Está en la página 1de 23

ControldeIniciodeAplicaciones:

EnfoqueNegarporDefecto
(DefualtDenyApproach)

V1.0StanislavVershinin
V2.0EspaolLuisAlvarado

Contenido
Introduccin..................................................................................................................................................3
AcercadelControldeIniciodeAplicaciones................................................................................................3
Contenidoagregadoautomticamentedesdeunfolder.........................................................................4
Contenidoagregadoautomticamentedesdeunacomputadora...........................................................4
Contenidoagregadomanualmente..........................................................................................................5
ReglasdeControldeIniciodeAplicaciones.............................................................................................5
ModosdelControldeIniciodeAplicaciones................................................................................................6
ModoDefaultDeny.......................................................................................................................................7
ConfigurandoelControldeIniciodeAplicacionesenmodoDefaultDeny..................................................8
Paso1.Crearlalistadeaplicaciones........................................................................................................9
Paso2.InstalarKSC...................................................................................................................................9
Paso3.Inventario...................................................................................................................................10
Paso4.Crearunacategoraparalasaplicacionesdeconfianza.............................................................14
Paso5.Configurarlasreglasparainiciarlasaplicacionesdeconfianza,habilitarelmodoDefaultDeny
................................................................................................................................................................19
Paso6.Actualizarelsoftwareenlasestacionesdetrabajo...................................................................22
Paso7.Monitoreo...................................................................................................................................22
Conclusin...............................................................................................................................................23

Pgina2de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

Introduccin
Enlaredcorporativadecualquiercompaaaunlaspequeasinevitablemente,vaacrecerentamao
ycomplejidadhaciendocadavezmsdifcillaaplicacinymantenimientodelaspolticasdeseguridad.
Dentrodeestaspolticasdeseguridadunadelasrecomendacionesdelosdiferentesanalistaseselcontrol
deaplicacionesyelWhiteListing,cuyaaplicacinrequieredeherramientasespecializadasporpartedel
administradordelainfraestructura.
Los bloqueos y restricciones en el uso de software requieren de atencin especial, ya que existe una
relacindirectaentreelalcanceyflexibilidaddelcontroldeaplicacionesylaefectividaddelaempresade
defendersecontravirus,ciberespionaje,fugadeinformacinyotrosproblemas.
La propuesta de Kaspersky es el modo Default Deny. La idea detrs de este modo es muy simple: las
computadoras corporativas trabajan en un ambiente aislado, en donde slo programas especficos y
conocidospuedenejecutarse.Lasventajasbsicasson:

Proteccin contra nuevas variantes de malware (se bloquean automticamente al no ser


conocidos)
Esposiblebloqueartodoelsoftwareindeseado,desconocidoonolicenciado
Reduceelcostodelosrecursosdedicadosaseguridad

QuhaydetrsdeDefaultDeny?KasperskyLabcuentaconmsde530millonesderegistrosdesoftware
legtimo. Kaspersky Security Network se encarga de actualizar esa informacin registrando software
nuevooactualizadoqueapareceencualquierpartedelmundo.KasperskyLabcuentaconmsde200
acuerdosconfabricantesdesoftware(Cisco,Citrix,Intel,HP,Microsoftyms).
ElWhitelistingLab,esunasubdivisindeKasperskyLabqueseencargadeanalizarentiemporeal,todos
losprocesosasociadosconlasaplicacionesregistradasenlasbasesdedatos.

