El problema con las computadoras es el software. No es el software en el que confía, que usa todos los días para hacer su trabajo. No, el problema es un código que no conoces que viene con una descarga. Puede ser un malware que roba y daña los datos o puede estar mal escrito y consumir los recursos necesarios para tareas más importantes.

Podemos usar antivirus y firewalls para proteger las PC contra amenazas conocidas, pero con una cantidad cada vez mayor de código malicioso que solo puede ser una acción de retaguardia. Entonces, ¿cómo podemos proteger nuestras flotas de PC mientras permitimos que los usuarios accedan a los archivos y aplicaciones que necesitan?

El Modo S de Microsoft en Windows 10 es un enfoque, bloqueando las rutas de instalación para que solo pueda instalar el código aprobado y probado de la Tienda Windows. Con las firmas digitales para aplicaciones, es posible asegurarse de que está instalando la versión correcta y segura de una aplicación. Pero las aplicaciones implementadas a través de la Tienda deben ser UWP o empaquetadas con Desktop Bridge. Y aunque puede usar tiendas privadas a través de Intune, no siempre es económico tomar aplicaciones antiguas y existentes y reescribirlas o convertirlas.

Índice
  • Presentamos WDAC
  • Definición de políticas de WDAC
  • Hacer que WDAC sea más flexible
  • Presentamos WDAC

    Aquí es donde entra en juego el Control de aplicaciones de Windows Defender, WDAC. En lugar de dejar que todo se ejecute, junto con todo el código confiable, independientemente de su origen, WDAC adopta un enfoque más deliberado para la seguridad de las aplicaciones, asegurando que solo se ejecute el código confiable en las PC administradas. No es solo una herramienta para aplicar firmas digitales: WDAC va un paso más allá, controlando el funcionamiento de las funciones clave del kernel, limitando el alcance y el alcance de las herramientas de secuencias de comandos como PowerShell y bloqueando las secuencias de comandos y los instaladores que no tienen una firma digital. Puede considerarlo como una versión empresarial de Windows 10 en modo S, una versión que no excluye a sus usuarios de sus propias aplicaciones internas o del código Win32 heredado.

    Previamente integrado con Windows Defender Device Guard, WDAC es compatible con Windows 10 Enterprise y Windows Server 2016 o posterior. Se administra mediante directivas de grupo o MDM, por lo que puede usar herramientas como Intune para proporcionar directivas de administración a sus usuarios, incluso si están fuera de su firewall.

    Una de las características más útiles de WDAC es la capacidad de controlar más que aplicaciones, agregando una forma de trabajar con complementos, complementos y módulos utilizados para extender aplicaciones. Con esta función, puede asegurarse de que las extensiones aprobadas de Chrome o Edge se puedan entregar a los navegadores, así como la compatibilidad con los complementos de Office en herramientas como Outlook o Excel.

    Definición de políticas de WDAC

    Microsoft proporciona una serie de pautas para ayudarlo a definir las políticas que desea usar. Las opciones incluyen controlar todas las aplicaciones, controlar aplicaciones específicas, controlar aplicaciones estándar de Windows o aplicaciones UWP o ambas. A continuación, puede elegir cómo desea controlar las aplicaciones: por usuarios, por grupos o por equipos. Afortunadamente, WDAC ofrece una opción de auditoría, por lo que puede ejecutarla en su flota de dispositivos y en los usuarios para ver qué están usando. Los resultados de una auditoría de WDAC se pueden usar para crear un conjunto de políticas que mejor se adapten a la forma en que trabajan sus usuarios.

    VER: Cómo construir una carrera de desarrollador exitosa (PDF gratuito) (República Tecnológica)

    WDAC es una tecnología poderosa y puede bloquear rápidamente una red. Puede ser mejor usarlo cuando sus usuarios están orientados a tareas y no necesitan acceso a muchas aplicaciones, especialmente cuando no tienen derechos administrativos. Esto lo hace ideal para usar en un centro de llamadas o para quioscos públicos de Internet. También es útil cuando los usuarios tienen algunos derechos de administrador, pero trabajan con información confidencial. Con WDAC, puede limitar el acceso a un conjunto específico de aplicaciones y aplicaciones confiables de Microsoft Store, lo que reduce el riesgo de que los usuarios instalen malware.

