Planificación e introducción al proceso de implementación de controles de aplicaciones de Windows DefenderPlanning and getting started on the Windows Defender Application Control deployment process

Aplicable aApplies to

  • Windows 10Windows 10
  • WindowsServer2016Windows Server 2016

Este tema proporciona una guía básica para planear y comenzar con el proceso de implementación de control de aplicaciones de Windows Defender (WDAC), con vínculos a temas que proporcionan más detalles.This topic provides a roadmap for planning and getting started on the Windows Defender Application Control (WDAC) deployment process, with links to topics that provide additional detail. La planeación de la implementación de WDAC implica la búsqueda del usuario final y el impacto de los profesionales de TI en las opciones.Planning for WDAC deployment involves looking at both the end-user and the IT pro impact of your choices.

PlanificaciónPlanning

  1. Revisa los requisitos, especialmente los requisitos de hardware para VBS.Review requirements, especially hardware requirements for VBS.

  2. Agrupa los dispositivos según el grado de control necesario.Group devices by degree of control needed. ¿La mayoría de los dispositivos encajan bien en unas cuantas categorías o se distribuyen por todas?Do most devices fit neatly into a few categories, or are they scattered across all categories? ¿Los usuarios pueden instalar cualquier aplicación o deben elegir de una lista?Are users allowed to install any application or must they choose from a list? ¿Pueden usar los usuarios sus propios dispositivos periféricos?Are users allowed to use their own peripheral devices?
    La implementación es más sencilla si todo se bloquea de la misma manera, pero para satisfacer las necesidades de cada uno de los departamentos, y trabajar con una amplia variedad de dispositivos puede requerir una implementación más compleja y flexible.Deployment is simpler if everything is locked down in the same way, but meeting individual departments' needs, and working with a wide variety of devices, may require a more complicated and flexible deployment.

  3. Revisa qué variedad de software y hardware necesitan los roles o departamentos.Review how much variety in software and hardware is needed by roles or departments. Las siguientes preguntas pueden ayudarte a aclarar cuántas directivas WDAC debes crear:The following questions can help you clarify how many WDAC policies to create:

    • ¿Cómo de estandarizado está el hardware?How standardized is the hardware?
      Esto puede ser relevante debido a los controladores.This can be relevant because of drivers. Podrías crear una directiva WDAC en el hardware que use un determinado conjunto de controladores, y si otros controladores del entorno usan la misma firma, también se les permitiría funcionar.You could create a WDAC policy on hardware that uses a particular set of drivers, and if other drivers in your environment use the same signature, they would also be allowed to run. Sin embargo, es posible que necesites crear varias directivas WDAC en distintos hardware de "referencia" y luego combinar las directivas, para asegurarte de que la directiva resultante reconoce todos los controladores de tu entorno.However, you might need to create several WDAC policies on different "reference" hardware, then merge the policies together, to ensure that the resulting policy recognizes all the drivers in your environment.

    • ¿Qué software necesita cada departamento o función?What software does each department or role need? ¿Deberían poder instalar y ejecutar el software de otros departamentos?Should they be able to install and run other departments' software?
      Si varios departamentos tienen permiso para ejecutar la misma lista de software, tal vez puedas combinar varias directivas WDAC para simplificar la administración.If multiple departments are allowed to run the same list of software, you might be able to merge several WDAC policies to simplify management.

    • ¿Hay departamentos o roles que usen un software único y restringido?Are there departments or roles where unique, restricted software is used?
      Si un departamento necesita ejecutar una aplicación que no se permite a ningún otro departamento, puede que sea necesaria una directiva WDAC independiente.If one department needs to run an application that no other department is allowed, it might require a separate WDAC policy. Del mismo modo, si solo un departamento debe ejecutar una versión anterior de una aplicación (mientras que otros departamentos permiten solo la versión más reciente), puede que haga falta una directiva WDAC independiente.Similarly, if only one department must run an old version of an application (while other departments allow only the newer version), it might require a separate WDAC policy.

    • ¿Hay ya una lista de aplicaciones aceptadas?Is there already a list of accepted applications?
      Se puede usar una lista de aplicaciones aceptadas para ayudar a crear una directiva WDAC de base de referencia.A list of accepted applications can be used to help create a baseline WDAC policy.
      A partir de Windows 10, versión 1703, también podría resultar útil tener una lista de complementos o módulos que quieras permitir solo en una aplicación específica (por ejemplo, una aplicación de línea de negocio).As of Windows 10, version 1703, it might also be useful to have a list of plug-ins, add-ins, or modules that you want to allow only in a specific app (such as a line-of-business app). Del mismo modo, podría resultar útil tener una lista de complementos o módulos que quieras bloquear en una aplicación específica (por ejemplo, un explorador).Similarly, it might be useful to have a list of plug-ins, add-ins, or modules that you want to block in a specific app (such as a browser).

