Workspace Environment Management

Seguridad

Esta configuración le permite controlar las actividades de los usuarios dentro de Workspace Environment Management (WEM).


Seguridad de las aplicaciones

Importante:

Para controlar qué aplicaciones pueden ejecutar los usuarios, utilice la interfaz de Windows AppLocker o WEM para administrar las reglas de Windows AppLocker. Puede cambiar entre estos enfoques en cualquier momento. Le recomendamos que no utilice ambos enfoques al mismo tiempo.

Esta configuración permite controlar las aplicaciones que los usuarios pueden ejecutar mediante la definición de reglas. Esta funcionalidad es similar a Windows AppLocker. Cuando utiliza WEM para administrar las reglas de AppLocker de Windows, el agente convierte las reglas de ficha Seguridad de aplicaciones en reglas de Windows AppLocker en el host del agente. Si detiene las reglas de procesamiento del agente, se conservan en el conjunto de configuraciones. AppLocker continúa ejecutándose mediante el último conjunto de instrucciones procesadas por el agente.

Seguridad de las aplicaciones

Esta ficha muestra las reglas de seguridad de la aplicación en el conjunto de configuraciones WEM actual. Utilice Buscar para filtrar la lista según una cadena de texto.

Cuando selecciona el elemento de nivel superior “Seguridad de aplicaciones” en la ficha Seguridad, están disponibles las siguientes opciones:

  • Procesar reglas de seguridad de aplicaciones. Cuando se selecciona, se habilitan los controles de la ficha Seguridad de aplicaciones y el agente procesa las reglas del conjunto de configuraciones actual, convirtiéndolas en reglas de AppLocker en el host del agente. Si no se selecciona, los controles de ficha Seguridad de aplicaciones se inhabilitan y el agente no convierte las reglas en reglas de AppLocker. (En este caso, las reglas de AppLocker no se actualizan.)

    Nota:

    Esta opción no está disponible si la consola de administración de WEM está instalada en Windows 7 SP1 o Windows Server 2008 R2 SP1 (o versiones anteriores).

  • Reglas DLL de proceso. Cuando se selecciona, el agente convierte las reglas DLL del conjunto de configuraciones actual en reglas de AppLocker DLL en el host del agente. Esta opción solo está disponible si selecciona Reglas de seguridad de la aplicación de proceso.

    Importante:

    Si utiliza reglas DLL, debe crear una regla DLL con el permiso “Permitir” para cada DLL que utilizan todas las aplicaciones permitidas.

    Precaución:

    Si utiliza reglas DLL, es posible que los usuarios experimenten un rendimiento lento. Este problema se produce porque AppLocker comprueba cada DLL que carga una aplicación antes de que se le permita ejecutar la aplicación.

  • La configuración Sobrescribir y combinar le permite determinar cómo procesa el agente las reglas de seguridad de las aplicaciones.

    • Sobrescribir. Permite sobrescribir las reglas existentes. Cuando se selecciona, las reglas que se procesan por última vez sobrescriben las reglas que se procesaron anteriormente. Recomendamos que aplique este modo solo a equipos de sesión única.
    • Fusionar. Permite fusionar reglas con reglas existentes. Cuando se producen conflictos, las reglas que se procesan por última vez sobrescriben las reglas que se procesaron anteriormente.

Colecciones de reglas

Las reglas pertenecen a colecciones de reglas de AppLocker. Cada nombre de colección indica cuántas reglas contiene, por ejemplo (12). Haga clic en un nombre de colección para filtrar la lista de reglas por una de las siguientes colecciones:

  • Reglas ejecutables. Reglas que incluyen archivos con las extensión .exe y .com asociadas a una aplicación.
  • Reglas de Windows. Reglas que incluyen formatos de archivo de instalación (.msi, .msp, .mst) que controlan la instalación de archivos en equipos cliente y servidores.
  • Reglas de script. Reglas que incluyen archivos de los siguientes formatos: .ps1, .bat, .cmd, .vbs, .js.
  • Reglas empaquetadas. Reglas que incluyen aplicaciones empaquetadas, también conocidas como aplicaciones universales de Windows. En las aplicaciones empaquetadas, todos los archivos del paquete de aplicaciones comparten la misma identidad. Por lo tanto, una regla puede controlar toda la aplicación. WEM solo admite reglas de publicador para aplicaciones empaquetadas.
  • Reglas DLL. Reglas que incluyen archivos de los siguientes formatos: .dll, .ocx.

Al filtrar la lista de reglas en una colección, la opción Cumplimiento de reglas está disponible para controlar cómo AppLocker aplica todas las reglas de esa colección en el host del agente. Los siguientes valores de aplicación de reglas son posibles:

Desactivado (predeterminado). Las reglas se crean y se establecen en “off”, lo que significa que no se aplican.

Enciendo. Las reglas se crean y se establecen para “aplicar”, lo que significa que están activas en el host del agente.

Auditoría. Las reglas se crean y se establecen en “auditoría”, lo que significa que están en el host del agente en estado inactivo. Cuando un usuario ejecuta una aplicación que infringe una regla de AppLocker, la aplicación puede ejecutarse y la información sobre la aplicación se agrega al registro de eventos de AppLocker.

