Las aplicaciones instaladas para un usuario local no aparecen en la lista de instalaciones pendientes de Cytomic Patch

Las aplicaciones instaladas para un usuario local no aparecen en la lista de instalaciones pendientes de Cytomic Patch

By March 26, 2024April 24th, 2024EDR, EPDR, Patch, Soporte
+34 900 840 407
support@cytomic.ai

Las aplicaciones instaladas para un usuario local no aparecen en la lista de instalaciones pendientes de Cytomic Patch

Productos Relacionados_
  • Cytomic EPDR
  • Cytomic EDR
  • Cytomic Patch

Cuando ciertas aplicaciones se instalan a nivel de usuario local pero no para todos los usuarios el equipo, Cytomic Patch no las detecta. Por lo tanto, no aparecen en la lista de parches pendientes para su instalación y la aplicación necesita ser agregada manualmente.

Algunas de las aplicaciones más comunes con las que vemos esto son:

  • Zoom Client for Meetings
  • Microsoft Teams
  • Google Chrome
  • Slack
  • RingCentral
  • Fiddler
  • Opera
  • WinSCP

En este artículo, utilizaremos Zoom como ejemplo, pero es lo mismo para cualquier otro programa.

Si visitas el sitio web de Zoom para instalar su aplicación de reuniones, por defecto se te ofrece ZoomInstaller.exe. Después de la ejecución, el programa aparece como instalado en el Panel de Control:

Sin embargo, al escanear, este equipo no muestra ningún parche de Zoom, instalado o pendiente:

Esto se debe a que el instalador exe no crea ninguna clave de registro en la raíz HKEY_LOCAL_MACHINE (HKLM), solo en HKEY_CURRENT_USER (HKCU), y se instala dentro del directorio del usuario (C:\Users\\AppData\Roaming\Zoom\bin). Nuestro motor de escaneo solo puede consultar la raíz a nivel de máquina, por lo que la aplicación no aparece como instalada.

Para poder detectar una aplicación correctamente, tiene que estar instalada a nivel de máquina (específicamente, se crean claves de registro en HKLM y la aplicación se ejecuta desde una ubicación central instalada en lugar del perfil de usuario). A menudo, esto requiere buscar específicamente un instalador msi o uno que pueda ser desplegado/administrado desde una ubicación central.

Para continuar con el ejemplo de Zoom, podemos ver la diferencia cuando usamos ZoomInstallerFull.msi, disponible en su sitio web en una página de descargas para todos sus instaladores. Después de ejecutar ese instalador, se ve una estructura de carpetas creada en “C:\Program Files (x86)\Zoom” en lugar de AppData, las entradas de registro se crean en HKLM en lugar de HKCU, y ahora se puede detectar la instalación como se esperaba al escanear: