Autorización de aplicaciones de confianza con Intelligent Security Graph (ISG)

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

El control de aplicaciones puede ser difícil de implementar en organizaciones que no implementan ni administran aplicaciones a través de un sistema administrado por TI. En estos entornos, los usuarios pueden adquirir las aplicaciones que quieren usar para trabajar, lo que dificulta la creación de una directiva de control de aplicaciones eficaz.

Para reducir la fricción del usuario final y las llamadas del departamento de soporte técnico, puede establecer Windows Defender Control de aplicaciones (WDAC) para permitir automáticamente las aplicaciones que Intelligent Security Graph (ISG) de Microsoft reconoce que tienen una buena reputación conocida. La opción ISG ayuda a las organizaciones a empezar a implementar el control de aplicaciones incluso cuando la organización tiene un control limitado sobre su ecosistema de aplicaciones. Para obtener más información sobre el ISG, consulte la sección Seguridad en Servicios principales y características de Microsoft Graph.

Advertencia

Los archivos binarios que son críticos para arrancar el sistema deben permitirse mediante reglas explícitas en la directiva WDAC. No confíe en el ISG para autorizar estos archivos.

La opción ISG no es la manera recomendada de permitir aplicaciones críticas para la empresa. Siempre debe autorizar aplicaciones críticas para la empresa mediante reglas de permiso explícitas o instalándolas con un instalador administrado.

¿Cómo funciona WDAC con el ISG?

El ISG no es una "lista" de aplicaciones. En su lugar, usa la misma gran inteligencia de seguridad y análisis de aprendizaje automático que potencian Microsoft Defender SmartScreen y Microsoft Defender Antivirus para ayudar a clasificar las aplicaciones como "buenas conocidas", "malas conocidas" o "desconocidas". Esta inteligencia artificial basada en la nube se basa en billones de señales recopiladas de puntos de conexión de Windows y otros orígenes de datos, y se procesan cada 24 horas. Como resultado, la decisión de la nube puede cambiar.

WDAC solo comprueba el ISG en busca de archivos binarios que la directiva no permita ni deniegue explícitamente y que no haya instalado un instalador administrado. Cuando este tipo de binario se ejecuta en un sistema con WDAC habilitado con la opción ISG, WDAC comprobará la reputación del archivo enviando su información de hash y firma a la nube. Si el ISG informa de que el archivo tiene una reputación "conocida buena", el archivo podrá ejecutarse. De lo contrario, WDAC lo bloqueará.

Si el archivo con buena reputación es un instalador de aplicación, la reputación del instalador pasará a los archivos que escriba en el disco. De este modo, todos los archivos necesarios para instalar y ejecutar una aplicación heredan los datos de reputación positivos del instalador. Los archivos autorizados en función de la reputación del instalador tendrán el $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) escrito en el archivo.

WDAC requeries periódicamente los datos de reputación en un archivo. Además, las empresas pueden especificar que los resultados de reputación almacenados en caché se vacían al reiniciar mediante la opción Enabled:Invalidate EAs on Reboot (Habilitar:Invalidar EAs al reiniciar ).

Configuración de la autorización de ISG para la directiva WDAC

La configuración del ISG es fácil con cualquier solución de administración que desee. La configuración de la opción ISG implica estos pasos básicos:

Asegúrese de que la opción ISG está establecida en el XML de directiva WDAC.

Para permitir aplicaciones y archivos binarios basados en Microsoft Intelligent Security Graph, la opción de autorización Enabled:Intelligent Security Graph debe especificarse en la directiva WDAC. Este paso se puede realizar con el cmdlet Set-RuleOption. También debe establecer la opción Enabled:Invalidate EAs on Reboot para que los resultados de ISG se comprueben de nuevo después de cada reinicio. La opción ISG no se recomienda para los dispositivos que no tienen acceso normal a Internet. En el ejemplo siguiente se muestran ambas opciones establecidas.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules>

Habilitar los servicios necesarios para permitir que WDAC use el ISG correctamente en el cliente

Para que la heurística que usa el ISG funcione correctamente, se deben habilitar otros componentes de Windows. Puede configurar estos componentes ejecutando el archivo ejecutable de appidtel en c:\windows\system32.

appidtel start

Este paso no es necesario para las directivas WDAC implementadas a través de MDM, ya que el CSP habilitará los componentes necesarios. Este paso tampoco es necesario cuando el ISG se configura mediante la integración WDAC de Configuration Manager.

Consideraciones de seguridad con la opción ISG

Dado que el ISG es un mecanismo basado en heurística, no proporciona las mismas garantías de seguridad que las reglas explícitas de permitir o denegar. Es más adecuado cuando los usuarios operan con derechos de usuario estándar y donde se usa una solución de supervisión de seguridad como Microsoft Defender para punto de conexión.

Los procesos que se ejecutan con privilegios de kernel pueden eludir WDAC estableciendo el atributo de archivo extendido ISG para que un binario parezca tener una buena reputación conocida.

Además, dado que la opción ISG pasa la reputación de los instaladores de aplicaciones a los archivos binarios que escriben en el disco, puede autorizar demasiado los archivos en algunos casos. Por ejemplo, si el instalador inicia la aplicación al finalizar, también se permitirán los archivos que la aplicación escribe durante esa primera ejecución.

Limitaciones conocidas con el uso del ISG

Dado que el ISG solo permite archivos binarios que son "conocidos buenos", hay casos en los que el ISG puede no poder predecir si el software legítimo es seguro para ejecutarse. Si esto sucede, WDAC bloqueará el software. En este caso, debe permitir el software con una regla en la directiva WDAC, implementar un catálogo firmado por un certificado de confianza en la directiva WDAC o instalar el software desde un instalador administrado de WDAC. Los instaladores o las aplicaciones que crean archivos binarios dinámicamente en tiempo de ejecución y las aplicaciones que se actualizan automáticamente pueden presentar este síntoma.

Las aplicaciones empaquetadas no se admiten con el ISG y tendrán que estar autorizadas por separado en la directiva WDAC. Dado que las aplicaciones empaquetadas tienen una identidad de aplicación segura y deben estar firmadas, es sencillo autorizar aplicaciones empaquetadas con la directiva WDAC.

El ISG no autoriza los controladores de modo kernel. La directiva WDAC debe tener reglas que permitan la ejecución de los controladores necesarios.

Nota

Una regla que deniegue o permita explícitamente un archivo tendrá prioridad sobre los datos de reputación de ese archivo. la compatibilidad integrada con WDAC de Microsoft Intune incluye la opción de confiar en las aplicaciones con buena reputación a través del ISG, pero no tiene ninguna opción para agregar reglas explícitas de permitir o denegar. En la mayoría de los casos, los clientes que usan el control de aplicaciones deberán implementar una directiva WDAC personalizada (que puede incluir la opción ISG si lo desea) mediante la funcionalidad OMA-URI de Intune.