Workspace Environment Management

Seguridad

Esta configuración le permite controlar las actividades de los usuarios dentro de Workspace Environment Management.


Seguridad de las aplicaciones

Importante:

Para controlar qué aplicaciones pueden ejecutarse los usuarios, puede utilizar la interfaz de Windows AppLocker o Workspace Environment Management para administrar las reglas de Windows AppLocker. Puede cambiar entre estos enfoques en cualquier momento, pero le recomendamos que no utilice ambos enfoques al mismo tiempo.

Esta configuración permite controlar las aplicaciones que los usuarios pueden ejecutar mediante la definición de reglas. Esta funcionalidad es similar a Windows AppLocker. Cuando se utiliza Workspace Environment Management para administrar reglas de AppLocker de Windows, el agente procesa (convierte) las reglas de la ficha Seguridad de aplicaciones en reglas de AppLocker de Windows en el host del agente. Si detiene las reglas de procesamiento del agente, se conservan en el conjunto de configuraciones y AppLocker continúa ejecutándose mediante el último conjunto de instrucciones procesadas por el agente.

Seguridad de las aplicaciones

Esta ficha muestra las reglas de seguridad de aplicaciones del conjunto de configuración actual de Workspace Environment Management. Puede utilizar Buscar para filtrar la lista según una cadena de texto.

Cuando selecciona el elemento de nivel superior «Seguridad de la aplicación» en la ficha Seguridad, las siguientes opciones estarán disponibles para habilitar o deshabilitar el procesamiento de reglas:

Procesar reglas de seguridad de aplicaciones. Cuando se selecciona, se habilitan los controles de la ficha Seguridad de aplicaciones y el agente procesa las reglas del conjunto de configuración actual, convirtiéndolas en reglas de AppLocker en el host del agente. Si no se selecciona, los controles de la ficha Seguridad de aplicaciones se deshabilitan y el agente no procesa las reglas en reglas de AppLocker. (En este caso, las reglas de AppLocker no se actualizan.)

Nota:

Esta opción no está disponible si la consola de administración de Workspace Environment Management está instalada en Windows 7 SP1 o Windows Server 2008 R2 SP1 (o versiones anteriores).

Procesar reglas DLL. Cuando se selecciona, el agente procesa las reglas DLL en la configuración actual establecida en las reglas DLL de AppLocker en el host del agente. Esta opción solo está disponible si selecciona Procesar reglas de seguridad de aplicaciones.

Importante:

Si utiliza reglas DLL, debe crear una regla DLL con el permiso “Permitir” para cada DLL que utilizan todas las aplicaciones permitidas.

Precaución:

Si utiliza reglas DLL, los usuarios pueden experimentar una reducción en el rendimiento. Esto sucede porque AppLocker comprueba cada DLL que carga una aplicación antes de que se le permita ejecutar.

Colecciones de reglas

Las reglas pertenecen a colecciones de reglas de AppLocker. Cada nombre de colección indica cuántas reglas contiene, por ejemplo (12). Haga clic en un nombre de colección para filtrar la lista de reglas por una de las siguientes colecciones:

  • Reglas ejecutables. Reglas que incluyen archivos con las extensiones.exe y .com asociados a una aplicación.
  • Reglas de Windows. Reglas que incluyen formatos de archivo de instalación (.msi, .msp, .mst) que controlan la instalación de archivos en equipos cliente y servidores.
  • Reglas de script. Reglas que incluyen archivos de los siguientes formatos: .ps1, .bat, .cmd, .vbs, .js.
  • Reglas empaquetadas. Reglas que incluyen aplicaciones empaquetadas, también conocidas como aplicaciones universales de Windows. En las aplicaciones empaquetadas, todos los archivos del paquete de aplicaciones comparten la misma identidad. Por lo tanto, una regla puede controlar toda la aplicación. Workspace Environment Management solo admite reglas de editor para aplicaciones empaquetadas.
  • Reglas DLL. Reglas que incluyen archivos de los siguientes formatos: .dll, .ocx.

Al filtrar la lista de reglas a una colección, la opción Aplicación de reglas está disponible para controlar cómo AppLocker aplica todas las reglas de esa colección en el host del agente. Los siguientes valores de aplicación de reglas son posibles:

Desactivado (predeterminado). Las reglas se crean y se establecen en “off”, lo que significa que no se aplican.

