Configurar los Ajustes de Software Autorizado (Computadoras con Windows)

Aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR.

Los ajustes de software autorizados solo se pueden asignar a servidores o estaciones de trabajo con Windows. Las exclusiones de software autorizadas no excluyen ningún subdirectorio dentro de un directorio excluido.

En WatchGuard Endpoint Security, tres funciones evitan el bloqueo de programas:

Archivos y Rutas Excluidos

Excluye de los escaneos elementos o áreas específicas de la computadora. No se impedirá la ejecución de software desconocido. Dado que esto puede llevar a una brecha de seguridad, no lo recomendamos, excepto cuando haya problemas con el rendimiento de la computadora. Solo se excluye la carpeta de la ruta especificada. Las subcarpetas no se excluyen.

Desbloqueo de Programas en el Proceso de Clasificación

Permite temporalmente que se ejecuten programas bloqueados, pero con un enfoque reactivo. El administrador no puede desbloquear un programa a menos que se haya bloqueado primero.

Dado que el software puede constar de varios componentes, y usted debe desbloquear cada componente individualmente, el proceso para bloquear y desbloquear puede llevar algún tiempo.

Configurar Software Autorizado

Desbloqueo proactivo de programas desconocidos en el proceso de clasificación. El administrador puede asignar ajustes para programas de un origen conocido que se pueden utilizar siempre que no se detecte ningún riesgo. Este es el método recomendado para desbloquear programas.

En un perfil de ajustes de software autorizado, puede configurar los ajustes para autorizar el software o una familia de software que desea permitir que se ejecute antes de que se clasifique. Por ejemplo, cuando conoce la fuente del programa y la razón por la que se bloqueó, puede desbloquearlo. Algunos ejemplos de programas que tal vez desee desbloquear son los siguientes:

• Programas nicho específicos con muy pocos usuarios
• Programas que se actualizan automáticamente desde el sitio web del proveedor sin interacción del usuario
• Programas con funciones distribuidas en cientos de bibliotecas que se cargan en la memoria y, por lo tanto, se bloquean cuando el usuario las usa desde los menús del programa
• Programas modelo cliente-servidor, donde el lado del cliente está alojado en un recurso de red compartido
• Software polimórfico que genera archivos ejecutables dinámicamente

Caution: Los ajustes de software autorizado le permiten aprobar la ejecución de archivos binarios ejecutables, excluyendo archivos de script, DLL independientes y otros archivos. Si Endpoint Security bloquea un programa porque descarga una .DLL desconocida, puede autorizar el archivo ejecutable especificado en el mensaje emergente que se muestra en la computadora del usuario. Una vez autorizado el programa, también se autorizan todos los archivos .DLL y recursos que utiliza. Este mismo comportamiento se aplica a los archivos que provienen de un instalador .MSI autorizado o de un archivo .EXE autoextraíble. Los procesos creados por .MSI o .EXE también están autorizados.

Una vez que se analizó un programa, Endpoint Security lo clasifica como goodware o malware. Si el programa representa una amenaza, se bloquea independientemente de si fue autorizado en estos ajustes.

Ajustes de Software Autorizado Heredados

De forma predeterminada, no puede editar ni eliminar los ajustes heredados de software autorizado de su Service Provider. Cuando el Service Provider configura la lista de software autorizado para ser editado, el perfil de ajustes muestra una etiqueta Configuración Editable. En este caso, puede agregar software autorizado, pero no puede eliminar ni editar la lista de software definida por el Service Provider.

Si su Service Provider cambia el estado de los ajustes de editable a no editable, el software autorizado que usted agregó deja de aplicarse. Solo se aplica el software del Service Provider. Si el Service Provider vuelve a cambiar la configuración para que sea editable, se restaurará y aplicará el software autorizado que usted haya agregado.

Configurar los Ajustes de Software Autorizado

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Software Autorizado para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para configurar los ajustes de software autorizado:

1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
2. Seleccione Configuración.
3. En el panel izquierdo, seleccione Software Autorizado.
4. Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
   Se abre la página Añadir Configuración o Editar Configuración.

5. Ingrese un Nombre y Descripción para el perfil, si es necesario.
   Le recomendamos que ingrese un nombre descriptivo, como Excluir MD5, Excluir versión del programa o Ruta excluida.
6. Para crear una nueva regla, haga clic en Autorizar Programas.
   Se abre el cuadro de diálogo Autorizar Programas.