Para importar reglas de AppLocker

Puede importar reglas exportadas de AppLocker a Workspace Environment Management. La configuración importada de Windows AppLocker se agrega a cualquier regla existente en la ficha Seguridad. Cualquier regla de seguridad de aplicación no válida se elimina automáticamente y se incluye en un cuadro de diálogo de informe.

  1. En la cinta, haga clic en Importar reglas de AppLocker.

  2. Busque el archivo XML exportado desde AppLocker que contiene las reglas de AppLocker.

  3. Haga clic en Importar.

Las reglas se agregan a la lista Reglas de seguridad de aplicaciones.

Para agregar una regla

  1. Seleccione un nombre de colección de reglas en la barra lateral. Por ejemplo, para agregar una regla ejecutable seleccione la colección “Reglas ejecutables”.

  2. Haga clic en Agregar regla.

  3. En la sección Visualización, escriba los siguientes detalles:

    • Nombre. El nombre para mostrar de la regla tal como aparece en la lista de reglas.

    • Descripción. Información adicional sobre el recurso (opcional).

  4. En la sección Tipo, seleccione una opción:

    • Ruta. La regla coincide con una ruta de archivo.

    • Publicador. La regla coincide con un publicador seleccionado.

    • Hachís. La regla coincide con un código hash específico.

  5. En la sección Permisos, seleccione Permitir o Denegar. La selección controla si se permite o prohíbe la ejecución de aplicaciones.

  6. Para asignar esta regla a usuarios o grupos de usuarios, en el panel Asignaciones, elija usuarios o grupos a los que quiere asignar esta regla. La columna “Asignado” muestra un icono de “verificación” para usuarios o grupos asignados.

    Sugerencia:

    • Puede utilizar las teclas modificadoras de selección habituales de Windows para realizar varias selecciones o utilizar Seleccionar todo para seleccionar todas las filas.
    • Los usuarios ya deben estar en la lista Usuarios de WEM.
    • Puede asignar reglas una vez creada la regla.
  7. Haga clic en Siguiente.

  8. Especifique los criterios con los que coincide la regla, según el tipo de regla que elija:

    • Ruta. Escriba la ruta de acceso al archivo o carpeta al que quiere aplicar la regla. El agente WEM aplica la regla a un ejecutable según la ruta del archivo ejecutable.

    • Publicador. Rellene los siguientes campos: Publicador, Nombre del producto, Nombre de archivoy Versión de archivo. No puede dejar ninguno de los campos vacíos, pero puede escribir un asterisco (*) en su lugar. El agente de WEM aplica la regla según la información del publicador. Si se aplica, los usuarios pueden ejecutar ejecutables que compartan la misma información del publicador.

    • Hachís. Haga clic en Agregar para agregar un hash. En la ventana Agregar hash, escriba el nombre de archivo y el valor hash. Puede utilizar la herramienta AppInfoViewer para crear un hash a partir de un archivo o carpeta seleccionados. El agente de WEM aplica la regla a ejecutables idénticos tal y como se especifica. Como resultado, los usuarios pueden ejecutar ejecutables idénticos al especificado.

  9. Haga clic en Siguiente.

  10. Agregue las excepciones que necesite (opcional). En Agregar excepción, elija un tipo de excepción y, a continuación, haga clic en Agregar. (Si es necesario, puede modificar o eliminar excepciones).

  11. Para guardar la regla, haga clic en Crear.

Para asignar reglas a los usuarios

Seleccione una o más reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. En el editor, seleccione las filas que contienen los usuarios y grupos de usuarios a los que quiere asignar la regla y, a continuación, haga clic en Aceptar. También puede anular la asignación de las reglas seleccionadas de todos mediante Seleccionar todo para borrar todas las selecciones.

Nota: Si selecciona varias reglas y hace clic en Modificar, cualquier cambio en la asignación de reglas de esas reglas se aplicará a todos los usuarios y grupos de usuarios que seleccione. En otras palabras, las asignaciones de reglas existentes se fusionan entre esas reglas.

Para agregar reglas predeterminadas

Haga clic en Agregar reglas predeterminadas. Se agrega a la lista un conjunto de reglas predeterminadas de AppLocker.

Para modificar reglas

Seleccione una o más reglas de la lista y, a continuación, haga clic en Modificar en la barra de herramientas o en el menú contextual. Aparece el editor, lo que le permite ajustar la configuración que se aplica a la selección realizada.

Para suprimir reglas

Seleccione una o más reglas de la lista y, a continuación, haga clic en Eliminar en la barra de herramientas o en el menú contextual.

Para realizar copias de seguridad de las reglas de seguridad de aplicaciones

Puede realizar una copia de seguridad de todas las reglas de seguridad de aplicaciones en el conjunto de configuraciones actual. Las reglas se exportan como un único archivo XML. Puede utilizar Restaurar para restaurar las reglas en cualquier conjunto de configuraciones. En la cinta, haga clic en Copia de seguridad y luego selecciona Configuración de seguridad.

