Prácticas recomendadas para agregar reglas de control de aplicaciones

Es necesario planear las reglas de control de aplicaciones personalizadas cuidadosamente. Cuando agregue reglas de control de aplicaciones, recuerde las siguientes prácticas recomendadas:
Prácticas recomendadas para las reglas de control de aplicaciones
Prácticas recomendadas
Descripción
Ejemplo
Considere el orden de la regla
Las reglas de control de aplicaciones funcionan de manera similar a la mayoría de las normas de firewall basadas en redes, ya que ambas utilizan la función de coincidencia de la primera norma. Cuando varias condiciones son verdaderas, la primera regla es la única que se aplica, a menos que la acción que se configura para la regla sea
Continuar procesando otras reglas
.
Se desea evitar que todos los usuarios muevan, copien y creen archivos en unidades USB.
Tiene una regla existente con una condición que permite escribir el acceso a un archivo denominado Test.doc. Agrega una segunda condición a este conjunto de reglas existente para bloquear todas las unidades USB. En esta situación, los usuarios aún pueden crear y modificar un archivo Test.doc en unidades USB. La condición
Permitir acceso
a Test.doc viene antes de la condición
Bloquear acceso
a las unidades USB en el conjunto de reglas. La condición
Bloquear acceso
a unidades USB no se procesa cuando la condición que la precede en la lista es verdadera.
Usar la acción correcta
La condición
Intentos de terminar procesos
permite o bloquea la capacidad de una aplicación de finalizar el proceso de llamada en un equipo cliente.
La condición no permite ni evita que los usuarios detengan una aplicación por los métodos usuales, tales como hacer clic en Salir en el menú Archivo.
El Explorador de procesos es una herramienta que muestra los procesos DLL que se han abierto o se han cargado y los recursos que usan los procesos.
Puede ser recomendable terminar el explorador de procesos cuando intenta finalizar una aplicación determinada.
Use la condición
Intentos de terminar procesos
y la acción
Terminar proceso
de crear este tipo de regla. La condición se aplica a la aplicación del explorador de procesos. La regla se aplica a la aplicación o las aplicaciones que no desea que el explorador de procesos finalice.
Use un conjunto de reglas por objetivo
Cree un conjunto de reglas que incluya todas las acciones que permitan, bloqueen o supervisen una tarea dada.
Por ejemplo, desea bloquear intentos de escritura para todas las unidades extraíbles y desea bloquear aplicaciones para que no manipulen una aplicación determinada.
Para conseguir estos objetivos, es necesario crear dos conjuntos de reglas diferentes en vez de un conjunto de reglas.
Use escasamente la acción
Terminar proceso
La acción
Terminar proceso
termina un proceso de llamada cuando cumple la condición configurada.
Solamente los administradores avanzados deben usar la acción
Terminar proceso
. Típicamente, debe usar la acción
Bloquear acceso
en su lugar.
Desea finalizar Winword.exe en cualquier momento que un proceso inicia Winword.exe.
Se crea una regla y se configura con la condición
Intentos de iniciar procesos
y la acción
Terminar proceso
. Se aplica la condición a Winword.exe y la regla a todos los procesos.
Puede que espere que esta regla finalice Winword.exe, pero eso no es lo que la regla hace. Si intenta iniciar Winword.exe desde Windows Explorer, una reglas con esta configuración termina Explorer.exe, no Winword.exe. Los usuarios aún pueden ejecutar Winword.exe si lo inician directamente. En cambio, use la acción
Bloquear acceso
, que bloquea el proceso de destino o Winword.exe.
Pruebe las reglas antes de ponerlas en la producción
La opción
Prueba (solo reg.)
para los conjuntos de reglas registra las acciones y no aplica las acciones al equipo cliente. Ejecute las reglas en modo de prueba durante un cierto período aceptable antes de cambiarlas al modo de producción. Durante este período de tiempo, revise los registros del control de aplicaciones y verifique que las reglas funcionen según lo previsto.
La opción de prueba reduce los accidentes potenciales que podrían ocurrir al no considerar todas las posibilidades de la regla.Consulte:
Más información