AcercadelControldeIniciodeAplicaciones
ElControldeIniciodeAplicacionesesuncomponentedeKasperskyEndpointSecurityquelepermiteal
administradordesistemasprohibirlaejecucindeprogramasenlacomputadora.
ElprocesodeconfiguracinbsicodelControldeIniciodeAplicacionesdeKasperskyEndpointSecurity
consisteendospasos:

Asignarunacategoraalprograma
Definirlalistadereglasquesernaplicadasalaaplicacin

Cuando se va a ejecutar cualquier aplicacin en una computadora protegido con Kaspersky Endpoint
SecurityyconelcontroldeiniciodeAplicacionesactivado,severificanlassiguientescondiciones:

Lacategoraalaquepertenecelaaplicacin
Lacuentaconqueestiniciandolaejecucindelaaplicacin
Lasreglasqueregulanlaejecucindelacategoraparaestacuenta

Pgina3de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


Pordefecto,noexistenreglasdebloqueoparaningunaaplicacinysepermitelaejecucindecualquier
archivo ejecutable. Si no hay reglas que permitan la ejecucin o si existen reglas permitiendo y
bloqueandoalmismotiempolaejecucin,entoncessebloquealaejecucin.
Lascategorasdeaplicacionessonunatributoqueidentificaunaaplicacinoungrupodeaplicaciones.
Unaaplicacinpuedeperteneceravariascategoras.Existendostiposdecategoras:

Llenadomanualeladministradoragregalosprogramasmanualmentealacategora
Llenadoautomtico
o Desde un folder el administrador selecciona la ruta a la carpeta que contiene los
archivos ejecutables para esta categora. El Servidor de Administracin revisa
peridicamenteelfolderyagreganuevasaplicacionesalacategora.
o Desde una computadora el administrador selecciona una o ms computadoras
administradas y el Servidor de Administracin agrega todos los archivos ejecutables
encontradosendichascomputadoras.

Contenidoagregadoautomticamentedesdeunfolder
La informacin de las aplicaciones incluidas en una categora llenada automticamente se actualiza
cuando se agregan o borran archivos ejecutables del folder de origen. Esta actualizacin se puede
programarparaqueserealiceperidicamente.Sielfoldercontienearchivosopaquetesdeinstalacin
(por ejemplo .MSI) el Servidor de Administracin los va a descomprimir (en un folder temporal) y va
agregarlainformacindelosarchivosejecutablesdentrodedichospaquetesalacategora.Asimismo,si
se agrega el folder de instalacin de una aplicacin, la categora va a incluir no solo lo archivos de
instalacin,sinotambinlosarchivosdelamisma.
Estemtododecrearunacategoraestilcuandosetratadeuncontenedorconlasaplicacionesquese
instalanenlascomputadorasdesuorganizacin.Laejecucindedichasaplicacionesdebeserpermitida.
Sinoquiereactualizarlascategorasmanualmente,describiendoaplicacionespermitidas,esmssencillo
ponerlas en un folder y configurar el Servidor de Administracin para que monitoree los cambios y
actualicelainformacinenlacategora.Despusdeesosolotienequecrearunareglaparapermitirla
ejecucindetodaslasaplicacionesenlacategora.

Contenidoagregadoautomticamentedesdeunacomputadora
Puede usar una computadora estndar con todo el software necesario instalado. Esta misma
computadorapuedeusarseparalacreacinydistribucindeimgenesacomputadorasnuevas.Resulta
convenienteanalizarlacomputadorayautomticamenteadicionartodoslosprogramasinstaladosala
mismacategoraycrearunasolareglaquepermitalaejecucin
Eladministradorpuedecrearunintervalodeactualizacin,losarchivosdetectadosserncategorizadose
identificadosmedianteelidentificadorMD5.

Pgina4de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

Contenidoagregadomanualmente
Para una categora llenada manualmente, las condiciones se especifican en una lista, cada condicin
puede tener varios parmetros. Si un programa cumple con al menos una condicin se incluye en la
categora.Lascondicionespuedenestablecersemediantediversosmtodos:

Identificador MD5 del archivo el identificador obtenido del MD5 permite una identificacin
inequvocadelosarchivos
Metadataelnombredelarchivo,suversin,nombredelaaplicacinodelfabricante
Rutadelaaplicacinrutaalfolderquecontienelosarchivosejecutablesdelaaplicacin
Categora de KL la categora de la aplicacin de acuerdo a Kaspersky Security Network, por
ejemploNavegadores,Juegos,drivers,etc.laCategoradeKLsedefinemedianteunasolicitud
enviadaaKSNcuandoseejecutaelprograma.SinosetieneaccesoainternetoKSNnodispone
deinformacinacercadelprograma,entoncesesteseadicionaalacategoradeOtrosprogramas.