Para restaurar las reglas de seguridad de aplicaciones

Puede restaurar reglas de seguridad de aplicaciones a partir de archivos XML creados por el comando de copia de seguridad de Workspace Environment Management. El proceso de restauración reemplaza las reglas del conjunto de configuraciones actual por las reglas de la copia de seguridad. Al cambiar o actualizar la ficha Seguridad, se detectan las reglas de seguridad de aplicaciones no válidas. Las reglas no válidas se eliminan automáticamente y se muestran en un cuadro de diálogo de informe, que puede exportar.

Durante el proceso de restauración, puede elegir si quiere restaurar asignaciones de reglas a usuarios y grupos de usuarios del conjunto de configuraciones actual. La reasignación solamente se realiza correctamente si los usuarios/grupos con copia de seguridad están presentes en el conjunto de configuraciones o directorio activo actuales. Las reglas que no coincidan se restauran, pero permanecen sin asignar. Después de restaurar, se muestran en un cuadro de diálogo de informe que se puede exportar en formato CSV.

  1. En la cinta, haga clic en Restaurar para iniciar el asistente de restauración.

  2. Seleccione Configuración de seguridad y, a continuación, haga clic dos veces en Siguiente.

  3. En Restaurar desde carpeta, vaya a la carpeta que contiene el archivo de copia de seguridad.

  4. Seleccione Configuración de regla de AppLocker y, a continuación, haga clic en Siguiente.

  5. Confirme si quiere restaurar las asignaciones de reglas:

    • . Restaura reglas y las reasigna a los mismos usuarios y grupos de usuarios del conjunto de configuraciones actual.

    • No. Restaura reglas y las deja sin asignar.

  6. Para empezar a restaurar, haga clic en Restaurar configuración.


Gestión de procesos

Esta configuración le permite incluir procesos específicos en la lista de permitidos o de prohibidos.

Gestión de procesos

Habilitar administración de procesos. Esta opción cambia si las listas de procesos permitidos y prohibidos están en vigor. Si se inhabilita, ninguna de las configuraciones de las fichas Lista de procesos prohibidos y Lista de procesos permitidos surte efecto.

Nota:

Esta opción solo funciona si el agente se está ejecutando en la sesión del usuario. Para permitir que el agente se ejecute en la sesión, utilice la ficha Configuración avanzada > configuración > Configuración principal para habilitar las opciones de Iniciar agente (al iniciar sesión / al reconectarse / para administradores) y establezca Tipo de agente en IU. Estas opciones se describen en Configuración avanzada.

Procesar lista de prohibidos

Estos parámetros le permiten incluir en una lista de prohibidos procesos específicos.

Habilitar lista de procesos prohibidos. Esta opción habilita la lista de procesos prohibidos. Agregue procesos mediante sus nombres ejecutables (por ejemplo, cmd.exe).

Excluir administradores locales. Excluye las cuentas de administrador local de la lista de procesos prohibidos.

Excluir grupos especificados. Permite excluir grupos de usuarios específicos de la lista de procesos prohibidos.

Procesar lista de permitidos

Esta configuración le permite incluir procesos específicos en la lista de permitidos. Las listas de procesos prohibidos y las listas de procesos permitidos son mutuamente excluyentes.

Habilitar lista de procesos permitidos. Esta opción habilita la lista de procesos permitidos. Agregue procesos mediante sus nombres ejecutables (por ejemplo, cmd.exe).

Nota:

Si está activado, Habilitar la lista de procesos permitidos muestra automáticamente todos los procesos que no están en la lista de permitidos.

Excluir administradores locales. Excluye las cuentas de administrador local de la lista de procesos permitidos (pueden ejecutar todos los procesos).

Excluir grupos especificados. Permite excluir grupos de usuarios específicos de la lista de procesos permitidos (pueden ejecutar todos los procesos).


Elevación de privilegios

La función de elevación de privilegios permite elevar los privilegios de los usuarios no administrativos a un nivel de administrador necesario para algunos ejecutables. Como resultado, los usuarios pueden iniciar esos ejecutables como si fueran miembros del grupo de administradores.

Elevación de privilegios

Al seleccionar el panel Elevación de privilegios en Seguridad, aparecen las siguientes opciones:

  • Configuración de elevación de privilegios de proceso. Controla si se va a habilitar la entidad de elevación de privilegios. Cuando se selecciona, permite a los agentes procesar la configuración de elevación de privilegios y otras opciones de la ficha Elevación de privilegios están disponibles.

  • No aplique a los sistemas operativos Windows Server. Controla si se aplica la configuración de elevación de privilegios a los sistemas operativos Windows Server. Si se selecciona, las reglas asignadas a los usuarios no funcionan en equipos con Windows Server. Esta es la opción predeterminada.

  • Aplicar RunAsInvoker. Controla si se obliga a que todos los ejecutables se ejecuten en la cuenta actual de Windows. Si se selecciona, no se pide a los usuarios que ejecuten ejecutables como administradores.

