Administración de Device Guard con Configuration ManagerDevice Guard management with Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

IntroducciónIntroduction

Device Guard es un grupo de características de Windows 10 que se han diseñado para proteger a los equipos frente a malware y otro software que no es de confianza.Device Guard is a group of Windows 10 features that are designed to protect PCs against malware and other untrusted software. Evita la ejecución de código malintencionado al garantizar que solo se pueda ejecutar código aprobado que conoce.It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Device Guard incluye una funcionalidad de seguridad basada en software y hardware.Device Guard encompasses both software and hardware-based security functionality. Control de aplicaciones de Windows Defender es una capa de seguridad basada en software que exige una lista explícita de software que se puede ejecutar en un equipo.Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. Por sí solo, el control de aplicaciones no tiene ningún requisito previo de hardware ni firmware.On its own, Application Control does not have any hardware or firmware prerequisites. Las directivas de control de aplicaciones que se implementan con Configuration Manager habilitan una directiva en equipos de colecciones de destino que cumplen con los requisitos de SKU y de versión mínima de Windows que se describen en este artículo.Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. Si quiere, la protección basada en hipervisor de directivas de control de aplicaciones implementadas con Configuration Manager se puede habilitar mediante una directiva de grupo en hardware compatible.Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Para obtener más información sobre Device Guard, consulte la guía de implementación de Device Guard.To learn more about Device Guard, read the Device Guard deployment guide.

Nota

A partir de Windows 10, versión 1709, las directivas de integridad de código configurables se denominan control de aplicaciones de Windows Defender.Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.

Uso de Device Guard con Configuration ManagerUsing Device Guard with Configuration Manager

Puede usar Configuration Manager para implementar una directiva de control de aplicaciones de Windows Defender.You can use Configuration Manager to deploy a Windows Defender Application Control policy. Esta directiva permite configurar el modo en el que Device Guard se ejecuta en equipos de una colección.This policy lets you configure the mode in which Device Guard runs on PCs in a collection.

Configure uno de los siguientes modos:You can configure one of the following modes:

  1. Cumplimiento habilitado: solo se pueden ejecutar archivos ejecutables de confianza.Enforcement enabled - Only trusted executables are allowed to run.
  2. Solo auditoría: permite la ejecución de todos los archivos ejecutables, pero registra los archivos ejecutables que se ejecutan en el registro de eventos del cliente local.Audit only - Allow all executables to run, but log untrusted executables that run in the local client event log.

Sugerencia

Esta característica se introdujo por primera vez en la versión 1702 como una característica de versión preliminar.This feature was first introduced in version 1702 as a pre-release feature. A partir de la versión 1906, ya no es de versión preliminar.Beginning with version 1906, it's no longer a pre-release feature.

¿Qué se puede ejecutar cuando se implementa una directiva de Windows Defender Application Control?What can run when you deploy a Windows Defender Application Control policy?

Windows Device Guard le permite controlar ampliamente lo que se puede ejecutar en los equipos que administra.Windows Device Guard lets you strongly control what can run on PCs you manage. Esta característica puede resultar útil para los equipos de los departamentos de alta seguridad, en los que es esencial que el software no deseado no se pueda ejecutar.This feature can be useful for PCs in high-security departments, where it's vital that unwanted software cannot run.

Al implementar una directiva, por lo general, se pueden ejecutar los siguientes archivos ejecutables:When you deploy a policy, typically, the following executables can run:

  • Componentes del sistema operativo WindowsWindows operating system components
  • Controladores del Centro de desarrollo de hardware (con firmas de Laboratorios de calidad de hardware de Windows [WHQL])Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • Aplicaciones de la Tienda WindowsWindows Store apps
  • Cliente de Configuration ManagerThe Configuration Manager client
  • Todo el software implementado mediante Configuration Manager que los equipos instalan después de procesar la directiva de Windows Defender Application Control.All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • Actualizaciones de componentes de Windows de:Updates to windows components from:
    • Windows UpdateWindows Update
    • Windows Update para empresasWindows Update for Business
    • Windows Server Update ServicesWindows Server Update Services
    • Configuration ManagerConfiguration Manager
    • También puede ejecutar software de confianza con una buena reputación, según determine Microsoft Intelligent Security Graph (ISG).Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). ISG está formado por Windows Defender SmartScreen y otros servicios de Microsoft.The ISG includes Windows Defender SmartScreen and other Microsoft services. Para que el software sea de confianza, el dispositivo debe ejecutar Windows Defender SmartScreen y Windows 10 versión 1709.The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