7. Para especificar el programa ejecutable con un código hash MD5, seleccione MD5 o SHA-256.
   
8. En el cuadro de texto, escriba los hashes MD5 o SHA-256 para el programa que desea agregar.
   Por ejemplo, para MD5, podría ingresar 938c2cc0dcc05f2b68c4287040cfcf71. Para más información, vaya a Calcular el MD5 o SHA-256 de Uno o Más Archivos.
9. Para especificar el programa que desea agregar mediante las propiedades del programa, seleccione Propiedades del Programa.
   • Firma — Firma digital SHA-1 del archivo. Para más información, vaya a Obtener la Huella Dactilar de un Programa Firmado.
   • Nombre del Producto — Valor del nombre del producto del encabezado del archivo que desea desbloquear. Para ver el nombre del producto, haga clic con el botón derecho en el archivo del programa y seleccione Propiedades > Detalles.
   • Ruta del Archivo — Ruta del programa en el servidor o la estación de trabajo. Se aceptan variables de entorno del sistema. Las exclusiones de software autorizadas no excluyen subdirectorios dentro de un directorio excluido. Debe especificar la ruta de cada archivo. Por ejemplo, C:\panda solo incluye archivos en ese nivel del directorio.
   • Nombre del Archivo — El nombre del archivo que desea desbloquear. Se admiten los comodines * y ?.
   • Versión del Archivo — Versión del encabezado del archivo que desea desbloquear. Para ver la versión, haga clic con el botón derecho en el archivo del programa y seleccione Propiedades > Detalles. Por ejemplo, podría ingresar 0.1.777.0 como versión exacta.
10. Haga clic en Autorizar.
11. Haga clic en Guardar.
12. Seleccione el perfil y asigne destinatarios, si es necesario.
    Para más información, vaya a Asignar un Perfil de Ajustes.

Calcular el MD5 o SHA-256 de Uno o Más Archivos

Hay muchas herramientas disponibles para calcular el MD5 o SHA-256 de un archivo. Esta sección describe cómo usar la herramienta PowerShell en Windows 10.

1. En el Explorador de Archivos, abra la carpeta con los archivos.
2. Seleccione Archivo > Abrir Windows PowerShell.
   Se abre una ventana con la línea de comandos.

3. Ingrese el siguiente comando y reemplace $files con la ruta del archivo. Se admiten los comodines * y ?.
   1. Para md5: PS c:\folder> Get-FileHash -Algorithm md5 -path $files
   2. Para SHA-256: PS c:\folder> Get-FileHash -Algorithm SHA256 -path $files

4. Para copiar los hashes al portapapeles, mantenga presionada la tecla Alt y seleccione los hashes con el puntero del mouse. Presione Ctrl + C.
5. Para pegar todos los hashes del portapapeles en la UI de administración de Endpoint Security, haga clic en el campo MD5 o SHA-256 de la regla de software autorizado y presione Ctrl + V.
6. Haga clic en Autorizar.
7. Haga clic en Guardar.
   Se actualizan los ajustes del software autorizado.

Obtener la Huella Dactilar de un Programa Firmado

1. Abra Windows PowerShell.
2. Navegue hasta el directorio donde se encuentra el programa firmado.
3. Ejecute el comando Get-AuthenticodeSignature -FilePath ApplicationName.exe, donde ApplicationName es el nombre del programa firmado.
4. Seleccione la cadena de caracteres y cópiela en el portapapeles de Windows.
5. Abra un documento de texto y pegue la cadena en el documento.
6. Elimine los espacios adicionales entre los caracteres.
7. Copie la cadena sin espacios.
8. En el cuadro de diálogo Autorizar Programas, seleccione Propiedades del Programa.
9. En el cuadro de texto Firma, pegue la cadena sin espacios adicionales.

10. Haga clic en Autorizar.
11. Haga clic en Guardar.
    Se actualizan los ajustes del software autorizado.

Temas Relacionados

Administrar Perfiles de Ajustes

Excluir de Escaneos los Archivos y Rutas de Archivos

Crear Exclusiones en WatchGuard Endpoint Security

Protección Avanzada — Modos de Funcionamiento (Computadoras con Windows)