Planear y comenzar a trabajar en el proceso de implementación de Control de aplicaciones de Windows Defender

Aplicación

  • Windows 10
  • Windows Server 2016

Este tema proporciona una guía básica para planear y comenzar a trabajar en el proceso de implementación de Control de aplicaciones de Windows Defender (WDAC), con vínculos a temas que proporcionan detalles adicionales. Planificación para la implementación de WDAC implica mirando a los usuarios finales y el impacto IT pro tienen tus elecciones.

Planeación

  1. Revisa los requisitos, especialmente los requisitos de hardware para VBS.

  2. Agrupa los dispositivos según el grado de control necesario. ¿La mayoría de los dispositivos encajan bien en unas cuantas categorías o se distribuyen por todas? ¿Los usuarios pueden instalar cualquier aplicación o deben elegir de una lista? ¿Pueden usar los usuarios sus propios dispositivos periféricos?
    La implementación es más sencilla si todo se bloquea de la misma manera, pero cubrir las necesidades específicas de los departamentos y trabajar con una amplia variedad de dispositivos puede requerir una implementación más complicada y flexible.

  3. Revisa qué variedad de software y hardware necesitan los roles o departamentos. Las siguientes preguntas pueden ayudarte a aclarar cuántas directivas WDAC debes crear:

    • ¿Cómo de estandarizado está el hardware?
      Esto puede ser relevante debido a los controladores. Podrías crear una directiva WDAC en el hardware que use un determinado conjunto de controladores, y si otros controladores del entorno usan la misma firma, también se les permitiría funcionar. Sin embargo, es posible que necesites crear varias directivas WDAC en distintos hardware de "referencia" y luego combinar las directivas, para asegurarte de que la directiva resultante reconoce todos los controladores de tu entorno.

    • ¿Qué software necesita cada departamento o función? ¿Deben poder instalar y ejecutar el software de otros departamentos?
      Si varios departamentos tienen permiso para ejecutar la misma lista de software, tal vez puedas combinar varias directivas WDAC para simplificar la administración.

    • ¿Hay departamentos o roles que usen un software único y restringido?
      Si un departamento necesita ejecutar una aplicación que no se permite a ningún otro departamento, puede que sea necesaria una directiva WDAC independiente. Del mismo modo, si solo un departamento debe ejecutar una versión anterior de una aplicación (mientras que otros departamentos permiten solo la versión más reciente), puede que haga falta una directiva WDAC independiente.

    • ¿Hay ya una lista de aplicaciones aceptadas?
      Se puede usar una lista de aplicaciones aceptadas para ayudar a crear una directiva WDAC de base de referencia.
      A partir de Windows 10, versión 1703, también podría resultar útil tener una lista de complementos o módulos que quieras permitir solo en una aplicación específica (por ejemplo, una aplicación de línea de negocio). Del mismo modo, podría resultar útil tener una lista de complementos o módulos que quieras bloquear en una aplicación específica (por ejemplo, un explorador).

    • Como parte de un proceso de revisión de amenazas, ¿has revisado sistemas para comprobar el software que puede cargar DLL arbitrarias o ejecutar código o scripts? En las operaciones diarias, la directiva de seguridad de tu organización puede permitir que determinadas aplicaciones, código o scripts se ejecuten en tus sistemas según su rol y el contexto. Sin embargo, si tu directiva de seguridad requiere que ejecutes solo código, scripts y aplicaciones de confianza en tus sistemas, puedes decidir bloquear estos sistemas de forma segura con las directivas de Control de aplicaciones de Windows Defender.

      Las aplicaciones legítimas de proveedores confiables proporcionan una funcionalidad válida. Sin embargo, un atacante también podría usar la misma funcionalidad para ejecutar código ejecutable malintencionado que podría omitir directivas WDAC.

      Para los escenarios operativos que requieren una seguridad elevada, determinadas aplicaciones con omisiones de integridad de código conocidas pueden representar un riesgo de seguridad si las incluye en la lista blanca en sus directivas WDAC. Otras aplicaciones en las que las versiones anteriores de la aplicación tenían vulnerabilidades también representan un riesgo. Por lo tanto, puede que desees denegar o bloquear dichas aplicaciones de las directivas WDAC. Para las aplicaciones con vulnerabilidades, una vez que las vulnerabilidades estén corregidas, puede crear una regla que solo permita las corregidas o más recientes de esa aplicación. La decisión de permitir o bloquear aplicaciones depende del contexto y de cómo se está usando el sistema de referencia.