Importante

Estos elementos no incluyen software que no esté integrado en Windows y que se actualice automáticamente desde actualizaciones de software de terceros o de Internet, tanto si se instalan a través de cualquiera de los mecanismos de actualización mencionados anteriormente como desde Internet.These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Solo se pueden ejecutar los cambios en el software que se implementen a través del cliente de Configuration Manager.Only software changes that are deployed though the Configuration Manager client can run.

Antes de empezarBefore you start

Antes de configurar o implementar directivas de Windows Defender Application Control, lea la siguiente información:Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • La administración de Device Guard es una característica de versión preliminar de Configuration Manager y está sujeta a cambios.Device Guard management is a pre-release feature for Configuration Manager, and is subject to change.
  • Para utilizar Device Guard con Configuration Manager, los equipos que administra deben ejecutar Windows 10 Enterprise versión 1703, o posterior.To use Device Guard with Configuration Manager, PCs you manage must be running the Windows 10 Enterprise version 1703, or later.
  • Después de procesar correctamente una directiva en un equipo cliente, Configuration Manager se configura como instalador administrado en ese cliente.Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. El software que se implementa a través de él, después de que se procese la directiva, pasa a ser automáticamente de confianza.Software deployed through it, after the policy processes, is automatically trusted. El software que instala Configuration Manager antes de que se procese la directiva de control de aplicaciones de Windows Defender no pasa a ser de confianza automáticamente.Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • Los equipos cliente deben tener conectividad con el controlador de dominio a fin de poder procesar una directiva de Windows Defender Application Control correctamente.Client PCs must have connectivity to their Domain Controller in order for a Windows Defender Application Control policy to be processed successfully.
  • La programación de evaluación de cumplimiento predeterminada de las directivas de Control de aplicaciones, que se puede configurar durante la implementación, se realiza cada día.The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Si se observan problemas de procesamiento de la directiva, puede resultar útil configurar la programación de evaluación de cumplimiento para que sea más corta, por ejemplo, cada hora.If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Esta programación determina la frecuencia con la que los clientes intentan volver a procesar una directiva de control de aplicaciones de Windows Defender en caso de error.This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • Independientemente del modo de cumplimiento que seleccione, al implementar una directiva de Windows Defender Application Control, los equipos cliente no pueden ejecutar aplicaciones de HTML con la extensión .hta.Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.

Creación de directivas de Windows Defender Application ControlHow to create a Windows Defender Application Control policy