En esta ficha también se muestra la lista completa de reglas que ha configurado. Haga clic en Reglas ejecutables o en Reglas de Windows Installer para filtrar la lista de reglas por un tipo de regla específico. Puede utilizar Buscar para filtrar la lista. La columna Asignado muestra un icono de marca de verificación para los usuarios o grupos de usuarios asignados.

Reglas compatibles

Puede configurar la elevación de privilegios mediante dos tipos de reglas: reglas ejecutables y reglas del instalador de Windows.

  • Reglas ejecutables. Reglas que incluyen archivos con extensiones .exe y .com asociados a una aplicación.

  • Reglas de Windows Installer. Reglas que incluyen los archivos del instalador con extensiones .msi y .msp asociados a una aplicación. Cuando agregue reglas del instalador de Windows, tenga en cuenta el siguiente caso:

    • La elevación de privilegios solo se aplica a msiexec.exe de Microsoft. Asegúrese de que la herramienta que utiliza para implementar .msi y los archivos .msp del instalador de Windows sea msiexec.exe.
    • Supongamos que un proceso coincide con una regla del instalador de Windows especificada y que su proceso principal coincide con una regla ejecutable especificada. El proceso no puede obtener privilegios elevados a menos que la configuración Aplicar a procesos secundarios esté habilitada en la regla ejecutable especificada.

Después de hacer clic en las reglas ejecutables o en la ficha Reglas de Windows Installer, la sección Acciones muestra las siguientes acciones disponibles:

  • Modificar. Permite modificar una regla ejecutable existente.

  • Eliminar. Permite eliminar una regla ejecutable existente.

  • Agregar regla. Permite agregar una regla ejecutable.

Para agregar una regla

  1. Vaya a Reglas ejecutables o Reglas de Windows Installer y haga clic en Agregar regla. Aparece la ventana Agregar regla.

  2. En la sección Visualización, escriba lo siguiente:

    • Nombre. Escriba el nombre para mostrar de la regla. El nombre aparece en la lista de reglas.
    • Descripción. Escriba información adicional sobre la regla.
  3. En la sección Tipo, seleccione una opción.

    • Ruta. La regla coincide con una ruta de archivo.
    • Publicador. La regla coincide con un publicador seleccionado.
    • Hachís. La regla coincide con un código hash específico.
  4. En la sección Configuración, configure lo siguiente si es necesario:

    • Aplicar a procesos secundarios. Si se selecciona, aplica la regla a todos los procesos secundarios que inicia el ejecutable. Para administrar la elevación de privilegios a un nivel más detallado, utilice las siguientes opciones:

      • Aplicar solo a los ejecutables de la misma carpeta. Si se selecciona esta opción, aplica la regla solo a los ejecutables que comparten la misma carpeta.
      • Aplicar solo a los ejecutables firmados. Si se selecciona esta opción, aplica la regla solo a los ejecutables firmados.
      • Aplicar solo a los ejecutables del mismo publicador. Si se selecciona esta opción, aplica la regla solo a los ejecutables que comparten la misma información de publicador. Esta configuración no funciona con las aplicaciones de la Plataforma universal de Windows (UWP).

      Nota:

      Al agregar reglas de instalación de Windows, la configuración Aplicar a procesos secundarios está habilitada de forma predeterminada y no se puede modificar.

    • Hora de inicio. Permite especificar un momento para que los agentes empiecen a aplicar la regla. El formato de hora es HH:MM. La hora se basa en la zona horaria del agente.

    • Hora de finalización. Permite especificar un tiempo para que los agentes dejen de aplicar la regla. El formato de hora es HH:MM. A partir del tiempo especificado, los agentes ya no aplican la regla. La hora se basa en la zona horaria del agente.

    • Agregar parámetro. Permite restringir la elevación de privilegios a los ejecutables que coinciden con el parámetro especificado. El parámetro funciona como criterio de coincidencia. Asegúrese de que el parámetro que especifique sea correcto. Para ver un ejemplo de cómo utilizar esta función, consulte Ejecutables que se ejecutan con parámetros. Si este campo está vacío o solo contiene espacios en blanco, el agente aplica la elevación de privilegios a los ejecutables relevantes, independientemente de si se ejecutan o no con parámetros.

    • Habilitar expresiones regulares. Permite controlar si se utilizan expresiones regulares para ampliar aún más el criterio.

  5. En la sección Asignaciones, seleccione usuarios o grupos de usuarios a los que quiere asignar la regla. Si quiere asignar la regla a todos los usuarios y grupos de usuarios, seleccione Seleccionar todo.

    Sugerencia:

    • Puede utilizar las teclas modificadoras de selección habituales de Windows para realizar varias selecciones.
    • Los usuarios o grupos de usuarios deben estar ya en la lista que se muestra en la ficha Administración > Usuarios.
    • Puede elegir asignar la regla más adelante (después de crear la regla).
  6. Haga clic en Siguiente.

  7. Realice cualquiera de las siguientes acciones. Se necesitan distintas acciones según el tipo de regla que haya seleccionado en la página anterior.

    Importante:

    WEM le proporciona una herramienta denominada AppInfoViewer para obtener la siguiente información y más de los archivos ejecutables: publicador, ruta de acceso y hash. Para obtener más información, consulte Herramienta para obtener información sobre archivos ejecutables.