En. Las reglas se crean y se establecen para “aplicar”, lo que significa que están activas en el host del agente.

Auditoría. Las reglas se crean y se establecen en “auditoría”, lo que significa que están en el host del agente en un estado inactivo. Cuando un usuario ejecuta una aplicación que infringe una regla de AppLocker, la aplicación puede ejecutarse y la información sobre la aplicación se agrega al registro de eventos de AppLocker.

Para importar reglas de AppLocker

Puede importar reglas ya exportadas desde AppLocker a Workspace Environment Management. La configuración de AppLocker de Windows importada se agrega a las reglas existentes en la ficha Seguridad. Cualquier regla de seguridad de aplicaciones no válida se elimina automáticamente y se muestra en un cuadro de diálogo de informe, que puede exportar.

1. En la cinta de opciones, haga clic en Importar reglas de AppLocker.

2. Busque el archivo XML exportado desde AppLocker que contiene las reglas de AppLocker.

3. Haga clic en Importar.

Las reglas se agregan a la lista Reglas de seguridad de aplicaciones.

Para agregar una regla

1. Seleccione un nombre de colección de reglas en la barra lateral. Por ejemplo, para agregar una regla ejecutable seleccione la colección “Reglas ejecutables”.

2. Haga clic en Agregar regla.

3. En la sección Visualización, escriba los detalles siguientes:

Name. El nombre para mostrar de la regla tal como aparece en la lista de reglas.

Descripción. Información adicional sobre el recurso (opcional).

4. En la sección Tipo, haga clic en una opción:

Ruta. La regla coincide con una ruta de acceso de archivo o carpeta.

Editor. La regla coincide con un editor seleccionado.

Hachís. La regla coincide con un código hash específico.

5. En la sección Permisos, haga clic en si esta regla permitirá o denegará la ejecución de aplicaciones.

6. Para asignar esta regla a usuarios o grupos de usuarios, en el panel Asignaciones, elija usuarios o grupos a los que asignar esta regla. La columna “Asignado” muestra un icono de “verificación” para usuarios o grupos asignados.

Sugerencia: Puede utilizar las teclas de modificador de selección de Windows habituales para realizar varias selecciones, o bien utilizar Seleccionar todo para seleccionar todas las filas.

Consejo: Los usuarios ya deben estar en la lista Usuarios de Workspace Environment Management.

Sugerencia: Puede asignar reglas una vez creada la regla.

7. Haga clic en Siguiente.

8. Especifique los criterios con los que coincide la regla, según el tipo de regla que elija:

Ruta. Especifique una ruta de acceso de archivo o carpeta con la regla que debe coincidir. Cuando elige una carpeta, la regla coincide con todos los archivos dentro y debajo de esa carpeta.

Editor. Especifique un archivo de referencia firmado y, a continuación, utilice el control deslizante Información de publicador para ajustar el nivel de coincidencia de propiedades.

Hachís. Especifique un archivo. La regla coincide con el código hash del archivo.

9. Haga clic en Siguiente.

10. Agregue las excepciones que necesite (opcional). En Agregar excepción, elija un tipo de excepción y haga clic en Agregar (puede modificar y quitar excepciones según sea necesario).

11. Para guardar la regla, haga clic en Crear.

Para asignar reglas a los usuarios

Seleccione una o varias reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. En el editor, seleccione las filas que contienen los usuarios y grupos de usuarios a los que quiere asignar la regla y, a continuación, haga clic en Aceptar. También puede anular la asignación de las reglas seleccionadas de todos los usuarios que utilicen Seleccionar todo para borrar todas las selecciones.

Nota: Si selecciona varias reglas y hace clic en Modificar, los cambios de asignación de reglas para esas reglas se aplicarán a todos los usuarios y grupos de usuarios que seleccione. En otras palabras, las asignaciones de reglas existentes se fusionan entre esas reglas.

Para agregar reglas predeterminadas

Haga clic en Agregar reglas predeterminadas. Se agrega a la lista un conjunto de reglas predeterminadas de AppLocker.

Para modificar reglas

Seleccione una o varias reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. Aparece el editor que le permite ajustar los ajustes que se aplican a la selección realizada.

Para suprimir reglas

Seleccione una o varias reglas en la lista y, a continuación, haga clic en Eliminar en la barra de herramientas o en el menú contextual.

