Configuración de software autorizado en Advanced EPDR

• Advanced EPDR

En los modos hardening y lock de la protección avanzada, Advanced EPDR impide la ejecución de los programas desconocidos para la inteligencia de Cytomic hasta que se completa su clasificación. Esta situación genera inconvenientes y retrasos para el usuario, sobre todo cuando el administrador de la red conoce el origen del programa y la naturaleza de su bloqueo:

• Programas de nicho muy específico y con un número de usuarios muy bajo.
• Programas que se actualizan automáticamente desde la Web del fabricante y sin intervención.
• Programas que distribuyen su funcionalidad a lo largo de cientos de librerías que son cargadas en memoria y, por tanto, bloqueadas conforme el usuario las va utilizando desde los distintos menús del programa.
• Programas que siguen el modelo cliente-servidor, donde la parte del cliente se almacena en un recurso de red compartido.
• Software polimórfico que genera nuevos ficheros ejecutables dinámicamente.

Advanced EPDR permite evitar el bloqueo de programas mediante tres funcionalidades:

• Mediante Archivos y rutas excluidas del análisis: evita el análisis de ciertos elementos del equipo. No provoca bloqueos en la ejecución del software desconocido, pero puede suponer un agujero de seguridad y no se recomienda su uso excepto en casos de problemas de rendimiento.
• Desbloqueo de programas en clasificación: ejecuta temporalmente los programas bloqueados pero tiene un enfoque reactivo: hasta que el programa no ha sido bloqueado, el administrador no puede proceder a su desbloqueo. Dado que un mismo software puede estar formado por varios componentes, y cada uno de ellos requerir un desbloqueo individual, el ciclo de bloqueos y desbloqueos se puede extender a lo largo del tiempo.
• Configuración de software autorizado: desbloquea programas desconocidos en clasificación de forma proactiva: el administrador asigna una configuración para aquellos programas de origen conocido que el usuario podrá utilizar siempre que no se detecte ningún peligro. Es el método de desbloqueo recomendado.

Acceso a la configuración

• Haz clic en el menú superior Configuración, menú lateral Software autorizado.
• Haz clic en el botón Añadir, se abrirá la ventana Añadir configuración.
  Nota: Las configuraciones de Software autorizado solo se pueden asignar a puestos de trabajo o servidores Windows.

Permisos requeridos

Funcionamiento del módulo Software autorizado
Los usuarios de la red podrán ejecutar el software desconocido que se encuentre en proceso de clasificación siempre que el administrador de la red lo haya permitido mediante una regla de software autorizado.
Cuando el proceso de análisis termine, Cytomic EPDR emitirá una clasificación del programa (goodware o malware). Si el programa resulta ser una amenaza, quedará bloqueada su ejecución independientemente de que pertenezca a una configuración de software autorizado.

Opciones de configuración del módulo Software autorizado
Una configuración de software autorizado está formada por una o más reglas, cada una de ellas describe un único software o una familia de programas a los que Cytomic EPDR permitirá su ejecución cuando ésta ha sido bloqueada por no conocerse su clasificación.

• Crear una regla de software autorizado
  Haz clic en el enlace Autorizar programas para crear una regla con la información mostrada a continuación, y haz clic en el botón Autorizar:

  Campo	Descripción
  Nombre	Nombre de la regla.
  MD5	MD5 de los ficheros cuya ejecución permitirá Cytomic EPDR
  Nombre del producto	Es el campo Nombre producto de la cabecera del archivo a desbloquear. Para obtener el valor, haz clic con el botón derecho del ratón en el programa y elige Propiedades, Detalles.
  Ruta del archivo	Ruta donde se almacena el programa en el equipo de usuario o servidor. Acepta variables de entorno.
  Nombre del archivo	Nombre del archivo. Acepta los comodines * y ?.
  Versión del archivo	Es el campo Versión de la cabecera del archivo a desbloquear. Para obtener el valor, haz clic con el botón derecho del ratón en el programa y elige Propiedades, Detalles.
  Firma	Es la huella digital correspondiente a la firma del archivo.

• Borrar una regla de software autorizado
  • Haz clic en el icono de la papelera situado a la derecha de la regla de software autorizado a borrar..
  • Haz clic en el botón Guardar situado en la parte superior derecha de la ventana para actualizar la configuración de software autorizado.
• Modificar una regla de software autorizado
  • Haz clic sobre el nombre de la regla de Software autorizado. Se mostrará la ventana Autorizar programas.
  • Modifica las propiedades de la regla y haz clic en el botón Autorizar.
  • Haz clic en el botón Guardar situado en la parte superior derecha de la ventana. La configuración de software autorizado se actualizará.

Copiar una regla de software autorizado

• Haz clic en el icono Copiar situado a la derecha de la regla de software autorizado a copiar. Se mostrará la ventana Autorizar programas. El campo Nombre contiene el nombre de la regla con el prefijo Copia de.
• Modifica las propiedades de la regla y haz clic en el botón Autorizar.
• Haz clic en el botón Guardar situado en la parte superior derecha de la ventana. La configuración de software autorizado se actualizará.

Calcular el MD5 de uno o más ficheros
Existen multitud de herramientas en el mercado que calculan el código MD5 de un fichero. En este apartado se utilizará la herramienta PowerShell incluida en Windows 10.

• Abre la carpeta que contiene los ficheros, haz clic en el menú Archivo del explorador y elige Abrir Windows PowerShell. Se mostrará una ventana con la linea de comandos.
  
• Escribe el siguiente comando y sustituye $file por la ruta de los ficheros. Se admiten los comodines.
  PS c:\folder> Get-FileHash -Algorithm md5 -path $files
• Para copiar los códigos MD5 al portapapeles, presiona la tecla Alt y sin soltarla, selecciónalos con el ratón. Una vez hecho, pulsa la combinación de teclas Control + c.
• Para pegar todos los códigos MD5 desde el portapapeles a la consola de Advanced EPDR, haz clic en el campo MD5 de la regla de software autorizado y pulsa la combinación de teclas Control + v.
• Haz clic en el botón Autorizar y en el botón Guardar situado en la parte superior derecha de la pantalla. La configuración de software autorizado se actualizará.

Obtener la huella digital de un programa firmado

• Haz clic con el botón derecho del ratón sobre el fichero y elige Propiedades en el menú de contexto.
• En la ventana Propiedades haz clic en la pestaña Firmas digitales.
• Elige en Lista de firmas la firma y haz clic en el botón Detalles. Se mostrará la ventana Detalles de la firma digital.
• En la ventana Detalles de la firma digital, selecciona la pestaña General y haz clic en el botón Ver certificado. Se abrirá la ventana Certificado..
• En la ventana Certificado, haz clic en la pestaña Ruta de certificación y comprueba que está seleccionado el último nodo de la ruta de certificación.
• En la ventana Certificado, haz clic en la pestaña Detalles y selecciona el campo Huella digital.
• Selecciona la cadena de caracteres que se muestra en la caja de texto inferior y presiona Control + c para copiarla al portapapeles.
• Haz clic en el campo Firma de la regla de software autorizado y pulsa la combinación de teclas Control + v para pegar la huella digital desde el portapapeles a la consola de Advanced EPDR.
• Haz clic en el botón Autorizar y en el botón Guardar situado en la parte superior derecha de la pantalla. La configuración de software autorizado se actualizará.