Acerca del control de distribución de software
La generación de las reglas de Control de inicio de aplicaciones puede ser complicada si también tiene que controlar la distribución del software en un dispositivo protegido, por ejemplo, en dispositivos protegidos donde el software instalado se actualiza periódicamente en forma automática. En este caso, se debe actualizar la lista de reglas de autorización después de cada actualización de software para que los archivos creados recientemente se consideren en la configuración de la tarea Control de inicio de aplicaciones. Para simplificar el control de inicio en situaciones de distribución de software, puede usar el subsistema de Control de distribución de software.
Un paquete de distribución de software (en adelante, denominado "paquete") representa una aplicación de software que se instala en un dispositivo protegido. Cada paquete contiene al menos una aplicación, y también puede contener archivos individuales, actualizaciones o hasta un comando individuales, además de las aplicaciones, en particular cuando se instala una aplicación o una actualización de software.
El subsistema de Control de distribución de software se implementa como lista de exclusiones adicional. Cuando agrega un paquete de distribución del software a esta lista, la aplicación permite que estos paquetes de confianza se descompriman y permite que el software instalado o modificado por un paquete de confianza se inicie automáticamente. Los archivos extraídos pueden heredar el atributo de confianza de un paquete de distribución principal. Un paquete de distribución principal es un paquete que el usuario agregó a la lista de exclusiones de Control de distribución de software y se convirtió en un paquete de confianza.
Kaspersky Embedded Systems Security controla solo los ciclos completos de distribución de software. La aplicación no puede procesar correctamente el inicio de archivos modificados por un paquete de confianza si, cuando el paquete se inicia por primera vez, se desactiva el control de distribución de software o no se instala el componente Control de inicio de aplicaciones.
El Control de distribución de software no está disponible si se desactiva la casilla de verificación Aplicar reglas a archivos ejecutables en la configuración de la tarea Control de inicio de aplicaciones.
Caché de distribución del software
Kaspersky Embedded Systems Security utiliza una caché de distribución de software generado dinámicamente ("caché de distribución") para establecer la relación entre paquetes de confianza y archivos creados durante la distribución del software. Cuando un paquete se inicia por primera vez, Kaspersky Embedded Systems Security detecta todos los archivos creados por el paquete durante el proceso de distribución del software y almacena sumas de control del archivo y rutas en el caché de distribución. Entonces se permite a todos los archivos en el caché de distribución iniciarse de forma predeterminada.
No puede revisar, limpiar ni modificar manualmente el caché de distribución mediante la interfaz de usuario. Kaspersky Embedded Systems Security completa y controla el caché.
Puede exportar el caché de distribución a un archivo de configuración (en formato XML) y borrar el caché con opciones de la línea de comandos.
Para exportar el caché de distribución a un archivo de configuración, ejecute el siguiente comando:
kavshell appcontrol /config /savetofile:<ruta de acceso completa> /sdc
Para borrar el caché de distribución, ejecute el siguiente comando:
kavshell appcontrol /config /clearsdc
Kaspersky Embedded Systems Security actualiza el caché de distribución cada 24 horas. Si la suma de control de un archivo anteriormente permitido se cambia, la aplicación elimina el registro de este archivo desde el caché de distribución. Si la tarea Control de inicio de aplicaciones se inicia en un modo Activo, los intentos posteriores de iniciar este archivo se bloquearán. Si se cambia la ruta completa al archivo anteriormente permitido, los intentos subsecuentes de iniciar este archivo no se bloquearán, porque la suma de control se almacena dentro del caché de distribución.
Procesamiento de los archivos extraídos
Todos los archivos extraídos de un paquete de confianza heredan el atributo de confianza sobre el primer inicio del paquete. Si desactiva la casilla después del primer inicio, todos los archivos extraídos del paquete conservarán el atributo heredado. Para reiniciar el atributo heredado para todos los archivos extraídos, debe borrar el caché de distribución y desactivar la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución antes de volver a iniciar el paquete de distribución de confianza.
Los archivos y paquetes extraídos creados por un paquete de distribución principal heredan el atributo de confianza, ya que sus sumas de control se agregan al caché de distribución cuando el paquete de distribución del software de la lista de exclusiones se abre por primera vez. Por lo tanto, el propio paquete de distribución y todos los archivos extraídos de este paquete también serán de confianza. De forma predeterminada, la cantidad de niveles de la herencia del atributo de confianza es ilimitada.
Los archivos extraídos conservarán el atributo de confianza después de reiniciar el sistema operativo.
El procesamiento de archivos se define en la Configuración de Control de distribución de software mediante la selección o la desactivación de la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución.
Por ejemplo, supongamos que agrega un paquete test.msi que contiene varios otros paquetes y aplicaciones a la lista de exclusiones y selecciona la casilla. En este caso, se permite la ejecución y la extracción de todos los paquetes y las aplicaciones contenidos en el paquete test.msi, si contienen otros archivos. Esta situación funciona para archivos extraídos en todos los niveles anidados.
Si agrega un paquete test.msi a la lista de exclusiones y desactiva la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución, la aplicación asignará el atributo de confianza solo a los paquetes y archivos ejecutables extraídos directamente de un paquete de confianza principal (en el primer nivel de anidación). Las sumas de control de estos archivos se almacenan en el caché de distribución. Todos los archivos en el segundo nivel de anidación y superiores serán bloqueados por el principio de denegación predeterminada.
Trabajar con la lista de reglas de Control de inicio de aplicaciones
La lista de paquetes de confianza del subsistema de control de distribución de software es una lista de exclusiones que amplifica pero no reemplaza la lista general de reglas de Control de inicio de aplicaciones.
Las reglas de denegación de Control de inicio de aplicaciones tienen la prioridad más alta: se bloqueará la descompresión del paquete de confianza y el inicio de archivos nuevos o modificados si estos paquetes y archivos están afectados por las reglas de denegación de control del inicio de aplicaciones.
Las exclusiones de control de distribución de software se aplican tanto para paquetes de confianza como para archivos creados o modificados por estos paquetes si no se aplica ninguna regla de denegación en la lista de Control de inicio de aplicaciones para esos paquetes y archivos.
Uso de las conclusiones de KSN
Las conclusiones de KSN que un archivo es no confiable tienen una prioridad más alta que las exclusiones de control de distribución de software: la descompresión de paquetes de confianza y el inicio de archivos creados o modificados por estos paquetes se bloquearán si KSN informa que estos archivos son no confiables.
En ese momento, después de descomprimir los datos de un paquete de confianza, todos los archivos secundarios podrán ejecutarse independientemente del uso de KSN dentro del alcance del control de inicio de aplicaciones. En ese momento, los estados de las casillas de verificación Denegar inicio de aplicaciones no confiables según KSN y Autorizar inicio de aplicaciones confiables según KSN no afectan el funcionamiento de la casilla de verificación Permitir la distribución adicional de los programas creados desde este paquete de distribución.