grupos de usuarios asignados.
Reglas compatibles
Puede configurar la elevación de privilegios mediante dos tipos de reglas: reglas ejecutables y reglas del instalador de Windows.
-
Reglas ejecutables: Reglas que incluyen archivos con extensiones .exe y .com asociados a una aplicación.
-
Reglas del instalador de Windows: Reglas que incluyen archivos de instalación con extensiones
.msi
y.msp
asociadas a una aplicación. Al agregar reglas de instalación de Windows, tenga en cuenta el siguiente escenario:- La elevación de privilegios solo se aplica a msiexec.exe de Microsoft. Asegúrese de que la herramienta que utiliza para implementar
.msi
y los archivos.msp
del instalador de Windows sea msiexec.exe. - Supongamos que un proceso coincide con una regla del instalador de Windows especificada y que su proceso principal coincide con una regla ejecutable especificada. El proceso no puede obtener privilegios elevados a menos que la configuración Aplicar a procesos secundarios esté habilitada en la regla ejecutable especificada.
- La elevación de privilegios solo se aplica a msiexec.exe de Microsoft. Asegúrese de que la herramienta que utiliza para implementar
-
Autoelevación: cuando está habilitada, la opción Ejecutar con privilegios de administrador está disponible en el menú contextual cuando hace clic derecho en un archivo. Después de seleccionar esta opción, se le solicitará que proporcione un motivo para la elevación. Luego, se permite o deniega la elevación según los criterios que usted especifique. Para configurar la regla, puede utilizar el WEM Tool Hub > File Info Viewer para obtener rápidamente la información requerida, como ruta, editor y valores hash. También puede especificar el período de tiempo, elegir el día de la semana y, opcionalmente, establecer los criterios para determinar las máquinas en las que es efectiva la regla. Cuando el interruptor de autoelevación ** se habilita por primera vez en un conjunto de configuración, se crea la regla de autoelevación y se puede encontrar en la lista de reglas al administrar asignaciones para un objetivo de asignante. La regla nunca se elimina después de su creación.
Después de seleccionar las Reglas ejecutables, las Reglas del instalador de Windowso las Reglas de autoelevación , la sección Acciones muestra las siguientes acciones disponibles para usted:
-
Modificar. Permite modificar una regla ejecutable existente.
-
Eliminar. Permite eliminar una regla ejecutable existente.
-
Crear regla. Le permite crear una regla ejecutable. Para crear una regla ejecutable, siga las instrucciones del asistente.