    Hacer que WDAC sea más flexible

    Windows 10 versión 1903 agregó más funciones a WDAC, haciéndolo más flexible al aumentar los tipos de aplicaciones que se pueden proteger, así como funciones de administración adicionales. Las políticas se pueden enviar a las herramientas de MDM y las implementaciones no requerirán un reinicio.

    Una nueva opción es la compatibilidad con las reglas de ruta de archivo. Si usó el antiguo AppLocker, este enfoque le resultará familiar, ya que le permite establecer rutas de archivos para aplicaciones y ejecutables al controlar dónde se pueden ejecutar los ejecutables. WDAC va un paso más allá al garantizar que solo las cuentas con privilegios puedan escribir en estas rutas, lo que reduce el riesgo de inyección de código desde aplicaciones con menos privilegios. Esta regla se puede fusionar con otras políticas para aumentar la protección disponible, como garantizar que solo se pueda ejecutar el código firmado en rutas de archivos seguras.

    Es importante darse cuenta de que no hay una talla única para todos y es poco probable que su negocio esté respaldado por una sola póliza. Es posible que diferentes grupos y usuarios individuales necesiten políticas separadas, y las últimas versiones de WDAC lo admiten al permitirle establecer una política base para su organización que se puede ampliar con políticas adicionales. La combinación de políticas básicas con políticas adicionales significa que es más fácil administrar políticas adicionales a menor escala a nivel de grupo, ampliando las reglas de políticas básicas. Es importante tener en cuenta que es mejor tener una póliza base más pequeña que una más grande, ya que las pólizas adicionales no pueden reducir el alcance de las reglas en una póliza base.

    VER: Proteja sus datos con autenticación de dos factores (PDF gratuito) (TechRepublic)

    Windows 10 en modo S es un primer paso útil para brindar control de aplicaciones, bloqueando los sistemas solo para las aplicaciones de la Tienda, con la capacidad de usar una política para evitar que los usuarios eliminen el modo S. Es mejor considerarlo como una opción para la educación y las pequeñas empresas. , así como usuarios domésticos, ya que requiere muy poca gestión.

    Cuando necesite más control y tenga los recursos de administración, es mucho mejor cambiar a una herramienta como WDAC. Aunque WDAC requiere mucho más trabajo para funcionar correctamente, es una herramienta poderosa para garantizar que solo se ejecute software confiable en su red. Con el 96 % del malware sin firmar, bloquear su flota de PC para que solo se ejecute el código de la lista blanca es una forma inteligente de proteger su red y sus datos, donde desea limitar las aplicaciones que los usuarios pueden ejecutar. Si el código incorrecto no puede ejecutarse en sus PC y sus datos están seguros, el tiempo dedicado a crear una configuración de WDAC es un tiempo bien invertido.

    Ver también

    • Lanzamiento de la versión 3.6 de TypeScript: nuevas funciones para el lenguaje de programación JavaScript de Microsoft (TechRepublic)
    • Cómo asegurar y proteger su cuenta de Microsoft (TechRepublic)
    • 50 consejos para ahorrar tiempo en Microsoft Office (PDF gratuito) (TechRepublic)
    • Seguridad de Windows 10: una guía para propietarios de negocios (TechRepublic Premium)
    • Configuración de Windows 10: ¿qué tipo de cuenta de usuario elegir? (ZDNet)
    • Microsoft agrega una nueva opción de inicio de sesión 'sin contraseña' con la última versión de prueba de Windows 10 20H1 (ZDNet)
    • Cómo crear y usar contraseñas de aplicaciones para su cuenta de Microsoft (CNET)
    • Cómo habilitar el inicio de sesión del teléfono para su cuenta de Microsoft (TechRepublic)
    • Las contraseñas de Windows 10 no caducan: por qué Microsoft dice que hará que su cuenta sea más segura (TechRepublic)
    • Obtenga más noticias y consejos esenciales de Microsoft (TechRepublic en Flipboard)