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.In the Configuration Manager console, click Assets and Compliance.
  2. En el área de trabajo Activos y compatibilidad, expanda Endpoint Protection y haga clic en Control de aplicaciones de Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. En el grupo Crear de la pestaña Inicio, haga clic en Crear directiva de control de aplicaciones.On the Home tab, in the Create group, click Create Application Control policy.
  4. En la página General del Asistente para crear directivas de Control de aplicaciones, especifique la configuración siguiente:On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Nombre: escriba un nombre único para esta directiva de Windows Defender Application Control.Name - Enter a unique name for this Windows Defender Application Control policy.
    • Descripción: si quiere, escriba una descripción de la directiva que lo ayude a identificarla en la consola de Configuration Manager.Description - Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Fuerce un reinicio de dispositivos para que esta directiva se pueda aplicar a todos los procesos: después de procesar la directiva en un equipo cliente, se programa un reinicio en el cliente según la opción Configuración de cliente para Reinicio de equipo.Enforce a restart of devices so that this policy can be enforced for all processes - After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • Los dispositivos con Windows 10, versión 1703 o anteriores, se reinician siempre automáticamente.Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • A partir de Windows 10 versión 1709, a las aplicaciones que se ejecutan actualmente en el dispositivo no se les aplicará la nueva directiva de Control de aplicaciones hasta después del reinicio.Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Pero, las aplicaciones iniciadas después que se aplique la directiva cumplirán la nueva directiva de Control de aplicaciones.However, applications launched after the policy applies will honor the new Application Control policy.
    • Modo de cumplimiento: elija uno de los siguientes métodos de cumplimiento de Device Guard en el equipo cliente.Enforcement Mode - Choose one of the following enforcement methods for Device Guard on the client PC.
      • Cumplimiento habilitado: solo se permiten archivos ejecutables de confianza.Enforcement Enabled - Only allow trusted executables are allowed to run.
      • Solo auditoría: permite la ejecución de todos los archivos ejecutables, pero registra los archivos ejecutables que se ejecutan en el registro de eventos del cliente local.Audit Only - Allow all executables to run, but log untrusted executables that run in the local client event log.
  5. En la pestaña Inclusiones del Asistente para crear directivas de Control de aplicaciones, puede elegir Autorizar el software de confianza para Intelligent Security Graph.On the Inclusions tab of the Create Application Control policy Wizard, choose if you want to Authorize software that is trusted by the Intelligent Security Graph.
  6. Haga clic en Agregar si quiere agregar la relación de confianza a determinados archivos o carpetas en los equipos.Click Add if you want to add trust for specific files or folders on PCs. En el cuadro de diálogo Agregar archivo o carpeta de confianza, puede especificar un archivo local o una ruta de acceso de carpeta de confianza.In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. También puede especificar una ruta de acceso de archivo o carpeta en un dispositivo remoto en el que tenga permiso para conectarse.You can also specify a file or folder path on a remote device on which you have permission to connect. Cuando agregue confianza para determinados archivos y carpetas en una directiva de control de aplicaciones de Windows Defender, puede realizar lo siguiente:When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
    • Solucionar problemas con los comportamientos de instalador administradoOvercome issues with managed installer behaviors
    • Confiar en aplicaciones de línea de negocio que no se pueden implementar con Configuration ManagerTrust line-of-business apps that cannot be deployed with Configuration Manager
    • Confiar en aplicaciones que se incluyen en una imagen de implementación de sistema operativoTrust apps that are included in an operating system deployment image.
  7. Haga clic en Siguiente para completar el asistente.Click Next, to complete the wizard.

Importante

La inclusión de carpetas o archivos de confianza solo se admite en los equipos cliente que ejecutan la versión 1706 o posterior del cliente de Configuration Manager.The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Si las reglas de inclusión están englobadas en una directiva de Windows Defender Application Control y esta última se implementa en un equipo cliente que ejecuta una versión anterior del cliente de Configuration Manager, no podrá aplicarse.If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Actualizar estos clientes anteriores resolverá este problema.Upgrading these older clients will resolve this issue. Todavía se pueden aplicar directivas que no engloban ninguna regla de inclusión en las versiones anteriores del cliente de Configuration Manager.Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

Implementación de directivas de Windows Defender Application ControlHow to deploy a Windows Defender Application Control policy

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.In the Configuration Manager console, click Assets and Compliance.
  2. En el área de trabajo Activos y compatibilidad, expanda Endpoint Protection y haga clic en Control de aplicaciones de Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. En la lista de directivas, seleccione la que quiera implementar y luego, en el grupo Implementación de la pestaña Inicio, haga clic en Implementar la directiva de control de aplicaciones.From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
  4. En el cuadro de diálogo Implementar la directiva de control de aplicaciones, seleccione la colección en la que quiere implementar la directiva.In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. A continuación, configure una programación para determinar cuándo los clientes evalúan la directiva.Then, configure a schedule for when clients evaluate the policy. Por último, seleccione si el cliente puede evaluar la directiva fuera de las ventanas de mantenimiento configuradas.Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
  5. Cuando haya terminado, haga clic en Aceptar para implementar la directiva.When you are finished, click OK to deploy the policy.