EladministradorpuedeespecificarelMD5olosmetadatosusandodiferentesmtodos:

Delregistrodeaplicacionespermiteseleccionaraplicacionesdelalistadeprogramasinstalados
enlacomputadora.ElAgentedeRedobtienelainformacindeprogramasinstaladosdelregistry
yloreportaalServidordeAdministracin.EnlaConsoladeAdministracin,lalistadeaplicaciones
detectadas se muestra en el contenedor de Aplication registry dentro de Application
management.Unprogramadelalistapuedeusarsecomofuentedeinformacinsolosilalistade
archivosejecutablescontieneelarchivocorrespondiente.
Delalistadearchivosejecutableslalistadearchivosquehansidoejecutadosenlacomputadora
de los usuarios. El mdulo de Control de Inicio de Aplicaciones recolecta informacin de los
archivosylosenvaalServidordeAdministracindurantelassincronizaciones.Lalistadearchivos
semuestraenelcontenedordeExecutablefilesdentrodeApplicationmanagement.
De las propiedades del archivo o del archivo en un folder se puede agregar a la lista de
condiciones el identificador MD5 u otro metadato que el fabricante incluya de un archivo
especificoodeuntodoslosarchivosenunfolderespecifico.
De las propiedades del archivo MSI se puede agregar a la lista de condiciones el MD5 o los
metadatosqueelfabricanteincluyaenlaspropiedadesdelarchivo.

Si es necesario bloquear todos los archivos que cumplan las condiciones especificadas excepto un
programa,sepuedecrearunaexclusinenlacategora.Lasexclusionestambinseespecificanusandola
lista de condiciones. Los programas que cumplan al menos una condicin de exclusin no van a ser
incluidosenlacategora.

ReglasdeControldeIniciodeAplicaciones.
EladministradorpuedecrearreglasdeControldeIniciodeAplicacionesbasadoencategorasespecficas.
Unareglacontienelossiguientesparmetros:

Categora de la aplicacin es una categora de la lista disponible en el Servidor de


Administracin.UnaDirectivapuedecontenersolounareglaparacadacategora.

Pgina5de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

Losusuariosquetienenpermisodeejecucinenlacategoralistadeusuariosogruposlocales
o de dominio que tienen permitido ejecutar programas pertenecientes a la categora
seleccionada.Sepuedeespecificarmsdeunusuarioogruposeparadoporcomas.
Los usuarios que no tienen permiso de ejecucin en la categora este parmetro define los
usuariosogruposquetienenprohibidoejecutarprogramasdelacategoraseleccionada.
Trusted Updaters (Actualizadores de Confianza) este parmetro indica si el programa debe
considerarseunactualizadordeconfianza

LalistadereglasseespecificaenlaDirectivadeKESenlaseccindeControldeIniciodeAplicaciones.
Inicialmentelalistacontienetresreglaspordefectoquenopuedensereliminadas:

Allowall(permitirtodo)estareglapermiteejecutarcualquierprogramayesthabilitadapor
defecto. Deshabilitarla puede ser peligroso, puede causar un mal funcionamiento del Sistema
Operativoenlosequiposclientesinoseconfiguranreglasalternativasquepermitanlaejecucin
deaplicaciones.
Trusted Updaters (actualizadores de confianza) si esta regla est habilitada, las aplicaciones
instaladasporactualizadoresdeconfianzanosernbloqueadasauncuandonohayaunaregla
que permita su ejecucin. Una categora especial de KL incluye programas que descargan e
instalanactualizacionesdemdulos.Lareglaestadeshabilitadapordefectosoloseusaenun
modoespecialdelControldeIniciodeAplicacionesquesedescribemsadelante.
Goldenimageestereglapermitelaejecucindetodoslosarchivosyutilerasquesenecesitan
paraunaoperacinnormaldelSistemaOperativo.

