Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR
Los ajustes de software autorizados solo se pueden asignar a servidores o estaciones de trabajo con Windows. Las exclusiones de software autorizadas no excluyen ningún subdirectorio dentro de un directorio excluido.
En WatchGuard Endpoint Security, tres funciones evitan el bloqueo de programas:
Archivos y Rutas Excluidos
Excluye de los escaneos elementos o áreas específicas de la computadora. No se impedirá la ejecución de software desconocido. Dado que esto puede llevar a una brecha de seguridad, no lo recomendamos, excepto cuando haya problemas con el rendimiento de la computadora.
Desbloqueo de Programas en el Proceso de Clasificación
Permite temporalmente que se ejecuten programas bloqueados, pero con un enfoque reactivo. El administrador no puede desbloquear un programa a menos que se haya bloqueado primero.
Dado que el software puede constar de varios componentes, y usted debe desbloquear cada componente individualmente, el proceso para bloquear y desbloquear puede llevar algún tiempo.
Configurar Software Autorizado
Desbloqueo proactivo de programas desconocidos en el proceso de clasificación. El administrador puede asignar ajustes para programas de un origen conocido que se pueden utilizar siempre que no se detecte ningún riesgo. Este es el método recomendado para desbloquear programas.
En un perfil de ajustes de software autorizado, puede configurar los ajustes para autorizar el software o una familia de software que desea permitir que se ejecute antes de que se clasifique. Por ejemplo, cuando conoce la fuente del programa y la razón por la que se bloqueó, puede desbloquearlo. Algunos ejemplos de programas que tal vez desee desbloquear son los siguientes:
- Programas nicho específicos con muy pocos usuarios
- Programas que se actualizan automáticamente desde el sitio web del proveedor sin interacción del usuario
- Programas con funciones distribuidas en cientos de bibliotecas que se cargan en la memoria y, por lo tanto, se bloquean cuando el usuario las usa desde los menús del programa
- Programas modelo cliente-servidor, donde el lado del cliente está alojado en un recurso de red compartido
- Software polimórfico que genera archivos ejecutables dinámicamente
Los ajustes de Software Autorizado le permiten aprobar la ejecución de archivos binarios ejecutables, excluyendo archivos de script, DLL independientes y otros archivos. Si WatchGuard Endpoint Security bloquea un programa porque descarga una DLL desconocida, autorice el archivo ejecutable especificado en el mensaje emergente que se muestra en la computadora del usuario. Una vez autorizado el programa, también se permiten todos los archivos DLL y recursos que utiliza.
Una vez que se analizó un programa, WatchGuard Endpoint Security lo clasifica como goodware o malware. Si el programa representa una amenaza, se bloquea independientemente de si fue autorizado en estos ajustes.
Software Autorizado Heredado
De forma predeterminada, no puede editar ni eliminar la configuración heredada de software autorizados de su Service Provider. El Service Provider puede configurar la lista de software autorizado para que sea editable. El perfil de ajustes muestra una etiqueta, Configuración Editable. En este caso, puede agregar software autorizado, pero no puede eliminar ni editar la lista de software definida por el Service Provider.
Si su Service Provider cambia el estado de los ajustes de editable a no editable, el software autorizado que usted agregó dejará de aplicarse. Solo se aplica el software del Service Provider.Si el Service Provider vuelve a cambiar la configuración para que sea editable, se restaurarán y aplicará el software autorizado que usted haya agregado.
Configurar los Ajustes de Software Autorizados
Para configurar los ajustes de software autorizado:
- En WatchGuard Cloud, seleccione Configurar > Endpoints.
- Seleccione Ajustes.
- En el panel izquierdo, seleccione Software Autorizado.
- Seleccione un perfil de ajustes de seguridad existente para editarlo, copie un perfil existente o, en la esquina superior derecha de la ventana, haga clic en Añadir para crear un nuevo perfil.
Se abre la página Añadir Configuración o Editar Configuración.