    • Ruta. Escriba la ruta de acceso al archivo o carpeta al que quiere aplicar la regla. El agente de WEM aplica la regla a un ejecutable según la ruta del archivo ejecutable.
    • Publicador. Rellene los siguientes campos: Publicador, Nombre del producto, Nombre de archivoy Versión de archivo. No puede dejar ninguno de los campos vacíos, pero puede escribir un asterisco (*) en su lugar. El agente de WEM aplica la regla según la información del publicador. Si se aplica, los usuarios pueden ejecutar ejecutables que compartan la misma información del publicador.
    • Hachís. Haga clic en Agregar para agregar un hash. En la ventana Agregar hash, escriba el nombre de archivo y el valor hash. Puede utilizar la herramienta AppInfoViewer para crear un hash a partir de un archivo o carpeta seleccionados. El agente de WEM aplica la regla a ejecutables idénticos tal y como se especifica. Como resultado, los usuarios pueden ejecutar ejecutables idénticos al especificado.
  8. Haga clic en Crear para guardar la regla y salir de la ventana.

Ejecutables que se ejecutan con parámetros

Puede restringir la elevación de privilegios a los ejecutables que coinciden con el parámetro especificado. El parámetro funciona como criterio de coincidencia. Para ver los parámetros disponibles para un ejecutable, utilice herramientas como Process Explorer o Process Monitor. Aplique los parámetros que aparecen en esas herramientas.

Supongamos que quiere aplicar la regla a un ejecutable (por ejemplo, cmd.exe) según la ruta del archivo ejecutable. Quiere aplicar la elevación de privilegios solo a test.bat. Puede utilizar Process Explorer para obtener los parámetros.

CMD ejecutándose con parámetros

En el campo Agregar parámetro, puede escribir lo siguiente:

  • /c ""C:\test.bat""

A continuación, escribe lo siguiente en el campo Ruta:

  • C:\Windows\System32\cmd.exe

En este caso, eleva el privilegio de los usuarios especificados a un nivel de administrador solo para test.bat.

Para asignar reglas a los usuarios

Seleccione una o más reglas de la lista y, a continuación, haga clic en Modificar en la sección Acciones. En la ventana Modificar regla, seleccione usuarios o grupos de usuarios a los que quiere asignar la regla y, a continuación, haga clic en Aceptar.

Para suprimir reglas

Seleccione una o varias reglas de la lista y, a continuación, haga clic en Eliminar en la sección Acciones.

Para crear una copia de seguridad de las reglas de elevación de privilegios

Puede hacer una copia de seguridad de todas las reglas de elevación de privilegios del conjunto de configuraciones actual. Todas las reglas se exportan como un único archivo XML. Puede utilizar Restaurar para restaurar las reglas en cualquier conjunto de configuraciones.

Para completar la copia de seguridad, utilice el asistente Copia de seguridad, disponible en la cinta de opciones. Para obtener más información sobre el uso del Asistente para copias de seguridad, consulte Cinta de opciones.

Para restaurar reglas de elevación de privilegios

Puede restaurar las reglas de elevación de privilegios a partir de archivos XML exportados mediante el asistente de copia de seguridad de Workspace Environment Management. El proceso de restauración reemplaza las reglas del conjunto de configuraciones actual por las reglas de la copia de seguridad. Al cambiar o actualizar el panel Seguridad > Elevación de privilegios, se detectan las reglas de elevación de privilegios no válidas. Las reglas no válidas se eliminan automáticamente y se enumeran en un informe que se puede exportar. Para obtener más información sobre el uso del Asistente de restauración, consulte Cinta de opciones.

Autoelevación

Con la autoelevación, puede automatizar la elevación de privilegios para determinados usuarios sin necesidad de proporcionar los ejecutables exactos de antemano. Estos usuarios pueden solicitar la autoelevación de cualquier archivo aplicable haciendo clic con el botón secundario del ratón en el archivo y seleccionando Ejecutar con privilegios de administrador en el menú contextual. Después de eso, aparece un mensaje en el que se solicita que indique el motivo del alzado. El agente de WEM no valida el motivo. El motivo del alzado se guarda en la base de datos con fines de auditoría. Si se cumplen los criterios, se aplica la elevación y los archivos se ejecutan correctamente con privilegios de administrador.

La función también le da flexibilidad para elegir la solución que mejor se adapte a sus necesidades. Puede crear listas de permisos para los archivos que permite a los usuarios elevar automáticamente o bloquear listas para los archivos que quiere evitar que los usuarios se autoeleven.

La autoelevación se aplica a los archivos de los siguientes formatos: .exe, .msi, .bat, .cmd, .ps1 y .vbs.

Nota:

De forma predeterminada, algunas aplicaciones se utilizan para ejecutar algunos archivos. Por ejemplo, cmd.exe se utiliza para ejecutar archivos.cmd y powershell.exe para ejecutar archivos.ps1. En esos casos, no se puede cambiar el comportamiento predeterminado.