ApartedelestatusOnyOffenlaregla,existeelestatusTest.Enestemodo,lareglanovaabloquear
el inicio de la aplicacin; cuando est habilitado, solo se generan los eventos Application startup
prohibitedintestmodeoApplicationstartupallowedintestmode.

ModosdelControldeIniciodeAplicaciones
Existendosenfoquesdeproteccin

DefaultAllow(modoListaNegra)esteeselenfoquetradicional.EnestemodoelControlde
Inicio de Aplicaciones le permite a todos los usuarios el inicio de todas las aplicaciones, con
excepcin de las que tienen una regla de bloqueo definido. Este modo es muy popular y est
habilitadopordefecto.
DefaultDeny(modoListaBlanca)enesteenfoque,elControldeIniciodeAplicacionesbloquea
todointentodeiniciarunaaplicacinatodoslosusuarios,exceptodelasaplicacionesquetienen
elpermisodeejecucinenunaregladelControldeIniciodeAplicaciones.Cuandolasreglasde
permisodeiniciodeaplicacinestnconfiguradas,elControldeIniciodeAplicacinbloquean
cualquier aplicacin nueva que no ha sido aprobada, mientras que permite la operacin del
Sistema Operativo y de las aplicaciones donde recae la productividad de los usuarios para su
trabajocotidiano.

Pgina6de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

ModoDefaultDeny
En ocasiones es necesario permitir solo software aprobado por el administrador, por ejemplo, en su
organizacinhayunapolticadeseguridadquerestringetodoelsoftwarequenoestenlaListaBlanca.
Msquenada,estapolticasepuedeaplicarenunsegmentosegurodelared,endondenoestpermitido
el uso de software no regulado. El modo Default Deny bloquea el inicio de software malicioso, no
licenciadoodesconocido,almismotiempoquereduceelusoderecursosenlascomputadoras.Estaes
lamaneramssimpledecontrolareliniciodeaplicacioneseslascomputadorascorporativas.Asque,si
sutareaescrearlamsseguraDirectivadeSeguridad,veaelmodoDefaultDeny.

ElenfoqueDefaultDeny

Pgina7de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


PasosgeneralesparaconfigurarDefaultDeny

ElprocesoparaconfigurarmodoDefaultDenyconsisteen5pasosprincipales:
1. Inventarioantesdeconfigurar,eladministradordebeejecutarunatareadeinventarioenuna
muestradelascomputadoras,conelfinderecolectarinformacindelasaplicacionesqueestn
instaladas.
2. Categorizacin (creacin de Lista Blanca) en este paso, el administrador debe crear una
categoraparaelsoftwarepermitido.Puedehacerlomanualmenteoautomticamente.Sidecide
hacerloautomticamentepuedeusardosdelosmtodosantesmencionados:pormediodeun
folderounacomputadoraquetengainstaladotodoelsoftwarequequierepermitir.
3. ConfiguracindeReglasporcategoradebedeshabilitarlareglaAllowallyhabilitarlaregla
Goldenimage.Estaltima,permitequeelsistemaoperativoyutilerasfuncione.NOTA:sino
habilitaestaregla,elsistemaoperativopuedefuncionardemaneraincorrecta.Tambincreeuna
reglaparalacategoracreadaenelpaso2,elijalosusuariosogruposquevanatenerpermisode
ejecutardichasaplicacionesyhabilitelaregla.
4. Actualizar Software en la mayora de los casos, se necesita mantener actualizadas las
aplicacionesinstaladas.Parahacerlo,habilitelareglaTrustedupdatersyagregueaplicaciones
alacategoraconelmismonombre.
5. Monitoreo es muy importante monitorear los eventos de bloqueo y en caso de que sea
necesarioaplicarlascorreccionesnecesarias.