- Ingrese un Nombre y Descripción para el perfil, si es necesario.
- Para crear una nueva regla, haga clic en Autorizar Programas.
Se abre el cuadro de diálogo Autorizar Programas.
- Para especificar el programa ejecutable con un código hash MD5, seleccione MD5.
- En el cuadro de texto, escriba los hashes MD5 para el programa que desea agregar.
Para más información, consulte Calcular el MD5 de Uno o Más Archivos. - Para especificar el programa que desea agregar mediante las propiedades del programa, seleccione Propiedades del Programa.
- Firma — Firma digital SHA-1 del archivo. Para más información, vaya a Obtener la Huella Dactilar de un Programa Firmado.
- Nombre del Producto — Valor del nombre del producto del encabezado del archivo que desea desbloquear. Para ver el nombre del producto, haga clic con el botón derecho en el archivo del programa y seleccione Propiedades > Detalles.
- Ruta del Archivo — Ruta del programa en el servidor o la estación de trabajo. Se aceptan variables de entorno del sistema. Las exclusiones de software autorizado no excluyen ningún subdirectorio dentro de un directorio excluido. Debe especificar la ruta de cada archivo.
- Nombre del Archivo — El nombre del archivo que desea desbloquear. Se admiten los comodines * y ?.
- Versión del Archivo — Versión del encabezado del archivo que desea desbloquear. Para ver la versión, haga clic con el botón derecho en el archivo del programa y seleccione Propiedades > Detalles.
- Haga clic en Autorizar.
- Haga clic en Guardar.
- Seleccione el perfil y asigne destinatarios, si es necesario.
Para más información, vaya a Asignar un Perfil de Ajustes.
Calcular el MD5 de Uno o Más Archivos
Hay muchas herramientas disponibles para calcular el MD5 de un archivo. Esta sección describe cómo usar la herramienta PowerShell en Windows 10.
- En el Explorador de Archivos, abra la carpeta con los archivos.
- Seleccione Archivo > Abrir Windows PowerShell.
Se abre una ventana con la línea de comandos.
- Ingrese el siguiente comando y reemplace $files con la ruta del archivo. Los comodines * y ? son aceptados.
PS c:\folder> Get-FileHash -Algorithm md5 -path $files
- Para copiar los hashes MD5 al portapapeles, mantenga presionada la tecla Alt y seleccione los hashes con el puntero del mouse. Presione Ctrl + C.
- Para pegar todos los hashes MD5 del portapapeles en la UI de administración de Endpoint Security, haga clic en el campo MD5 de la regla de software autorizado y presione Ctrl + V.
- Haga clic en Autorizar.
- Haga clic en Guardar.
Se actualizan los ajustes del software autorizado.
Obtener la Huella Dactilar de un Programa Firmado
- Haga clic con el botón derecho en el archivo y seleccione Propiedades.
- En la ventana Propiedades, seleccione la pestaña Firmas digitales.
- En la Lista de Firmas, seleccione la firma.
- Haga clic en Detalles.
Se abre la ventana Firma digital. - En la ventana Detalles de la firma digital, seleccione la pestaña General y haga clic en Ver certificado.
Se abre la ventana Certificado. - En la ruta Certificado, seleccione la pestaña Ruta de certificación y asegúrese de que el nodo final de la ruta de certificación esté seleccionado.
- En la ventana Certificado, seleccione la pestaña Detalles y el campo Huella dactilar.
- Seleccione la cadena de caracteres del cuadro de texto que se muestra y presione Ctrl + C para copiarlo al portapapeles.
- Haga clic en el campo Firma de la regla de software autorizado y presione las teclas Ctrl + V para pegar la huella dactilar en la UI de administración.
- Haga clic en Autorizar.
- Haga clic en Guardar.
Se actualizan los ajustes del software autorizado.
Administrar Perfiles de Ajustes
Excluir de Escaneos los Archivos y Rutas de Archivos
Protección Avanzada — Modos de Funcionamiento (Computadoras con Windows)