Diario Informe

Cómo crear una política de lista blanca de aplicaciones en Windows

  • Índice

  • 1 Protección de su ordenador con la aplicación Whitelisting
  • 2 Cómo permitir que sólo se ejecuten ciertas aplicaciones de Windows
  • 3 Cómo hacer una lista blanca de programas específicos usando las Políticas de Restricción de Software
  • 4 Consejos para la creación de reglas de senderos
  • 5 Otros tipos de normas de política de restricción de software
Índice de contenidos
  1. Índice
  • Protección de su ordenador con la aplicación de la lista blanca
  • Cómo permitir que sólo se ejecuten ciertas aplicaciones de Windows
  • Cómo hacer una lista blanca de programas específicos usando las Políticas de Restricción de Software
  • Consejos para la creación de reglas de senderos
  • Otros tipos de normas de política de restricción de software

    • Protección de su ordenador con la aplicación de la lista blanca

    En Windows es posible configurar dos métodos diferentes que determinan si se debe permitir que una aplicación se ejecute. El primer método, conocido como lista negra, es cuando se permite que todas las aplicaciones se ejecuten por defecto, excepto las que no se permiten específicamente. El otro método, más seguro, se denomina lista blanca, que bloquea la ejecución de todas las aplicaciones de forma predeterminada, excepto las que se permiten explícitamente.

    Con la amplia distribución de los rescates informáticos y otras infecciones de malware y los altos costos de recuperación de los mismos, un método de protección informática muy fuerte está en la lista blanca. Esto permite bloquear todos los programas de forma predeterminada y luego configurar reglas que permiten específicamente que sólo se ejecuten ciertos programas.

    Aunque es fácil de configurar inicialmente, las listas blancas pueden ser una carga, ya que tendrás que añadir nuevas reglas cada vez que instales un nuevo programa o quieras permitir que un programa se ejecute. Personalmente, creo que si estás dispuesto a dedicar tiempo y esfuerzo a utilizar las listas blancas, las posibilidades de que una infección informática dañe tu equipo serán mínimas.

    Este tutorial le guiará en la configuración de las listas blancas mediante las políticas de restricción de software para que sólo se puedan ejecutar en su ordenador las aplicaciones especificadas. Aunque esta guía estará orientada a usuarios individuales, este mismo enfoque puede utilizarse en la empresa al trasladar estas políticas a un dominio de Windows.

    Cómo permitir que sólo se ejecuten ciertas aplicaciones de Windows

    Nota para los usuarios de Windows!

    El método que usamos para crear la política de la lista blanca de la aplicación es a través del Editor de Política de Seguridad. Desafortunadamente, esta herramienta no está disponible en las versiones Home de Windows. Por lo tanto, es posible que desee utilizar un programa como CryptoPrevent para configurar una política de lista negra para usted.

    Para empezar a hacer una lista blanca de tus aplicaciones necesitas abrir el Editor de Políticas de Seguridad, que configura las Políticas de Seguridad Local de la máquina. Para ello, haz clic en el botón Start y luego escribe secpol.msc en el campo de búsqueda como se muestra a continuación.

    Start Menu Search for secpol.msc Figura 1. Busca Secpol.msc

    Cuando secpol.msc aparezca en la lista de búsqueda, haz clic en él para iniciar el editor de Política de Seguridad Local.

    Nota para los Administradores de Dominios

    Si está configurando esto para un dominio, entonces debería abrir el Editor de Políticas de Grupo en su lugar utilizando el comando gpedit.msc . Esta guía está diseñada en su mayor parte para un equipo individual, pero puede utilizarse para crear la misma política de listas blancas mediante el Editor de políticas de grupo.

    Ahora debería ver el editor de Política de Seguridad Local como se muestra a continuación.

    Local Security Policy Editor Figura 1. Busca Secpol.msc

    Para empezar a crear nuestra lista blanca de aplicaciones, haz clic en la categoría Políticas de restricción de software . Si nunca has creado una política de restricción de software en el pasado, verás una pantalla similar a la siguiente.