ConfigurandoelControldeIniciodeAplicacionesenmodoDefaultDeny
ParaimplementarelmododeDefaultDenyenunambientecorporativo,sedebenseguirlossiguientes
pasos:
Paso1Crearlalistadeaplicaciones,quedeacuerdoalapolticadeseguridadsedebenpermitir.
Paso2InstalarKSC,instalarKasperskySecurityCenterenunservidoryKasperskyEndpoint
Securityenlasestacionesdetrabajo.
Paso3Realizaruninventarioenlasestacionesdetrabajo.
Pgina8de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


Paso4Crearunacategoraparalasaplicacionesdeconfianza,deacuerdoalodefinidoenel
Paso1.
Paso5Configurarlasreglasparainiciarlasaplicacionesdeconfianza,habilitarelmodoDefault
Deny.
Paso6Actualizarelsoftwareenlasestacionesdetrabajo.
Paso7MonitorearloseventosdelControldeIniciodeAplicaciones.

Paso1.Crearlalistadeaplicaciones
Paraempezar,sedebecrearlalistadeaplicacionespermitidasensuorganizacin.Elsoftwareenlalista
debe depender de las necesidades de la empresa. No olvide agregar las categoras ms comunes de
software:Navegadoresdeinternet,manejadoresdearchivoscomprimidos,reproductores,procesadores
depalabras,hojasdeclculo,lectores,etc.
Ejemplodeunalistadesoftwarepermitidoenunaestacindetrabajocomn:

Golden image conjunto de programas, utileras y drivers necesarios para que el Sistema
Operativofuncioneadecuadamente
InternetExploreruotronavegador
MSOfficeuotrasuitedeproductividad
WinRAR,7zipuotroaplicacinsimilar
AdobeReaderuotrolectordearchivosPDF
FlashPlayer
Java

Paso2.InstalarKSC
DescargueKasperskySecurityCenterdelapginadesoporteeinstaleelServidordeAdministracinen
un servidor y KES en las estaciones de trabajo. Puede seguir las recomendaciones de instalacin del
archivo Kaspersky Securty Center 10 Implementation Guide y de Kaspersky Endpoint Security 10 or
WindowsAdministrationGuide.Adicionalmentepuedeasistirelcursoenlneaoconsultarconlaoficina
deKasperskymscercanasobreloscursospresenciales.

Pgina9de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

Paso3.Inventario
Pararecolectarinformacinsobreelsoftwareinstaladoenlasestacionesdetrabajotienequeejecutar
unatareadeInventario,paracrearlatarea:
1.
2.
3.
4.

AbralaconsoladeadministracindeKasperskySecurityCenter
ExpandaelTabdelservidordeadministracin
SeleccioneelcontenedordeTasksforspecificcomputers
DeclicenCreateatask

5. EspecifiqueelnombredelatareaydeclicenNext

Pgina10de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


6. En Select task type expanda la seccin de Kaspersky Endpoint Securty 10 Service Pack 1 for
Windows,seleccioneInventoryydeclicenNext

7. Seleccione los folders donde se realizara la bsqueda de software. Por defecto la tarea de
Inventarioanalizatresfolders:%SystemRoot%,%ProgramFiles%y%ProgramFiles(x86)%.Declic
enNext

Pgina11de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


8. Seleccioneelmtodoparaagregarcomputadorasquevaaserusadoenlatarea.Paraelejemplo,
seleccioneSelectcomputersdiscoveredbytheAdministrationServerinthenetwork

9. En la ventana siguiente, seleccione las computadoras a incluir en la tarea. Para el ejemplo


seleccionesolouna.DeclicenNext

Pgina12de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


10. Especifiqueconqucuentaquiereejecutarlatarea;pordefecto,puedeusarlacuentaqueusael
agentedered.DeclicenNext

11. SeleccionelasopcionesdecalendarizacinydeclicenNext

Pgina13de23

Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


12. MarquelacasillaRuntaskafterWizardfinishes

Despusdequeterminelatarea,puedevertodaslasaplicacionesinstaladasensuambientecorporativo
enApplicationsregistrydentrodeApplicationmanagement