Al seleccionar Seguridad > Autoelevación, aparecen las siguientes opciones:

  • Habilite la autoelevación. Controla si se habilita la función de autoelevación. Seleccione la opción para:

    • Permita que los agentes procesen la configuración de autoelevación.
    • Haga disponibles otras opciones de la ficha Autoelevación.
    • Haga que la opción Ejecutar con privilegios de administrador esté disponible en el menú contextual cuando los usuarios hagan clic con el botón secundario en un archivo. Como resultado, los usuarios pueden solicitar la autoelevación de los archivos que coinciden con las condiciones especificadas en la ficha Autoelevación.
  • Permisos. Le permite crear listas de permisos para los archivos que permite a los usuarios elevar automáticamente o bloquear listas de archivos que quiere evitar que los usuarios se autoeleven.

    • Permitir. Crea listas de permisos para los archivos que permite a los usuarios elevar por sí mismos.
    • Denegar. Crea listas de bloqueo para los archivos que quiere evitar que los usuarios se autoeleven.
  • Puede realizar las siguientes operaciones:

    • Modificar. Permite modificar una condición existente.
    • Eliminar. Permite suprimir una condición existente.
    • Agregar. Permite agregar una condición. Puede crear una condición basada en una ruta, un publicador seleccionado o un código hash específico.
  • Configuración. Permite configurar parámetros adicionales que controlan la forma en que los agentes aplican la autoelevación.

    • Aplicar a procesos secundarios. Si se selecciona esta opción, aplica condiciones de autoelevación a todos los procesos secundarios que inicia el archivo.
    • Hora de inicio. Permite especificar un momento para que los agentes empiecen a aplicar condiciones de autoelevación. El formato de hora es HH:MM. La hora se basa en la zona horaria del agente.
    • Hora de finalización. Permite especificar un tiempo para que los agentes dejen de aplicar condiciones de autoelevación. El formato de hora es HH:MM. A partir del momento especificado, los agentes dejarán de aplicar las condiciones. La hora se basa en la zona horaria del agente.
  • Asignaciones. Permite asignar la condición de autoelevación a usuarios o grupos de usuarios aplicables. Para asignar la condición a todos los usuarios y grupos de usuarios, haga clic en Seleccionar todo o seleccione Todos. La casilla Seleccionar todo resulta útil en situaciones en las que quiere borrar la selección y volver a seleccionar usuarios y grupos de usuarios.

Auditoría de actividades de elevación de privilegios

WEM admite actividades de auditoría relacionadas con la elevación de privilegios. Para obtener más información, consulte Auditoría de las actividades de los usuarios.

Control de jerarquía de procesos

La función de control de jerarquía de procesos controla si ciertos procesos secundarios se pueden iniciar desde sus procesos principales en casos principal e secundario. Para crear una regla, se definen los procesos principales y, a continuación, designar una lista de permitidos o una lista de bloques para sus procesos secundarios. Revise toda esta sección antes de utilizar la función.

Nota:

  • Esta función solo se aplica a las aplicaciones virtuales de Citrix.

Para entender cómo funciona la regla, tenga en cuenta lo siguiente:

  • Un proceso está sujeto a una sola regla. Si define varias reglas para el mismo proceso, solo se aplica la regla con la máxima prioridad.

  • La regla que ha definido no está restringida solo a la jerarquía principal e secundario original, sino que también se aplica a cada nivel de esa jerarquía. Las reglas aplicables a un proceso principal prevalecen sobre las normas aplicables a sus procesos secundarios, independientemente de la prioridad de las reglas. Por ejemplo, se definen las dos reglas siguientes:

    • Regla 1: Word no puede abrir CMD.
    • Regla 2: El Bloc de notas puede abrir CMD.

    Con las dos reglas, no puede abrir CMD desde el Bloc de notas abriendo primero Word y luego abriendo el Bloc de notas desde Word, independientemente de la prioridad de las reglas.

Esta función se basa en ciertas relaciones principal-secundario basadas en procesos para funcionar. Para visualizar las relaciones principal-secundario en un caso, utilice la función de árbol de procesos de la herramienta Process Explorer. Para obtener más información sobre Process Explorer, consulte https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Para evitar posibles problemas, le recomendamos que agregue una ruta de archivo ejecutable que apunte a VUEMAppCmd.exe en la interfaz de administración de configuración completa. VUEMAppCmd.exe garantiza que el agente WEM termine de procesar la configuración antes de que comiencen las aplicaciones publicadas. Siga estos pasos:

  1. En el nodo Aplicación, seleccione la aplicación, haga clic en Propiedades en la barra de acciones y, a continuación, vaya a la página Ubicación.

    Página Configuración de la aplicación en Configuración completa

  2. Escriba la ruta de acceso de la aplicación local en el sistema operativo del usuario final.

    • En el campo Ruta del archivo ejecutable, escriba lo siguiente: <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe.
  3. Escriba el argumento de la línea de comandos para especificar la aplicación que quiere abrir.

    • En el campo de argumento de línea de comandos, escriba la ruta completa de la aplicación que quiere iniciar a través de VUEMAppCmd.exe. Asegúrese de ajustar la línea de comandos de la aplicación entre comillas dobles si la ruta contiene espacios en blanco.
    • Por ejemplo, supongamos que desea iniciar iexplore.exe a través de VUEMAppCmd.exe. Para ello, escriba lo siguiente: %ProgramFiles(x86)%\Internet Explorer\iexplore.exe.