Supervisión de directivas de Windows Defender Application ControlHow to monitor a Windows Defender Application Control policy

Utilice la información del artículo Supervisión de la configuración de cumplimiento a fin de poder supervisar que la directiva implementada se ha aplicado correctamente a todos los equipos.Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

Para supervisar el procesamiento de una directiva de Windows Defender Application Control, utilice el siguiente archivo de registro en los equipos cliente:To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Para comprobar el software específico que se bloquea o audita, vea los siguientes registros de eventos de cliente local:To verify the specific software being blocked or audited, see the following local client event logs:

  1. Para bloquear y auditar archivos ejecutables, utilice Registros de aplicaciones y servicios > Microsoft > Windows > Integridad de código > Operativo.For blocking and auditing of executable files, use Applications and Services Logs > Microsoft > Windows > Code Integrity > Operational.
  2. Para bloquear y auditar Windows Installer y archivos de script, utilice Registros de aplicaciones y servicios > Microsoft > Windows > AppLocker > MSI y script.For blocking and auditing of Windows Installer and script files, use Applications and Services Logs > Microsoft > Windows > AppLocker > MSI and Script.

Información de seguridad y privacidad para Device GuardSecurity and privacy information for Device Guard

  • En esta versión preliminar, no implemente directivas de Windows Defender Application Control con el modo de cumplimiento Solo auditoría en un entorno de producción.In this pre-release version, do not deploy Windows Defender Application Control policies with the enforcement mode Audit Only in a production environment. Este modo está diseñado para ayudarle a probar la funcionalidad solo en una configuración de laboratorio.This mode is intended to help you test the capability in a lab setting only.
  • Los dispositivos que tienen una directiva implementada en el modo Solo auditoría o Cumplimiento habilitado que no se hayan reiniciado para aplicar la directiva, son vulnerables al software que se instale que no sea de confianza.Devices that have a policy deployed to them in Audit Only or Enforcement Enabled mode that have not been restarted to enforce the policy, are vulnerable to untrusted software being installed. En esta situación, el software podría seguir teniendo permiso para ejecutarse incluso si se reinicia el dispositivo, o recibe una directiva en modo Cumplimiento habilitado.In this situation, the software might continue to be allowed to run even if the device restarts, or receives a policy in Enforcement Enabled mode.
  • Para asegurarse de que la directiva de Windows Defender Application Control es eficaz, prepare el dispositivo en un entorno de laboratorio.To ensure that the Windows Defender Application Control policy is effective, prepare the device in a lab environment. A continuación, implemente la directiva Cumplimiento habilitado y, por último, reinicie el dispositivo antes de enviar el dispositivo a un usuario final.Then, deploy the Enforcement Enabled policy, and finally, restart the device before you give the device to an end user.
  • No implemente una directiva con Cumplimiento habilitado y, a continuación, una directiva con Solo auditoría en el mismo dispositivo.Do not deploy a policy with Enforcement Enabled, and then later deploy a policy with Audit Only to the same device. Esta configuración puede provocar la ejecución de software que no es de confianza.This configuration might result in untrusted software being allowed to run.
  • Cuando se usa Configuration Manager para habilitar Control de aplicaciones de Windows Defender en los equipos cliente, la directiva no evita que los usuarios con derechos de administrador local sorteen las directivas de Control de aplicaciones o ejecuten de otro modo software que no es de confianza.When you use Configuration Manager to enable Windows Defender Application Control on client PCs, the policy does not prevent users with local administrator rights from circumventing the Application Control policies or otherwise executing untrusted software.
  • La única manera de evitar que los usuarios con derechos de administrador local deshabiliten el Control de aplicaciones consiste en implementar una directiva binaria firmada.The only way to prevent users with local administrator rights from disabling Application Control is to deploy a signed binary policy. Esta implementación es posible a través de la directiva de grupo, pero no se admite actualmente en Configuration Manager.This deployment is possible through Group Policy but not currently supported in Configuration Manager.
  • La configuración de Configuration Manager como un instalador administrado en los equipos cliente utiliza la directiva de AppLocker.Setting up Configuration Manager as a Managed Installer on client PCs uses AppLocker policy. AppLocker solo se usa para identificar los instaladores administrados y todo el cumplimiento tiene lugar con Control de aplicaciones de Windows Defender.AppLocker is only used to identify Managed Installers and all enforcement happens with Windows Defender Application Control.