Paso4.Crearunacategoraparalasaplicacionesdeconfianza
En este paso, debe crear una categora para las aplicaciones de confianza. Puede ser creada de tres
formas:
1. Automticamente usando una computadora recin instalada solo con el software aprobado
instalado.
2. Automticamentedesdeunfolderquecontienelosarchivosdeinstalacindelsoftwareaprobado
3. Manualmenteagregandotodaslasaplicacionesaprobadasaunacategora
Lamayoradelasveces,enproduccinseusaelllenadoautomticodelacategora.Sinembargoenesta
guavamosallenarlamanualmente.Otromtodorecomendado,es usaruna computadoraque tenga
instaladosoloelsoftwareaprobado.Adicionalmentesepuedecrearunaimagendeesacomputadoray
distribuirloatodaslascomputadorasadministradas.
ParaesteejemplovamosacrearlacategoradeTrustedapplicationscondosaplicaciones:AdobeReader
y7Zip.Paracrearlacategorasigalossiguientespasos:

Pgina14de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


1.
2.
3.
4.
5.

AbralaconsoladeadministracindeKasperskySecurityCenter
ExpandaelServidordeAdministracin
ExpandaApplicationmanagement
SeleccioneApplicationcategories
DeclicenCreateacategory

6. Seleccioneelmtododellenadodelacategora.Enestagualoharemosmanualmente.

Pgina15de23

Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


7. EscribaelnombredelacategoraydeclicenNext

8. EnlasiguientepantallaclicenAddparaelegirelmtododeseleccindelasaplicaciones

Pgina16de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


9. Reviselasdiferentesopcionesyseleccionelasmsadecuadaasusnecesidades.Paraelejemplo
deestagua,seleccioneFromfileproperties.

10. En la ventana emergente de clic en Get data Para esta gua seleccione From applications
registry

Pgina17de23

Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


11. Enelregistrodeaplicacionesseleccione7/Zip9.20(x64edition)ydeclicenOK

12. Revise los diferentes campos con Metadatos. Desmarque la casilla Application version y en la
casilla Application name escriba el nombre como sigue *7Zip*. Puede especificar una versin
determinada,peroesolimitaratambinlasactualizaciones.DeclicenOK.

Pgina18de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


13. RepitalasmismasaccionesdelPaso12,ahoraparaAdobeReader

14. Nosetienequeagregarningunaexclusinasque,declicenelbotnNextydespusFinishpara
crearlacategoraparaaplicacionesaprobadas

Paso5.Configurarlasreglasparainiciarlasaplicacionesdeconfianza,habilitarelmodo
DefaultDeny

EsteeselpasomsimportantedelaimplementacindelmodoDefaultDeny.Debetenercuidadoconla
configuracindelasreglasparaquenodetenganelflujonormaldelnegocio.Recuerdequedebecrear
unareglaquepermitalaejecucindelSistemaOperativoysusutileras.Paraestepropsito,puedeusar
lareglaGoldenimagedeKasperskyLab.Estareglaestadeshabilitadapordefecto,yaquelareglaAllow
allesthabilitada.Adicionalmente,siquiereactualizarlasaplicacionespermitidas,debehabilitarlaregla
Trustedupdatersyagregarsucategoraalgrupodeactualizadoresdeconfianza.
Enresumen,parahabilitarelmodoDefaultDenydebe,deshabilitarlareglaAllowall,habilitarlaregla
GoldenimageyTrustedupdaters,ycrearyhabilitarunareglaparalasaplicacionespermitidas.Enunpaso
intermediopuedehabilitarlareglaenmodoTest.Estemodonobloqueaeliniciodelasaplicaciones,solo
generaunregistroenellogdeeventos.Ayudaaverificarlaexactituddelaregla
Lossiguientespasosnosindicancomoconfigurarlaregla:
1. AbralapolticadeseguridaddeKasperskyEndpointSecurity10forWindows
2. EnlaseccindeEndpointcontrolseleccioneApplicationStartupControlydeclicenelbotnAdd
paraagregarunanuevaregla
Pgina19de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