Consideraciones

Para que la función funcione, debe utilizar la herramienta AppInfoViewer en cada máquina agente para habilitarla. Cada vez que utiliza la herramienta para habilitar o inhabilitar la función, es necesario reiniciar la máquina. Con la función habilitada, tenga en cuenta las siguientes consideraciones:

  • Debe reiniciar el equipo agente después de actualizar o desinstalar el agente.

    Nota:

    Si actualiza o desinstala las versiones 2103.2.0.1 o 2104.1.0.1, no aparece ningún mensaje de reinicio.

  • La función de actualización automática del agente no funciona en la versión 2105.1.0.1 o posterior del agente. Para utilizar la función de actualización automática del agente, utilice la herramienta AppInfoViewer para inhabilitar primero la función de control de jerarquía de procesos.

  • Si actualiza desde las versiones 2103.2.0.1 o 2104.1.0.1, debe reiniciar el equipo del agente una vez finalizada la actualización automática del agente.

Para determinar si la función de control de jerarquías de procesos está habilitada, abra el Editor del Registro en el equipo agente. La función está habilitada si existe la siguiente entrada de registro:

  • SO de 32 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • SO de 64 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Importante:

En las versiones 2103.2.0.1 y 2104.1.0.1 del agente, la función de control de jerarquía de procesos podría estar habilitada automáticamente. Para determinar si la función de control de jerarquías de procesos está habilitada, abra el Editor del Registro en el equipo agente. Si la función está habilitada, debe reiniciar el equipo agente manualmente después de actualizar o desinstalar el agente.

Requisitos previos

Para utilizar la función, asegúrese de que se cumplen los siguientes requisitos previos:

  • Una implementación de aplicaciones virtuales de Citrix.
  • El agente se ejecuta en Windows 10 o Windows Server.
  • El host del agente se ha reiniciado tras la actualización in situ o una nueva instalación.

Control de jerarquía de procesos

Al seleccionar Control de jerarquía de procesos en Seguridad, aparecen las siguientes opciones:

  • Habilitar el control de jerarquía de procesos. Controla si se habilita la función de control de jerarquía de procesos. Cuando se selecciona, otras opciones de la ficha Control de jerarquía de procesos están disponibles y los parámetros configurados pueden surtir efecto. Puede usar esta función solo en una implementación de aplicaciones virtuales de Citrix.

  • Ocultar Abrir con desde el menú contextual. Controla si se muestra u oculta la opción Abrir con del menú contextual de Windows. Cuando está activada, la opción de menú se oculta en la interfaz. Cuando está inhabilitada, la opción está visible y los usuarios pueden utilizarla para iniciar un proceso. La función de control de jerarquía de procesos no se aplica a los procesos iniciados mediante la opción Abrir con. Recomendamos habilitar esta configuración para evitar que las aplicaciones inicien procesos a través de servicios del sistema que no están relacionados con la jerarquía de aplicaciones actual.

La ficha Control de jerarquía de procesos también muestra la lista completa de reglas que ha configurado. Puede utilizar Buscar para filtrar la lista. La columna Asignado muestra un icono de marca de verificación para los usuarios o grupos de usuarios asignados.

En la sección Acciones se muestran las siguientes acciones:

  • Modificar. Permite modificar una regla existente.
  • Eliminar. Permite eliminar una regla existente.
  • Agregar regla. Permite agregar una regla.

Para agregar una regla

  1. Vaya a Control de jerarquía de procesos y haga clic en Agregar regla. Aparece la ventana Agregar regla.

  2. En la sección Visualización, escriba lo siguiente:

    • Nombre. Escriba el nombre para mostrar de la regla. El nombre aparece en la lista de reglas.
    • Descripción. Escriba información adicional sobre la regla.
  3. En la sección Tipo, seleccione una opción.

    • Ruta. La regla coincide con una ruta de archivo.
    • Publicador. La regla coincide con un publicador seleccionado.
    • Hachís. La regla coincide con un código hash específico.
  4. En la sección Modo, seleccione cualquiera de las siguientes opciones:

    • Agregar procesos secundarios a la lista de bloques. Si se selecciona, permite definir una lista de bloques para los procesos secundarios aplicables después de configurar una regla para sus procesos principales. Una lista bloqueada prohíbe que solo se ejecuten los procesos especificados y se permite la ejecución de otros procesos.
    • Agregar procesos secundarios a la lista de permitidos. Si se selecciona, permite definir una lista de permitidos para los procesos secundarios aplicables después de configurar una regla para sus procesos principales. Una lista de permitidos permite que solo se ejecuten los procesos especificados y se prohíbe la ejecución de otros procesos.

    Nota:

    Un proceso está sujeto a una sola regla. Si define varias reglas para el mismo proceso, las reglas se aplican por orden de prioridad.