    Software Restriction Policy Category Figura 3. Políticas de restricción de software

    Para crear la nueva política, haga clic con el botón derecho del ratón en la categoría Políticas de restricción de software y seleccione la opción Nuevas políticas de restricción de software como se muestra a continuación.

    Create new software restriction policy Figura 4. Crear una nueva política de restricción de software

    Ahora se creará una nueva política de restricción de software como se muestra a continuación.

    New Software Restriction Policy Figura 5. Haga clic en el objeto de aplicación

    Lo primero que hay que hacer es configurar la sección de aplicación . Esta sección nos permite especificar los ajustes generales sobre cómo se configurarán estas políticas de restricción. Para empezar, haz clic en el tipo de objeto Enforcement como se indica en la flecha azul de arriba.

    Enforcement Object Settings Figura 6. Propiedades de ejecución

    Sugiero que dejes los escenarios como están por ahora. Esto le permite crear una política fuerte, sin los problemas que puede causar el bloqueo de DLLs. Cuando termines de configurar estos ajustes, haz clic en el botón OK .

    Ahora volverá a la ventana principal de Políticas de Restricción de Software como se muestra en la Figura 5. Ahora queremos configurar qué tipos de archivos serán considerados ejecutables y por lo tanto bloqueados. Para ello, haz clic en el objeto Designated File Types .

    Esto abrirá la ventana de propiedades para los tipos de archivos designados que se considerarán como ejecutables y por lo tanto serán bloqueados por la política de restricción de software que usted está creando.

    File Types Object Figura 7. Propiedades del tipo de archivo

    Lamentablemente, la lista anterior no es tan exhaustiva como desearía e incluye una ampliación que debería ser eliminada. En primer lugar, desplácese por la lista anterior de extensiones de archivos y elimine la extensión LNK de la lista. Para eliminar la extensión, haz clic una vez con el botón izquierdo del ratón y luego haz clic en el botón Remove . Si no eliminas esta extensión, entonces todos los atajos no funcionarán después de crear nuestra lista blanca.

    Ahora quieres añadir algunas extensiones extra que se sabe que se usan para instalar malware y rescates. Para añadir una extensión, simplemente añádela al campo File Extension y haz clic en el botón Add . Cuando añadas una extensión, no incluyas el punto. Por ejemplo, para excluir los scripts de powershell, deberías introducir PS1 en el campo y hacer clic en el botón Add.

    Por favor, añada las siguientes extensiones a los tipos de archivo designados:

    Extensiones para añadir a la lista de tipos de archivo
    PS1
    SCT
    JSE
    VBE
    VBS
    FSM

    Cuando termines de añadir las extensiones anteriores, haz clic en el botón Aplicar y luego en el botón OK .

    Ahora volveremos a la sección principal de la Política de Restricciones de Software como se muestra en la Figura 8 abajo. En este punto, es necesario configurar la política por defecto que decide si los tipos de archivo configurados en la figura 7 se bloquearán automáticamente o se permitirá su ejecución. Para ello, haga clic en la opción Niveles de seguridad como se indica en la flecha azul que aparece a continuación.

    Select Security Levels Figura 8. Seleccione los niveles de seguridad

    Al hacer doble clic en la categoría de Niveles de seguridad, se le llevará a la pantalla siguiente que tiene tres niveles de seguridad que puede aplicar a sus políticas de restricción de software.

    Security Levels Figura 9. Lista de niveles de seguridad

    Para seleccionar el nivel que debe utilizarse, es necesario hacer doble clic en el nivel en particular y establecerlo como predeterminado. A continuación se presentan las descripciones de cada tipo de nivel de seguridad.

    Desestimada: No se permitirá la ejecución de todos los programas, salvo los que se permitan por las reglas que se configuren, independientemente de los derechos de acceso del usuario.