    • Como parte de un proceso de revisión de amenazas, ¿has revisado sistemas para comprobar el software que puede cargar DLL arbitrarias o ejecutar código o scripts?As part of a threat review process, have you reviewed systems for software that can load arbitrary DLLs or run code or scripts? En las operaciones cotidianas, la Directiva de seguridad de la organización puede permitir que determinadas aplicaciones, códigos o scripts se ejecuten en sus sistemas en función de su rol y el contexto.In day-to-day operations, your organization's security policy may allow certain applications, code, or scripts to run on your systems depending on their role and the context. Sin embargo, si tu directiva de seguridad requiere que ejecutes solo código, scripts y aplicaciones de confianza en tus sistemas, puedes decidir bloquear estos sistemas de forma segura con las directivas de Control de aplicaciones de Windows Defender.However, if your security policy requires that you run only trusted applications, code, and scripts on your systems, you may decide to lock these systems down securely with Windows Defender Application Control policies.

      Las aplicaciones legítimas de proveedores confiables proporcionan una funcionalidad válida.Legitimate applications from trusted vendors provide valid functionality. Sin embargo, un atacante también podría usar la misma funcionalidad para ejecutar código ejecutable malintencionado que podría omitir directivas WDAC.However, an attacker could also potentially use that same functionality to run malicious executable code that could bypass WDAC.

      Para los escenarios operativos que requieren una seguridad elevada, determinadas aplicaciones con omisiones de integridad de código conocidas pueden representar un riesgo de seguridad si las incluye en la lista blanca en sus directivas WDAC.For operational scenarios that require elevated security, certain applications with known Code Integrity bypasses may represent a security risk if you whitelist them in your WDAC policies. Otras aplicaciones, que son versiones anteriores de la aplicación, también representan un riesgo.Other applications, where older versions of the application had vulnerabilities, also represent a risk. Por lo tanto, puede que desees denegar o bloquear dichas aplicaciones de las directivas WDAC.Therefore, you may want to deny or block such applications from your WDAC policies. Para las aplicaciones con vulnerabilidades, una vez que las vulnerabilidades estén corregidas, puede crear una regla que solo permita las corregidas o más recientes de esa aplicación.For applications with vulnerabilities, once the vulnerabilities are fixed you can create a rule that only allows the fixed or newer versions of that application. La decisión de permitir o bloquear aplicaciones depende del contexto y de cómo se está usando el sistema de referencia.The decision to allow or block applications depends on the context and on how the reference system is being used.

      Los profesionales de la seguridad colaboran continuamente con Microsoft para ayudar a proteger a los clientes.Security professionals collaborate with Microsoft continuously to help protect customers. Con la ayuda de sus valiosos informes, Microsoft ha identificado una lista de aplicaciones conocidas que un atacante podría usar para eludir el Control de aplicaciones de Windows Defender.With the help of their valuable reports, Microsoft has identified a list of known applications that an attacker could potentially use to bypass Windows Defender Application Control. Según el contexto, es posible que desee bloquear estas aplicaciones.Depending on the context, you may want to block these applications. Para ver la lista de aplicaciones y ejemplos de casos de uso, como deshabilitar MSBuild. exe, vea reglas de bloqueo recomendadas de Microsoft.To view this list of applications and for use case examples, such as disabling msbuild.exe, see Microsoft recommended block rules.

  4. Identifica las aplicaciones de LOB que estén actualmente sin firmar.Identify LOB applications that are currently unsigned. Aunque el código firmado (a través de WDAC) protege contra muchas amenazas, la organización puede usar aplicaciones de LOB sin firmar para las que el proceso de firma puede ser difícil.Although requiring signed code (through WDAC) protects against many threats, your organization might use unsigned LOB applications, for which the process of signing might be difficult. También podrías tener aplicaciones que estén firmadas pero quieras agregarles una firma secundaria.You might also have applications that are signed, but you want to add a secondary signature to them. Si es así, identifica estas aplicaciones, puesto que necesitarás crear un archivo de catálogo para ellas.If so, identify these applications, because you will need to create a catalog file for them.

Introducción al proceso de implementaciónGetting started on the deployment process

  1. De forma opcional, crea un certificado de firma para el Control de aplicaciones de Windows Defender.Optionally, create a signing certificate for Windows Defender Application Control. Al implementar WDAC, es posible que necesites firmar archivos de catálogo o directivas WDAC internamente.As you deploy WDAC, you might need to sign catalog files or WDAC policies internally. Para ello, necesitarás un certificado de firma de código emitido públicamente (que se compra) o una entidad de certificación interna.To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal CA. Si decide usar una entidad de certificación interna, tendrá que crear un certificado de firma de código.If you choose to use an internal CA, you will need to create a code signing certificate.

