Permitir el registro de objetos COM en una directiva de control de aplicaciones de Windows Defender
Nota
Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de Application Control.
Microsoft Component Object Model (COM) es un sistema orientado a objetos, distribuido e independiente de la plataforma para crear componentes de software binarios que pueden interactuar. COM especifica un modelo de objetos y requisitos de programación que permiten que los objetos COM interactúen con otros objetos.
Configuración de objetos COM en la directiva WDAC
Windows Defender Control de aplicaciones (WDAC) aplica una lista de permitidos integrada para el registro de objetos COM. Aunque esta lista funciona para los escenarios de uso de aplicaciones más comunes, es posible que tenga que permitir que más objetos COM admitan las aplicaciones usadas en su organización. Puede especificar objetos COM permitidos a través de su GUID en la directiva WDAC, como se describe en este artículo.
Nota
Para agregar esta funcionalidad a otras versiones de Windows 10, puede instalar las actualizaciones siguientes o posteriores.
- Windows 10, 18 de junio de 2019-KB4501371 (compilación del sistema operativo 17763.592)
- Windows 10, 18 de junio de 2019-KB4503294 (compilación del sistema operativo 14393.3053)
Obtención del GUID del objeto COM
Puede obtener el GUID de la aplicación COM de los eventos de bloque de objetos COM 8036 en Visor de eventos ubicados en Application and Service Logs > Microsoft > Windows > AppLocker > MSI and Script y extraer el GUID de los datos del evento.
Configuración de directiva de creación para permitir o denegar el GUID del objeto COM
Tres elementos:
- Proveedor: plataforma en la que se ejecuta código (los valores son PowerShell, WSH, IE, VBA, MSI o un carácter comodín "AllHostIds")
- Clave: GUID para el programa que desea ejecutar, con el formato Key="{33333333-4444-4444-1616-161616161616}"
- ValueName: debe establecerse en "EnterpriseDefinedClsId"
Un atributo:
Valor: debe ser "true" para allow y "false" para deny
Nota
Denegar solo funciona en directivas base, no en directivas complementarias
La configuración debe colocarse en el orden de los valores ASCII (primero por proveedor, luego por clave y, después, por ValueName)
Consideraciones sobre varias directivas
De forma similar a los archivos ejecutables, los objetos COM deben pasar todas las directivas WDAC aplicadas en el sistema para que se ejecuten. Por ejemplo, si el objeto COM en evaluación pasa la mayoría de las directivas WDAC, pero no todas, el objeto COM se bloquea. Si usa una combinación de directivas base y complementarias, el objeto COM solo debe incluirse en la lista de permitidos en la directiva base o en una de las directivas complementarias.
Ejemplos
Ejemplo 1: permite el registro de todos los GUID de objeto COM en cualquier proveedor
<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Ejemplo 2: Impide que un objeto COM específico se registre a través de Internet Explorer (IE)
<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>false</Boolean>
</Value>
</Setting>
Ejemplo 3: permite que un objeto COM específico se registre en PowerShell
<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Configuración de los CLSID
Este es un ejemplo de un error en la Visor de eventos que se encuentra en Registros > de aplicaciones y servicios Msi y script de Microsoft > Windows > AppLocker>:
Nombre del registro: Microsoft-Windows-AppLocker/MSI y script
Origen: Microsoft-Windows-AppLocker
Fecha: 11/11/2020 1:18:11 PM
Identificador de evento: 8036
Categoría de tarea: Ninguno
Nivel: Error
palabras clave:
Usuario: S-1-5-21-3340858017-3068726007-3466559902-3647
Equipo: contoso.com
Descripción: {f8d253d9-89a4-4daa-87b6-1168369f0b21} no se pudo ejecutar debido a la directiva de CI de configuración.
XML del evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
<EventID>8036</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2020-11-11T13:18:11.4029179Z" />
<EventRecordID>819347</EventRecordID>
<Correlation ActivityID="{61e3e871-adb0-0047-c9cc-e761b0add601}" />
<Execution ProcessID="21060" ThreadID="23324" />
<Channel>Microsoft-Windows-AppLocker/MSI and Script</Channel>
<Computer>contoso.com</Computer>
<Security UserID="S-1-5-21-3340858017-3068726007-3466559902-3647" />
</System>
<EventData>
<Data Name="IsApproved">false</Data>
<Data Name="CLSID">{f8d253d9-89a4-4daa-87b6-1168369f0b21}</Data>
</EventData>
</Event>
Para agregar este CLSID a la directiva existente, siga estos pasos:
Abra PowerShell ISE con privilegios administrativos.