    Usuario básico: Todos los programas deben ejecutarse como un usuario normal y no como un administrador.

    Sin restricciones: Todos los programas se pueden ejecutar de forma normal.

    Dado que desea bloquear todas las aplicaciones excepto las que están en la lista blanca, desea hacer doble clic en el botón Desactivado para entrar en su pantalla de propiedades como se muestra a continuación.

    Disallowed Security Level Properties Figura 10. Propiedades del nivel de seguridad rechazadas

    En la pantalla de propiedades anterior, para que todas las aplicaciones se bloqueen ahora por defecto, por favor haga clic en el botón Set as Default . A continuación, haz clic en los botones Aplicar y Aceptar para salir de la pantalla de propiedades.

    Ahora volveremos a la lista de niveles de seguridad y casi todos los programas serán bloqueados para ser ejecutados. Por ejemplo, si intentas ejecutar Internet Explorer, recibirás un mensaje que dice "Este programa está bloqueado por la política del grupo", como se muestra a continuación.

    Process Blocked Alert Figura 11. El programa está bloqueado

    Ahora que ha configurado Windows para bloquear la ejecución de todas las aplicaciones, debe configurar reglas que permitan la ejecución de sus aplicaciones legítimas. En la siguiente sección se explicará cómo crear reglas de ruta para que las aplicaciones que desea permitir que se ejecuten se encuentren en la lista blanca.

    Cómo hacer una lista blanca de programas específicos usando las Políticas de Restricción de Software

    Si has seguido los pasos anteriores, las Políticas de Restricción de Software están ahora habilitadas y bloquean todos los ejecutables excepto los ubicados en C:Archivos de Programa y C:NWindows . Estos dos directorios se incluyen automáticamente en una lista blanca con dos reglas predeterminadas que se crean al configurar las políticas de restricción de software.

    Obviamente, para tener una máquina que funcione correctamente necesitas permitir ahora, o la lista blanca, otras aplicaciones. Para ello, necesitas crear reglas adicionales para cada carpeta o aplicación que desees permitir que se ejecute. En este tutorial, vamos a añadir una nueva regla de ruta para la carpeta C:Ficheros de programa (x86), ya que también debe ser incluida en la lista blanca de las versiones de 64 bits de Windows.

    Mientras se encuentra en el editor de Política de Seguridad Local, haga clic en la categoría Reglas Adicionales bajo Políticas de Restricción de Software como se muestra a continuación.

    Additional Rules Screen Figura 12. Categoría de reglas adicionales

    Como puede ver desde arriba, ya hay dos reglas predeterminadas configuradas para permitir que los programas que se ejecutan en C:Windows y en C:Ficheros de Programa se ejecuten. Si estás ejecutando una versión de 64 bits de Windows, ahora quieres añadir otra regla que permitirá que los programas que se ejecuten en la carpeta C:Ficheros de Programa (x86) también se ejecuten.

    Para ello, haz clic con el botón derecho del ratón en una parte vacía del panel derecho y haz clic en New Path Rule... como se muestra a continuación.

    Create a new path rule Figura 13. Crear una nueva Regla de Trayectoria

    Esto abrirá el diálogo de Propiedades de la nueva regla de ruta como se muestra a continuación.

    Empty New Path Rule Figura 14. Regla del camino vacío

    Como quieres crear una regla de ruta para C:N-Archivos de Programa (x86), debes introducir esa ruta en la Ruta: . Luego asegúrate de que el Nivel de Seguridad esté establecido en Sin restricciones , lo que significa que los programas en él se pueden ejecutar. Si lo desea, puede introducir una breve descripción que explique para qué sirve esta regla en el campo Descripción. Cuando hayas terminado, la nueva regla debería ser como la que se muestra a continuación.

    New Path Rule Properties Figura 15. Regla de la ruta rellenada

    Cuando estés listo para añadir esta regla, haz clic en el botón Aplicar y luego OK para activar esa regla.