3. Seleccionelacategorarecincreada,losusuariosquevanatenerpermisoylosquevanatener
bloqueadalaejecucindelaaplicacin.

Pgina20de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


4. Deshabilite la regla Allow all y habilite las reglas Golden image y Trusted updaters. Cambie el
estatus de su regla a Test y de clic en OK. Marque tambin la casilla Generate test verdict for
defaultrule

5. Enlacomputadoraclienteeiniciesesin.SielSistemaOperativocargasinproblemaquieredecir
quelareglaGoldenimagefuncionacorrectamente.Ahoraintenteejecutarunaaplicacinqueno
estenlalista;debeaparecerunmensajesimilaralqueestaabajo.Enlpuedeverlaaplicacin
bloqueada,computadora,usuarioylareglaquelabloque:

Pgina21de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390


6. Ejecuteunadelasaplicacionespermitidas.Aunenelcliente,abralaventaprincipaldeKaspersky
Endpoint Security for Windows, seleccione Reports y despus la seccin de eventos de
ApplicationStartupControl.Debeveruneventodedondeeliniciodelaaplicacinfuepermitido
enmododeTest

7. AhoraenlaconsoladeadministracindeKasperskySecurityCenter,enladirectivadeseguridad
cambieelestatusdeTestaOn

Paso6.Actualizarelsoftwareenlasestacionesdetrabajo
ApartirdelasuiteAdvancesecuentaconelmdulodeSystemmanagementqueofrecelafuncionalidad
depoderanalizarlascomputadorasadministradasparaencontrarvulnerabilidadesyactualizacionesdel
sistemaoperativoyaplicacionesinstaladas.Lospasosparahabilitaryconfigurarstafuncinsedescribe
enotrodocumento.Obien,puedeconsultarelcursoenlinea

Paso7.Monitoreo
Haydosformasdemonitorearloseventosgeneradosenlascomputadorasadministradas:

Usandoellogdeeventoslocalelusuariooeladministradorpuedenavegarenloseventosdesde
lainterfazlocaldeKasperskyEndpointSecurity
UtilizandolaconsoladeadministracindeKasperskySecurityCenter
o Verificandoloseventosenlaspropiedadesdelacomputadora
o Ejecutandolosreportesdebloquedeaplicaciones

ElreporteReportonblockedrunspermiteverificarqueaplicacionesfueronbloqueadas,cuntasveces,
etc. Con el anlisis de esta informacin se pueden hacer correcciones en la directiva de seguridad de
KasperskyEndpointSecurity.
Pgina22de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390

Conclusin
ElmododeDefaultDenyylatecnologadeControldeAplicacionesproveealadministradordesistemas
conherramientaspoderosasyfcilesdeusar,quelosespecialistasdeTIpuedenusarpararealizarde
maneracentralizadayautomatizadalassiguientestareas:

Bloquearnuevasvariantesdemalwaredesconocido
Aumentarconsiderablementeelniveldeproteccincontraataquesdirigidos
Verificarybloquearsiesnecesario,softwaredesconocidoosinlicencia
Controlarlainstalacinyejecucindesoftwarenodeseado(ilegal,sinlicencia,norelacionado
coneltrabajo)

KasperskyEndpointSecurityforWindows8y10enlassuitesSelectyAdvance,incluyenelControlde
AplicacionesquejuntoconelControldeDispositivosyControlWebproveenunaeficienteproteccinala
infraestructuracorporativadeITcontraciberamenazas

Pgina23de23
Mercaderes20,Oficina502
MxicoDF,03900
Telefono+525563943390