Copie y edite este comando y, a continuación, ejecútelo desde el ISE de PowerShell de administrador. Considere el nombre de la directiva como
WDAC_policy.xml
.PS C:\WINDOWS\system32> Set-CIPolicySetting -FilePath <path to policy xml>\WDAC_policy.xml -Key "{f8d253d9-89a4-4daa-87b6-1168369f0b21}" -Provider WSH -Value true -ValueName EnterpriseDefinedClsId -ValueType Boolean
Una vez que se haya ejecutado el comando, busque la sección siguiente agregada al XML de directiva.
<Settings> <Setting Provider="WSH" Key="{f8d253d9-89a4-4daa-87b6-1168369f0b21}" ValueName="EnterpriseDefinedClsId"> <Value> <Boolean>true</Boolean> </Value> </Setting>
Lista de permitidos de objetos COM predeterminada
En la tabla siguiente se describe la lista de objetos COM de confianza inherente en Windows Defender Control de aplicaciones. Los objetos de esta lista no tienen que incluirse en la lista de permitidos en las directivas WDAC. Se pueden denegar mediante la creación de reglas de denegación explícitas en la directiva WDAC.
Nombre de archivo | CLSID |
---|---|
scrrun.dll | EE09B103-97E0-11CF-978F-00A02463E06F |
scrrun.dll | 0D43FE01-F093-11CF-8940-00A0C9054228 |
vbscript.dll | 3F4DACA4-160D-11D2-A8E9-00104B365C9F |
WEX. Logger.Log | 70B46225-C474-4852-BB81-48E0D36F9A5A |
TE. Common.TestData | 1d68f3c0-b5f8-4abd-806a-7bc57cdce35a |
TE. Common.RuntimeParameters | 9f3d4048-6028-4c5b-a92d-01bc977af600 |
TE. Common.Verify | e72cbabf-8e48-4d27-b14e-1f347f6ec71a |
TE. Common.Interruption | 5850ba6f-ce72-46d4-a29b-0d3d9f08cc0b |
msxml6.dll | 2933BF90-7B36-11d2-B20E-00C04F983E60 |
msxml6.dll | ED8C108E-4349-11D2-91A4-00C04F7969E8 |
mmcndmgr.dll | ADE6444B-C91F-4E37-92A4-5BB430A33340 |
puiobj.dll | B021FF57-A928-459C-9D6C-14DED0C9BED2 |
wdtf.dll | 041E868E-0C7D-48C6-965F-5FD576530E5B |
wdtfedtaction.dll | 0438C02B-EB9C-4E42-81AD-407F6CD6CDE1 |
wdtfioattackaction.dll | 078B1F7D-C34C-4B13-A7C3-9663901650F1 |
wdtfmutt2tcdsimpleioaction.dll | 0ABB2961-2CC1-4F1D-BE8E-9D330D06B77D |
wdtfdriverpackageaction.dll | 0D7237E6-930F-4682-AD0A-52EBFFD3AEE3 |
wdtf.dll | 0D972387-817B-46E7-913F-E9993FF401EB |
wdtf.dll | 0E770B12-7221-4A5D-86EE-77310A5506BB |
wdtfdriversetupdeviceaction.dll | 0FA57208-5100-4CD6-955C-FE69F8898973 |
wdtf.dll | 1080A020-2B47-4DA9-8095-DBC9CEFFFC04 |
wdtfnetworksimpleioaction.dll | 10CF2E12-1681-4C53-ADC0-932C84832CD8 |
wdtf.dll | 140F2286-3B39-4DE1-AF94-E083DEEA6BB9 |
wdtfinterfaces.dll | 1A7D6D61-4FE5-42E2-8F23-4FC1731C474F |
wdtfaudiosimpleioaction.dll | 1C658D42-4256-4743-A4C5-90BF3A3A186A |
wdtf.dll | 2236B1F3-4A33-48C2-B22C-A1F93A626F05 |
wdtfsystemaction.dll | 23440924-1AB0-41F2-A732-B75069E5C823 |
wdtfdriversetupsystemaction.dll | 238C0AEB-1DFC-4575-AAF3-C67FE15C1819 |
