Acerca de las Reglas de Control de inicio de aplicaciones

Cómo funcionan las reglas de Control de inicio de aplicaciones

La operación de las Reglas de Control de inicio de aplicaciones se basa en los componentes siguientes:

• Tipo de regla.

  Las reglas de Control de inicio de aplicaciones pueden permitir o denegar el inicio de una aplicación. En consecuencia, se las llama reglas de autorización o denegación. Para crear una lista de reglas de autorización para el Control de inicio de aplicaciones, puede usar el Generador de reglas para generar reglas de autorización o la tarea Control de inicio de aplicaciones en el modo Solo estadísticas. También puede agregar las reglas de autorización manualmente.

• Usuario o grupo de usuarios.

  Las reglas de Control de inicio de aplicaciones pueden controlar el inicio de aplicaciones especificadas por un usuario y/o grupo de usuarios.

• Área de aplicación de regla.

  Las reglas de Control de inicio de aplicaciones pueden aplicarse a archivos ejecutables, scripts y paquetes MSI.

• Criterio de activación de la regla.

  Las reglas de Control de inicio de aplicaciones regulan el inicio de archivos que satisfacen uno o varios de los criterios especificados en la configuración de reglas: está firmado por el certificado digital especificado, coincide con el hash SHA256 especificado, está ubicado en la ruta especificada y coincide con los argumentos de la línea de comandos especificados. Debe seleccionar al menos una opción. De lo contrario, no se agrega la regla Control de inicio de aplicaciones.

  Si el Certificado digital se configura como el criterio de activación de la regla, la regla creada controla el inicio de todas las aplicaciones de confianza en el sistema operativo. Puede establecer condiciones más estrictas para este criterio si selecciona las siguientes casillas de verificación:

  • Usar sujeto
    

    La casilla de verificación habilita o deshabilita el uso del asunto del certificado digital como el criterio de activación de la regla.

    Si la casilla de verificación está seleccionada, el asunto especificado del certificado digital se utiliza como el criterio de activación de la regla. La regla creada controlará el inicio de aplicaciones solo para el proveedor especificado en el asunto.

    Si la casilla de verificación está desactivada, la aplicación no usará el asunto del certificado digital como el criterio de activación de una regla. Si se selecciona el criterio Certificado digital, la regla creada controlará el inicio de aplicaciones firmadas con un certificado digital que contenga cualquier asunto.

    El asunto del certificado digital utilizado para firmar el archivo solo puede especificarse desde las propiedades del archivo seleccionado con el botón Establecer criterio de activación de la regla a partir de las propiedades de un archivo, ubicado arriba de la sección Criterio de activación de la regla.

    De forma predeterminada, la casilla está desactivada.

  • Usar huella
    

    La casilla de verificación habilita y deshabilita el uso de la huella del certificado digital como el criterio de activación de la regla.

    Si la casilla de verificación está seleccionada, la huella especificada del certificado digital se utiliza como el criterio de activación de la regla. La regla creada controlará el inicio de aplicaciones firmadas con un certificado digital con la huella especificada.

    Si la casilla de verificación está desactivada, la aplicación no usará la huella del certificado digital como el criterio de activación de una regla. Si se selecciona el criterio Certificado digital, la aplicación controlará el inicio de aplicaciones firmadas con un certificado digital que contenga cualquier huella.

    La huella del certificado digital utilizada para firmar el archivo solo puede especificarse desde las propiedades del archivo seleccionado con el botón Establecer criterio de activación de la regla a partir de las propiedades de un archivo, ubicado arriba de la sección Criterio de activación de la regla.

    De forma predeterminada, la casilla está desactivada.

  Las huellas permiten reglas de inicio de la aplicación más restrictivas según un certificado digital, porque una huella identifica en forma exclusiva a un certificado digital y no se puede falsificar, a diferencia del asunto de un certificado digital.

Puede especificar exclusiones para las Reglas de Control de inicio de aplicaciones. Las exclusiones a las Reglas de Control de inicio de aplicaciones se basan en los mismos criterios utilizados para activar las reglas: el certificado digital, el hash SHA256 y la ruta de archivo. Pueden requerirse exclusiones a las reglas de Control de inicio de aplicaciones para ciertas reglas de autorización: por ejemplo, si desea autorizar que usuarios inicien aplicaciones desde la ruta C:\Windows y, al mismo tiempo, bloquear el inicio del archivo Regedit.exe.

Si los archivos del sistema operativo se encuentran dentro del alcance de la tarea Control de inicio de aplicaciones, le recomendamos que al crear reglas de Control de inicio de aplicaciones se asegure que tales aplicaciones estén permitidas por las reglas recién creadas. De otra forma, es posible que el sistema operativo tenga un error al iniciarse.

Administración de Reglas de Control de inicio de aplicaciones

Puede realizar las siguientes acciones con las Reglas de Control de inicio de aplicaciones:

• Agregar reglas manualmente
• Generar y agregar reglas automáticamente
• Eliminar reglas
• Exportar reglas a un archivo
• Examinar archivos seleccionados para ver reglas que permiten la ejecución de estos archivos
• Filtrar reglas en la lista según el criterio especificado