  5. En la sección Asignaciones, seleccione usuarios o grupos de usuarios a los que quiere asignar la regla. Si quiere asignar la regla a todos los usuarios y grupos de usuarios, seleccione Seleccionar todo.

    Nota:

    • Puede utilizar las teclas de selección habituales de Windows para realizar varias selecciones.
    • Los usuarios o grupos de usuarios deben estar ya en la lista que se muestra en la ficha Administración > Usuarios.
    • Puede elegir asignar la regla más adelante (después de crear la regla).
  6. Haga clic en Siguiente.

  7. Siga uno de estos procedimientos para configurar la regla para los procesos principales. Se necesitan distintas acciones según el tipo de regla que haya seleccionado en la página anterior.

    Importante:

    WEM le proporciona una herramienta denominada AppInfoViewer para obtener la siguiente información y más de los archivos ejecutables: publicador, ruta de acceso y hash. Para obtener más información, consulte Herramienta para obtener información sobre archivos ejecutables.

    • Ruta. Escriba la ruta del archivo o carpeta al que quiere aplicar la regla para los procesos principales. El agente WEM aplica la regla a un ejecutable según la ruta del archivo ejecutable. No recomendamos que escriba solo asterisco (*) en este campo para indicar una coincidencia de ruta. Si lo hace, podría provocar problemas de rendimiento no deseados.
    • Publicador. Rellene los siguientes campos: Publicador, Nombre del producto, Nombre de archivoy Versión de archivo. No puede dejar ninguno de los campos vacíos, pero puede escribir un asterisco (*) en su lugar. El agente WEM aplica la regla a los procesos principales según la información del publicador. Si se aplica, los usuarios pueden ejecutar ejecutables que compartan la misma información del publicador.

    • Hachís. Haga clic en Agregar para agregar un hash. En la ventana Agregar hash, escriba el nombre de archivo y el valor hash. Puede utilizar la herramienta AppInfoViewer para crear un hash a partir de un archivo o carpeta seleccionados. El agente de WEM aplica la regla a ejecutables idénticos tal y como se especifica. Como resultado, los usuarios pueden ejecutar ejecutables idénticos al especificado.
  8. Haga clic en Siguiente para configurar la configuración del proceso secundario.

  9. Siga uno de estos procedimientos para definir una lista de permitidos o una lista de bloques para los procesos secundarios aplicables.

    1. Seleccione un tipo de regla en el menú y, a continuación, haga clic en Agregar. Aparece la ventana Proceso secundario.
    2. En la ventana Proceso secundario, configure los parámetros según sea necesario. La interfaz de usuario de la ventana Proceso secundario es diferente según el tipo de regla que haya seleccionado. Para un proceso secundario, están disponibles los siguientes tipos de reglas: Ruta, Publicador y Hash.
    3. Haga clic en Aceptar para volver a la ventana Agregar regla. Puede agregar más procesos secundarios o hacer clic en Crear para guardar la regla y salir de la ventana.

Para asignar reglas a los usuarios

Seleccione una regla de la lista y, a continuación, haga clic en Modificar en la sección Acciones. En la ventana Modificar regla, seleccione usuarios o grupos de usuarios a los que quiere asignar la regla y, a continuación, haga clic en Aceptar.

Para suprimir reglas

Seleccione una o varias reglas de la lista y, a continuación, haga clic en Eliminar en la sección Acciones.

Para respaldar las reglas

Puede hacer una copia de seguridad de todas las reglas de control de jerarquía de procesos del conjunto de configuraciones actual. Todas las reglas se exportan como un único archivo XML. Puede utilizar Restaurar para restaurar las reglas en cualquier conjunto de configuraciones.

Para completar la copia de seguridad, utilice el asistente Copia de seguridad, disponible en la cinta de opciones. Para obtener más información sobre el uso del Asistente para copias de seguridad, consulte Cinta de opciones.

Para restaurar reglas

Puede restaurar las reglas de control de jerarquía de procesos a partir de archivos XML exportados mediante el asistente Workspace Environment Management Backup. El proceso de restauración reemplaza las reglas del conjunto de configuraciones actual por las reglas de la copia de seguridad. Al cambiar o actualizar el panel Seguridad > Control de jerarquía de procesos, se detectan reglas no válidas. Las reglas no válidas se eliminan automáticamente y se enumeran en un informe que se puede exportar. Para obtener más información sobre el uso del Asistente de restauración, consulte Cinta de opciones.

Actividades de control de jerarquía de procesos de auditoría

WEM admite actividades de auditoría relacionadas con el control de jerarquía de procesos. Para obtener más información, consulte Auditoría de las actividades de los usuarios.

Auditoría de actividades de los usuarios

WEM admite actividades de auditoría relacionadas con la elevación de privilegios y el control de jerarquía de procesos. Para ver las auditorías, vaya a la ficha Administración > Registro > Agente. En la ficha, configure los valores de registro, seleccione ElevationControl, Self-elevation o ProcessHierarchyControl en el campo Acciones y, a continuación, haga clic en Aplicar filtro para restringir los registros a actividades específicas. Puede ver todo el historial de elevación de privilegios o control jerárquico de procesos.

Registros de actividad de usuario

Seguridad