wdtffuzztestaction.dll | 23D0E542-0390-4873-9AC7-EF86E95E5215 |
wdtf.dll | 240FA08C-1D70-40CB-BDB3-2CC41A45496B |
wdtf.dll | 26CC4211-A9A6-4E5C-A30D-3C659BB4CDC9 |
wdtf.dll | 28EE5F0B-97D8-4A59-BAC8-A8A80E11F56B |
wdtf.dll | 2C9AF7D6-2589-4413-A2BA-9926EBCFD67C |
wdtf.dll | 32A9798D-987F-489E-8DB6-2EFB240248BD |
wdtfinterfaces.dll | 3C0B0D50-611A-4368-AC87-4488D6E0C4A7 |
wdtfcdromsimpleioaction.dll | 3F2C07F3-199B-4165-A948-B8B59A97FCC5 |
wdtf.dll | 485785D3-8820-4C3D-A532-4C0F66392A30 |
wdtfinterfaces.dll | 5EAE59BE-6946-44B7-A7B3-1D59811B246A |
wdtfiospyaction.dll | 698F6A82-7833-4499-8BA5-2145D604ABD4 |
wdtfdevicesupportaction.dll | 69D94D1B-0833-40D4-9AE7-7FC6F64F2624 |
wdtf.dll | 6EE5B280-3B0F-4358-9E20-99F169FAA700 |
wdtfmuttsimpleioaction.dll | 7776915A-0370-49A7-90B7-20EB36E80B6D |
wdtfcpuutilizationsystemaction.dll | 7926C7DE-299C-4B09-BB1B-649A4B917ED0 |
wdtfwirelesssimpleioaction.dll | 7A686BCD-9203-435C-8B06-9D7E7A518F98 |
wdtfbluetoothsimpleioaction.dll | 7E6C4615-6184-4077-A150-5D30F29993A4 |
wdtf.dll | 9663A00A-5B72-4810-9014-C77108062949 |
wdtfinterfaces.dll | 9C261B2B-DBD6-4087-B636-ABE1607989E8 |
wdtfwebcamsimpleioaction.dll | A1B74619-F02D-4574-8091-2AADD46A5B2B |
wdtf.dll | A2FD15D7-64F0-4080-AABD-884380202022 |
wdtfvolumesimpleioaction.dll | AC91E813-B116-4676-AE33-2988B590F3C7 |
wdtfconcurrentioaction.dll | AE278430-ABC2-49D1-AF30-910B9A88CB1E |
wdtf.dll | B43FF7F1-629C-4DE5-9559-1D09E0A07037 |
wdtfdriververifiersystemaction.dll | B7770265-B643-4600-A60B-93F9BA9F4B24 |
wdtfpnpaction.dll | B8D74985-4EB9-46AA-B2ED-DD2D918849DF |
wdtfmobilebroadbandsimpleioaction.dll | BCFBBB02-4DA5-466C-9DA7-DC672877B075 |
wdtf.dll | BE56FAD1-A489-4508-ABB7-3348E1C2C885 |
wdtfpnpaction.dll | C0B6C572-D37D-47CC-A89D-E6B9E0852764 |
wdtfioattackaction.dll | C88B324E-6B26-49BC-9D05-A221F15D7E13 |
wdtfsensorsiosimpleioaction.dll | C8BF7EC0-C746-4DE8-BA46-34528C6329FB |
wdtfanysimpleioaction.dll | C8C574DA-367B-4130-AED6-1EA61A5C6A4B |
simpleio_d3dtest.dll | CBC36BDB-A6BC-4383-8194-659470553488 |
wdtfsystemaction.dll | D30E1E07-AA39-4086-A7E6-9245FBD0A730 |
wdtf.dll | DD34E741-139D-4F4C-A1E2-D4184FCDD4F9 |
wdtfsupaction.dll | EA48171B-4265-48C3-B56B-70B175A7FDFA |
wdtfinterfaces.dll | EB9DB874-D23D-44D5-A988-85E966322843 |
wdtfinterfaces.dll | ED05EF76-09A9-4409-90CA-C5D0711CA057 |
wdtfwpdsimpleioaction.dll | EEA17F2B-8E8E-41A3-9776-A87FACD625D0 |
wdtfinterfaces.dll | F30FC2BB-F424-4A1F-8F95-68CFEE935E92 |
wdtfedtaction.dll | F6694E02-5AD0-476D-BD2D-43F7E5D10AF6 |
wdtfsmartcardreadersimpleioaction.dll | FA6F7E49-76C6-490C-B50E-8B1E8E0EEE2A |
wdtfiospyaction.dll | FE36026D-CDA8-4514-B3D9-57BDA3870D0C |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de