      Los profesionales de la seguridad colaboran continuamente con Microsoft para ayudar a proteger a los clientes. Con la ayuda de sus valiosos informes, Microsoft ha identificado una lista de aplicaciones conocidas que un atacante podría usar para eludir el Control de aplicaciones de Windows Defender. Según el contexto, es posible que desee bloquear estas aplicaciones. Para ver esta lista de aplicaciones y para su uso ejemplos de casos, como deshabilitar msbuild.exe, consulta las reglas de bloqueo recomendadas de Microsoft.

  4. Identifica las aplicaciones de LOB que estén actualmente sin firmar. Aunque el código firmado (a través de WDAC) protege contra muchas amenazas, la organización puede usar aplicaciones de LOB sin firmar para las que el proceso de firma puede ser difícil. También podrías tener aplicaciones que estén firmadas pero quieras agregarles una firma secundaria. Si es así, identifica estas aplicaciones, puesto que necesitarás crear un archivo de catálogo para ellas.

Introducción al proceso de implementación

  1. De forma opcional, crea un certificado de firma para el Control de aplicaciones de Windows Defender. Al implementar WDAC, es posible que necesites firmar archivos de catálogo o directivas WDAC internamente. Para ello, necesitarás un certificado de firma de código emitido públicamente (que se compra) o una entidad de certificación interna. Si decides usar una entidad de certificación interna, debes crear un certificado de firma de código.

  2. Crea directivas WDAC desde equipos de referencia. En este sentido, crear y administrar directivas WDAC para alinearse con las necesidades de los departamentos o roles puede ser similar a administrar imágenes corporativas. Desde cada equipo de referencia, puedes crear una directiva WDAC y decidir cómo administrar esa directiva. Puedes Combinar las directivas WDAC para crear una directiva más amplia o una directiva maestra, o puedes administrar e implementar cada directiva de forma individual.

  3. Audita la directiva WDAC y captura información acerca de las aplicaciones que están fuera de la directiva. Te recomendamos que uses el modo auditoría para probar cuidadosamente cada directiva WDAC antes de aplicarla. Con el modo de auditoría, no se bloquea ninguna aplicación; la directiva solo registra un evento cuando se inicia una aplicación fuera de la directiva. Más adelante, puedes expandir la directiva para permitir estas aplicaciones, según sea necesario.

  4. Crear un archivo de catálogo para las aplicaciones de LOB sin firmar. Usar la herramienta de Inspector de paquetes para crear y firmar un archivo de catálogo para las aplicaciones de LOB sin firmar. En pasos posteriores, puedes combinar la firma del archivo de catálogo en la directiva WDAC para que la directiva permita las aplicaciones del catálogo.

  5. Captura la información de directiva necesaria del registro de eventos y combina la información en la directiva existente según sea necesario. Después de que una directiva WDAC se haya estado ejecutando durante un tiempo en modo de auditoría, el registro de eventos contendrá información acerca de las aplicaciones que están fuera de la directiva. Para ampliar la directiva para que permita estas aplicaciones, usa los comandos de Windows PowerShell para capturar la información necesaria del registro de eventos y combina esa información en la directiva existente. Puedes combinar las directivas WDAC de otros orígenes también, si deseas conseguir flexibilidad a la hora crear directivas WDAC finales.

  6. Implementa directivas WDAC y archivos de catálogo. Cuando confirmes que has completado todos los pasos anteriores, podrás comenzar a implementar archivos de catálogo y sacar directivas WDAC del modo de auditoría. Te recomendamos encarecidamente que inicies este proceso con un grupo de usuarios de prueba. Esto ofrece una validación de control de calidad final antes de implementar las directivas WDAC y los archivos de catálogo de forma más amplia.

  7. Habilita las características de seguridad basada en la virtualización (VBS) que quieras. Las características de seguridad basada en hardware, también denominada seguridad basada en virtualización de las características (VBS), refuerzan las protecciones que ofrece Control de aplicaciones de Windows Defender.

Problemas conocidos

Esta sección describe los problemas conocidos con WDAC y Device Guard. La protección basada en virtualización de integridad de código puede ser incompatible con algunos dispositivos y aplicaciones, lo que podrían provocar errores inesperados, pérdida de datos o un error de pantalla azul (también llamado error grave). Probar esta configuración en el laboratorio antes de habilitarlo en producción.

Las instalaciones de MSI están bloqueadas por WDAC

Instalar archivos .msi directamente desde internet a un equipo protegido por WDAC se producirá un error. Por ejemplo, este comando no funcionará:

msiexec –i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

Como solución, descargar el archivo MSI y ejecutarlo localmente:

msiexec –i c:\temp\Windows10_Version_1511_ADMX.msi