Configurar Políticas Avanzadas de Seguridad (Computadoras con Windows)

Aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR.

En los ajustes de Protección Avanzada de un perfil de ajustes de estaciones de trabajo y servidores, habilite Políticas Avanzadas de Seguridad para detectar y bloquear scripts sospechosos y programas desconocidos que utilizan técnicas de infección avanzadas.

Las Políticas Avanzadas de Seguridad incluyen:

• Powershell con Parámetros Sospechosos — Detecta la cantidad de veces que el intérprete PowerShell recibió parámetros sospechosos que podrían dar lugar a la ejecución de operaciones peligrosas en la computadora protegida. Esta opción requiere que habilite la protección anti-exploit.
• PowerShell Ejecutado por el Usuario — Detecta la cantidad de intentos de ejecutar un script PowerShell monitorizado por parte de una cuenta interactiva capaz de ejecutar operaciones peligrosas en la computadora protegida. Esta opción requiere que habilite la protección anti-exploit.
• Script Desconocido — Detecta los intentos de ejecutar un script que el equipo de inteligencia de seguridad de WatchGuard no ha clasificado. Esta política ayuda a proporcionar visibilidad de los scripts que se ejecutan en la red, proteger los servidores en los que se restringe la ejecución de programas y evitar la propagación de malware en la red si se sospecha que hay una infección. Si se debe permitir un script desconocido, puede excluir el archivo de los escaneos. Para más información, vaya a Excluir de Escaneos los Archivos y Rutas de Archivos.
• Programas Compilados Localmente — Detecta la cantidad de intentos de ejecutar un programa que es desconocido para el equipo de inteligencia de seguridad de WatchGuard porque fue compilado en la computadora del usuario.
• Documentos con Macros — Detecta la cantidad de intentos de abrir un documento con macros de Microsoft Office.
• Registro para Arranque al Inicio de Windows — Detecta la cantidad de veces que un programa ha intentado agregar una clave del registro de Windows para que persista en la computadora y se cargue con el sistema operativo en cada inicio del sistema.
• Bloqueos de Programas por Nombre — Detecta la cantidad de veces que Endpoint Security ha bloqueado un programa incluido en la lista de bloqueo de nombres.
• Bloqueos de Programas por Valor MD5 o SHA-256 — Detecta la cantidad de veces que Endpoint Security bloqueó un programa incluido en la lista de bloqueo MD5 o SHA-256.

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Seguridad para Estaciones y Servidores para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para configurar los ajustes de las Políticas Avanzadas de Seguridad:

1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
2. Seleccione Configuración.
3. En el panel izquierdo, seleccione Estaciones y Servidores.
4. Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
   Se abre la página Añadir Configuración o Editar Configuración.
5. Ingrese un Nombre y Descripción para el perfil, si es necesario.
6. Seleccione Protección Avanzada.
7. Seleccione el interruptor Protección Avanzada para habilitarla.
8. Seleccione el interruptor Activar Políticas Avanzadas para habilitarlo.
9. Para cada política, seleccione Auditar, Bloquear o No Detectar la amenaza:
   • Auditar — Detecta la política y genera retroalimentación para el administrador en listas y mosaicos del panel de control.
   • Bloquear — Impide que el programa se ejecute.
   • No detectar — No detecta la política ni genera retroalimentación para los usuarios o administradores.
10. Configure el bloqueo de programas.
    Para más información, vaya a Bloquear Programas Sospechosos.
11. Haga clic en Guardar.
12. Seleccione el perfil y asigne destinatarios, si es necesario.
    Para más información, vaya a Asignar un Perfil de Ajustes.

Bloquear Programas Sospechosos

Para aumentar la seguridad de las computadoras con Windows en la red, puede evitar el uso de programas que considere peligrosos o sospechosos. Estos programas incluyen:

• Programas que por su forma de ejecución utilizan demasiado ancho de banda o establecen demasiadas conexiones impactando negativamente en la conectividad de la empresa si son ejecutados simultáneamente por varios usuarios.
• Programas que permiten a los usuarios acceder a contenidos que pueden contener amenazas a la seguridad.
• Programas que permiten a los usuarios acceder a contenidos no relacionados con la actividad de la empresa y que pueden afectar al rendimiento del usuario.

Para bloquear software no deseado por motivos de productividad o cumplimiento, puede configurar programas de bloqueo en un perfil de ajustes de bloqueo de programas. Para más información, vaya a Configurar los Ajustes de Seguridad del Bloqueo de Programas (Computadoras con Windows).

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Seguridad para Estaciones y Servidores para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para configurar el bloqueo de programas:

1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
2. Seleccione Configuración.
3. En el panel izquierdo, seleccione Estaciones y Servidores.
4. Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
   Se abre la página Añadir Configuración o Editar Configuración.
5. Ingrese un Nombre y Descripción para el perfil, si es necesario.
6. Seleccione Protección Avanzada.
7. Seleccione el interruptor Protección Avanzada para habilitarla.
8. Seleccione el interruptor Activar Políticas Avanzadas para habilitarlo.
9. En la sección Bloquear Programas, ingrese los nombres de archivos, MD5 o códigos SHA-256 de los programas que desea bloquear. Puede pegar una lista de nombres de archivos o códigos separados por saltos de línea.
10. Para Informar a los usuarios de los equipos de los bloqueos, habilite el interruptor.
    Aparece un mensaje emergente en las computadoras de los usuarios cuando intentan ejecutar una aplicación bloqueada.
11. (Opcional) En el cuadro de texto, ingrese un mensaje personalizado para mostrar a los usuarios cuando Advanced EPDR bloquea un programa.
12. Haga clic en Guardar.
13. Seleccione el perfil y asigne destinatarios, si es necesario.
    Para más información, vaya a Asignar un Perfil de Ajustes.

Cuando Endpoint Security bloquea un programa, se incluye en el mosaico Detecciones Mediante Políticas Avanzadas de Seguridad del panel de control de Seguridad. Seleccione el mosaico para ver la opción desde en la lista Detecciones Mediante Políticas Avanzadas de Seguridad. En la lista, seleccione un elemento para abrir la página detalles de Bloqueo por Política Avanzada de Seguridad. Para obtener información sobre la página de detalles, vaya a Detecciones mediante Políticas Avanzadas de Seguridad — Detalles del Bloqueo.

Temas Relacionados

Administrar Perfiles de Ajustes

Copiar un Perfil de Ajustes

Editar un Perfil de Ajustes

Asignar un Perfil de Ajustes

Configurar Ajustes de Seguridad para Estaciones de Trabajo y Servidores