    Ahora estarás de vuelta en la página de Reglas y la nueva regla de C:Archivos de Programa (x86) será listada y los programas localizados en esa carpeta ahora podrán ser ejecutados.

    New Program Files (x86) Rule Figura 16. Nuevos archivos de programa (x86) Regla

    Ahora debe crear nuevas reglas para otros programas que desee permitir que se ejecuten en Windows. Por ejemplo, si juegas con Steam, debes seguir los pasos anteriores para añadir una regla sin restricciones para la carpeta C:Archivos de programa Steam .

    En las siguientes dos secciones, he proporcionado consejos y otros tipos de reglas que se pueden crear para los programas de la lista blanca. Le sugiero que lo lea para aprovechar todo el poder de las Políticas de Restricción de Software.

    Como siempre, si necesita ayuda con este proceso, no dude en preguntar en nuestros foros de soporte técnico.

    Consejos para la creación de reglas de senderos

    Cuando se añade una regla de ruta que es una carpeta, es importante tener en cuenta que cualquier subcarpeta también se incluirá en esta regla de ruta. Esto significa que si tienes aplicaciones almacenadas en C:MyApps y creas una regla de ruta que especifique que la carpeta no tiene restricciones, entonces todas las subcarpetas podrán ejecutarse también. Así que no sólo se permitirá que se ejecute C:MyAppsmiapp.exe, sino que también se permitirá que se ejecute C:NMyAppsNjuegosNjuegoapp.exe.

    Para facilitar la creación de reglas, también es posible utilizar comodines que ayuden a especificar qué programas deben ser autorizados a ejecutarse. Cuando se utilizan comodines, se puede utilizar un signo de interrogación (?) para denotar un solo carácter de comodín y un asterisco (*) para denotar una serie de caracteres de comodín.

    Por ejemplo, si tiene una carpeta de ejecutables que desea incluir en la lista blanca, puede hacerlo utilizando una regla de ruta con comodines como esta: C:MyApps*.exe . Esta regla permitiría que todos los archivos que terminan con .exe se ejecuten, pero no permitiría que se ejecuten los ejecutables de las subcarpetas. También puede usar una regla de ruta que especifique un único carácter comodín como C:MyAppsapp?.exe . Esta regla permitiría que se ejecutara C:MyAppsapp6.exe, pero no que se ejecutara C:NMyAppsNapp7a.exe.

    También es posible utilizar variables de entorno al crear las reglas del camino. Por ejemplo, si se desea permitir una carpeta bajo todos los perfiles de usuario, se puede especificar una regla como %Perfil de usuario%mi carpeta*.exe . Esto sólo permitiría ejecutar los ejecutables bajo esa carpeta en particular, pero expandiría %UserProfile% a la carpeta correcta para quien esté conectado a la computadora.

    Por último, pero no menos importante, si desea ejecutar los ejecutables de un recurso compartido de la red, entonces necesita especificar la ruta UNC completa en la regla. Por ejemplo, Dev-serverN-archivos .

    Otros tipos de normas de política de restricción de software

    Al crear las reglas, también es posible crear otras reglas llamadas Reglas de Certificado y Reglas de Hash. Estas reglas se describen a continuación.

    Regla del certificado: Se utiliza una regla de certificado para permitir que se ejecute cualquier ejecutable que esté firmado por un certificado de seguridad específico.

    Hash Rule: Una regla de hash permite especificar un archivo que puede ser ejecutado independientemente de su ubicación. Esto se hace seleccionando un ejecutable al crear la regla y cierta información será recuperada por SRP y guardada como parte de la regla. Si cualquier otro ejecutable del ordenador coincide con el hash del archivo almacenado y la información, se permitirá su ejecución.

    Nota: Microsoft ha declarado que las Reglas de Certificado podrían causar problemas de rendimiento si se usan, por lo que sólo se usan si es absolutamente necesario.

    Descubre más contenido

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir Change privacy settings