Para realizar copias de seguridad de las reglas de seguridad de aplicaciones

Puede realizar una copia de seguridad de todas las reglas de seguridad de aplicaciones en el conjunto de configuración actual. Las reglas se exportan como un único archivo XML. Puede utilizar Restaurar para restaurar las reglas en cualquier conjunto de configuraciones. En la cinta de opciones, haga clic en Copia de seguridad y, a continuación, seleccione Configuración de seguridad.

Para restaurar las reglas de seguridad de aplicaciones

Puede restaurar reglas de seguridad de aplicaciones a partir de archivos XML creados por el comando de copia de seguridad de Workspace Environment Management. El proceso de restauración reemplaza las reglas del conjunto de configuraciones actual por las reglas de la copia de seguridad. Cuando cambia a la ficha Seguridad o actualiza, se detectan reglas de seguridad de aplicaciones no válidas. Las reglas no válidas se eliminan automáticamente y se muestran en un cuadro de diálogo de informe, que puede exportar.

Durante el proceso de restauración, puede elegir si quiere restaurar las asignaciones de reglas a los usuarios y grupos de usuarios del conjunto de configuraciones actual. La reasignación solamente se realiza correctamente si los usuarios/grupos con copia de seguridad están presentes en el conjunto de configuración o directorio activo actuales. Las reglas que no coincidan se restauran, pero permanecen sin asignar. Después de restaurar, se muestran en un cuadro de diálogo de informe que se puede exportar en formato CSV.

1. En la cinta de opciones, haga clic en Restaurar para iniciar el asistente de restauración.

2. Seleccione Configuración de seguridad y, a continuación, haga clic dos veces en Siguiente.

3. En Restaurar desde carpeta, vaya a la carpeta que contiene el archivo de copia de seguridad.

4. Seleccione Configuración de regla de AppLocker y, a continuación, haga clic en Siguiente.

5. Confirme si quiere restaurar asignaciones de reglas o no:

. Restaurar reglas y reasignarlas a los mismos usuarios y grupos de usuarios del conjunto de configuraciones actual.

No. Restaurar reglas y dejarlas sin asignar.

6. Para comenzar a restaurar, haga clic en Restaurar configuración.


Gestión de Procesos

Estos ajustes le permiten incluir en la lista de permitidos o negra procesos específicos.

Gestión de Procesos

Habilite la administración de procesos. Esto cambia si las listas de permitidos/listas de prohibidos de proceso están en vigor. Si se inhabilita, no se tiene en cuenta ningún parámetro de las fichas Procesar lista negra y Procesar lista blanca.

Nota:

Esta opción solo funciona si el agente de sesión se está ejecutando en la sesión del usuario. Para ello, utilice los parámetros del Agente de Configuración principal para establecer las opciones de Iniciar agente (en Inicio de sesión/en Reconexión/para Administradores) de modo que se inicien de acuerdo con el tipo de usuario/sesión, y establezca Tipo de agente en “IU”. Estas opciones se describen en Parámetros avanzados.

Procesar listas de prohibidos

Esta configuración le permite incluir en una lista de prohibidos procesos específicos.

Habilitar Lista Negra de Procesos. Esto habilita la lista de procesos prohibidos. Debe agregar procesos mediante su nombre ejecutable (por ejemplo, cmd.exe).

Excluir administradores locales. Excluye las cuentas de administrador local de la lista de prohibidos del proceso.

Excluir grupos especificados. Permite excluir grupos de usuarios específicos de la lista de procesos prohibidos.

Lista blanca de procesos

Esta configuración le permite incluir en la lista blanca procesos específicos. Las listas de procesos prohibidos y las listas de procesos permitidos son mutuamente excluyentes.

Habilitar la lista blanca de procesos. Esto habilita la lista blanca de procesos. Debe agregar procesos mediante su nombre ejecutable (por ejemplo, cmd.exe). Nota Si se habilita, Activar lista blanca de procesos muestra automáticamente una lista negra de todos los procesos que no se encuentran en la lista blanca.

Excluir administradores locales. Excluye las cuentas de administrador local de la lista blanca del proceso (pueden ejecutar todos los procesos).

Excluir grupos especificados. Le permite excluir grupos de usuarios específicos de la lista blanca de procesos (pueden ejecutar todos los procesos).

Seguridad