La generación de las reglas de Control de inicio de aplicaciones puede ser complicada si también tiene que controlar la distribución del software en un dispositivo protegido, por ejemplo, en dispositivos protegidos donde el software instalado se actualiza periódicamente en forma automática. En este caso, se debe actualizar la lista de reglas de autorización después de cada actualización de software para que los archivos creados recientemente se consideren en la configuración de la tarea Control de inicio de aplicaciones. Para simplificar el control de inicio en situaciones de distribución de software, puede usar el subsistema de Control de distribución de software.
Un paquete de distribución de software (en adelante, denominado "paquete") representa una aplicación de software que se instala en un dispositivo protegido. Cada paquete contiene al menos una aplicación, y también puede contener archivos individuales, actualizaciones o hasta un comando individuales, además de las aplicaciones, en particular cuando se instala una aplicación o una actualización de software.
El subsistema de Control de distribución de software se implementa como lista de exclusiones adicional. Cuando se agrega un paquete de instalación a la lista, el mismo se convierte en paquete de confianza. El desempaquetado de paquetes de confianza está permitido, y se permite también que las aplicaciones instaladas o actualizadas desde paquetes de confianza se inicien automáticamente. Los archivos extraídos pueden heredar el atributo de confianza de un paquete de distribución principal. Un paquete de distribución principal es un paquete que el usuario agregó a la lista de exclusiones de Control de distribución de software y se convirtió en un paquete de confianza.
Kaspersky Embedded Systems Security para Windows controla solo los ciclos completos de distribución de software. La aplicación no puede procesar correctamente el inicio de archivos modificados por un paquete de confianza si, cuando el paquete se inicia por primera vez, se desactiva el control de distribución de software o no se instala el componente Control de inicio de aplicaciones.
El Control de distribución de software no está disponible si se desactiva la casilla de verificación Aplicar reglas a archivos ejecutables en la configuración de la tarea Control de inicio de aplicaciones.
Caché de distribución del software
Kaspersky Embedded Systems Security para Windows utiliza una caché de distribución de software generado dinámicamente ("caché de distribución") para establecer la relación entre paquetes de confianza y archivos creados durante la distribución del software. Cuando un paquete se inicia por primera vez, Kaspersky Embedded Systems Security para Windows detecta todos los archivos creados por el paquete durante el proceso de distribución del software y almacena sumas de control del archivo y rutas en el caché de distribución. Entonces se permite a todos los archivos en el caché de distribución iniciarse de forma predeterminada.
No puede revisar, limpiar ni modificar manualmente el caché de distribución mediante la interfaz de usuario. Kaspersky Embedded Systems Security para Windows completa y controla el caché.
Puede exportar el caché de distribución a un archivo de configuración (en formato XML) y borrar el caché con opciones de la línea de comandos.
Para exportar el caché de distribución a un archivo de configuración, ejecute el siguiente comando:
kavshell appcontrol /config /savetofile:<ruta de acceso completa> /sdc
Para borrar el caché de distribución, ejecute el siguiente comando:
kavshell appcontrol /config /clearsdc
Kaspersky Embedded Systems Security para Windows actualiza el caché de distribución cada 24 horas. Si la suma de control de un archivo anteriormente permitido se cambia, la aplicación elimina el registro de este archivo desde el caché de distribución. Si la tarea Control de inicio de aplicaciones se inicia en un modo Activo, los intentos posteriores de iniciar este archivo se bloquearán. Si se cambia la ruta completa al archivo anteriormente permitido, los intentos subsecuentes de iniciar este archivo no se bloquearán, porque la suma de control se almacena dentro del caché de distribución.
Procesamiento de los archivos extraídos
Todos los archivos extraídos de un paquete de confianza heredan el atributo de confianza sobre el primer inicio del paquete. Si desactiva la casilla después del primer inicio, todos los archivos extraídos del paquete conservarán el atributo heredado. Para reiniciar el atributo heredado para todos los archivos extraídos, debe borrar el caché de distribución y desactivar la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución antes de volver a iniciar el paquete de distribución de confianza.
Los archivos extraídos y los paquetes creados por un paquete de distribución de confianza primario heredan el atributo de confianza cuando sus sumas de control se agregan a la caché de distribución al abrirse por primera vez el paquete de distribución de software de la lista de exclusiones. Por lo tanto, el propio paquete de distribución y todos los archivos extraídos de este paquete también serán de confianza. De forma predeterminada, la cantidad de niveles de la herencia del atributo de confianza es ilimitada.
Los archivos extraídos conservarán el atributo de confianza después de reiniciar el sistema operativo.
El procesamiento de archivos se define en la Configuración de Control de distribución de software mediante la selección o la desactivación de la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución.
Por ejemplo, si test.msi, un paquete que contiene varios paquetes y aplicaciones, se agrega a la lista de exclusiones y se selecciona esta casilla, todos los paquetes y aplicaciones contenidos en el paquete test.msi se podrán descomprimir y ejecutar, incluso si contienen otros archivos anidados. Esta situación funciona para archivos extraídos en todos los niveles anidados.
Si agrega un paquete test.msi a la lista de exclusiones y desactiva la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución, la aplicación asignará el atributo de confianza solo a los paquetes y archivos ejecutables extraídos directamente de un paquete de confianza principal (en el primer nivel de anidación). Las sumas de control de estos archivos se almacenan en el caché de distribución. Todos los archivos en el segundo nivel de anidación y superiores serán bloqueados por el principio de denegación predeterminada.
Trabajar con la lista de reglas de Control de inicio de aplicaciones
La lista de paquetes de confianza del subsistema de control de distribución de software es una lista de exclusiones que amplifica pero no reemplaza la lista general de reglas de Control de inicio de aplicaciones.
Las reglas de denegación de Control de inicio de aplicaciones tienen la prioridad más alta: se bloqueará la descompresión del paquete de confianza y el inicio de archivos nuevos o modificados si estos paquetes y archivos están afectados por las reglas de denegación de control del inicio de aplicaciones.
Las exclusiones de control de distribución de software se aplican tanto para paquetes de confianza como para archivos creados o modificados por estos paquetes si no se aplica ninguna regla de denegación en la lista de Control de inicio de aplicaciones para esos paquetes y archivos.
Uso de las conclusiones de KSN
Las conclusiones de KSN sobre la fiabilidad de los archivos tienen mayor prioridad que las exclusiones de Control de distribución de software. El desempaquetado de paquetes de confianza y la ejecución de archivos creados o modificados por paquetes de confianza se bloquearán si se recibe una conclusión de KSN que indique que se trata de archivos no confiables.
En ese momento, después de descomprimir los datos de un paquete de confianza, todos los archivos secundarios podrán ejecutarse independientemente del uso de KSN dentro del alcance del control de inicio de aplicaciones. En ese momento, los estados de las casillas de verificación Denegar inicio de aplicaciones no confiables según KSN y Autorizar inicio de aplicaciones confiables según KSN no afectan el funcionamiento de la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución.
Ir arriba