  2. Crear directivas de WDAC a partir de equipos de referencia.Create WDAC policies from reference computers. En este sentido, crear y administrar directivas WDAC para alinearse con las necesidades de los departamentos o roles puede ser similar a administrar imágenes corporativas.In this respect, creating and managing WDAC policies to align with the needs of roles or departments can be similar to managing corporate images. Desde cada equipo de referencia, puede crear una directiva de WDAC y decidir cómo administrar esa Directiva.From each reference computer, you can create a WDAC policy, and decide how to manage that policy. Puede combinar directivas de WDAC para crear una directiva general o una directiva maestra, o bien puede administrar e implementar cada directiva de forma individual.You can merge WDAC policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.

  3. Audita la directiva WDAC y captura información acerca de las aplicaciones que están fuera de la directiva.Audit the WDAC policy and capture information about applications that are outside the policy. Le recomendamos que use el modo auditoría para probar minuciosamente cada directiva de WDAC antes de exigirla.We recommend that you use audit mode to carefully test each WDAC policy before you enforce it. Con el modo de auditoría, no se bloquea ninguna aplicación; la directiva solo registra un evento cuando se inicia una aplicación fuera de la directiva.With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. Más adelante, puedes expandir la directiva para permitir estas aplicaciones, según sea necesario.Later, you can expand the policy to allow these applications, as needed.

  4. Crear un archivo de catálogo para las aplicaciones LOB sin firmar.Create a catalog file for unsigned LOB applications. Usar la herramienta de Inspector de paquetes para crear y firmar un archivo de catálogo para las aplicaciones de LOB sin firmar.Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. En pasos posteriores, puedes combinar la firma del archivo de catálogo en la directiva WDAC para que la directiva permita las aplicaciones del catálogo.In later steps, you can merge the catalog file's signature into your WDAC policy, so that applications in the catalog will be allowed by the policy.

  5. Captura la información de directiva necesaria del registro de eventos y combina la información en la directiva existente según sea necesario.Capture needed policy information from the event log, and merge information into the existing policy as needed. Después de que una directiva WDAC se haya estado ejecutando durante un tiempo en modo de auditoría, el registro de eventos contendrá información acerca de las aplicaciones que están fuera de la directiva.After a WDAC policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. Para ampliar la directiva para que permita estas aplicaciones, usa los comandos de Windows PowerShell para capturar la información necesaria del registro de eventos y combina esa información en la directiva existente.To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. Puedes combinar las directivas WDAC de otros orígenes también, si deseas conseguir flexibilidad a la hora crear directivas WDAC finales.You can merge WDAC policies from other sources also, for flexibility in how you create your final WDAC policies.

  6. Implementa directivas WDAC y archivos de catálogo.Deploy WDAC policies and catalog files. Cuando confirmes que has completado todos los pasos anteriores, podrás comenzar a implementar archivos de catálogo y sacar directivas WDAC del modo de auditoría.After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking WDAC policies out of auditing mode. Te recomendamos encarecidamente que inicies este proceso con un grupo de usuarios de prueba.We strongly recommend that you begin this process with a test group of users. Esto ofrece una validación de control de calidad final antes de implementar las directivas WDAC y los archivos de catálogo de forma más amplia.This provides a final quality-control validation before you deploy the catalog files and WDAC policies more broadly.

  7. Habilita las características de seguridad basada en la virtualización (VBS) que quieras.Enable desired virtualization-based security (VBS) features. Características de seguridad basadas en hardware, también denominadas características de seguridad basada en la virtualización (VBS), refuerce las protecciones ofrecidas por el control de aplicaciones de Windows Defender.Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by Windows Defender Application Control.

Problemas conocidosKnown issues

En esta sección se tratan problemas conocidos con WDAC.This section covers known issues with WDAC. La protección basada en la virtualización de la integridad del código puede ser incompatible con algunos dispositivos y aplicaciones, lo que puede provocar errores inesperados, pérdida de datos o un error de pantalla azul (también conocido como un error de parada).Virtualization-based protection of code integrity may be incompatible with some devices and applications, which might cause unexpected failures, data loss, or a blue screen error (also called a stop error). Pruebe esta configuración en el laboratorio antes de habilitarla en producción.Test this configuration in your lab before enabling it in production.

Las instalaciones MSI están bloqueadas por WDACMSI Installations are blocked by WDAC

La instalación de archivos. msi directamente desde Internet en un equipo protegido por WDAC fallará.Installing .msi files directly from the internet to a computer protected by WDAC will fail. Por ejemplo, este comando no funciona:For example, this command will not work:

msiexec –i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

Como solución alternativa, descargue el archivo MSI y ejecútelo localmente:As a workaround, download the MSI file and run it locally:

msiexec –i c:\temp\Windows10_Version_1511_ADMX.msi