Criterios de análisis funcional

Los criterios de análisis funcional le permiten construir la máxima protección, por lo que deben especificarse al configurar el análisis funcional.

En la sección Criterios de análisis funcional se enumeran las categorías que puede utilizar para proteger su perfil. La elección de la categoría depende del nivel de seguridad que necesite y de las características del sistema.

Categorías de criterios de análisis funcional

1.Inicio de las aplicaciones:

▫Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para adware.
Bloquea ejecución de aplicaciones que pueden distribuir anuncios.

▫Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como ilegales.
Bloquea el lanzamiento de aplicaciones que están firmadas con certificados "grises". Estos certificados se utilizan a menudo para firmar aplicaciones no seguras.

▫Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para hacktools.
Bloquea el inicio de aplicaciones firmadas con certificados utilizados para descifrar programas. Se recomienda el uso de este criterio.

▫Prohibir el inicio de aplicaciones firmadas con certificados falsificados/dañados.
Bloquea el inicio de aplicaciones maliciosas que están firmadas con certificados no válidos. Se recomienda el uso de este criterio.

▫Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para programas maliciosos.
Bloquea el lanzamiento de aplicaciones que están firmadas con certificados comprometidos. Se recomienda el uso de este criterio.

▫Prohibir el inicio de aplicaciones firmadas con certificados revocados.
Bloquea el inicio de aplicaciones firmadas con certificados robados o comprometidos. Se recomienda el uso de este criterio porque le permite evitar el lanzamiento de aplicaciones potencialmente maliciosas.

▫Prohibir el inicio de aplicaciones firmadas con certificados autofirmados.
Bloquea el software sin licencia que puede ser malicioso.

▫Prohibir el inicio de las aplicaciones no firmadas.
Bloquea el inicio de aplicaciones potencialmente maliciosas y poco confiables, cuyo origen se desconoce.

▫Prohibir el inicio de utilidades de Sysinternals.
Protege contra el compromiso del sistema a través de las utilidades Sysinternals.

▫Prohibir el inicio de las aplicaciones desde flujos alternativos NTFS (ADS).
Aplicaciones de flujos alternativos NTFS (ADS) son a menudo maliciosos, por lo que el uso de este criterio es obligatorio.

▫Prohibir el inicio de aplicaciones desde la red y recursos comunes.
Ejecución de aplicaciones desde la red y recursos compartidos es un escenario atípico y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

▫Prohibir el inicio de aplicaciones desde los dispositivos extraíbles.
Ejecución de aplicaciones desde los medios extraíbles es un escenario atípico y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

▫Prohibir el inicio de las aplicaciones desde directorios temporales.
Bloquea el inicio de las aplicaciones desde directorios temporales.

▫Prohibir el inicio de aplicaciones Windows/Microsoft Store (solo para Windows 8 y superior).
Bloquea el inicio de aplicaciones descargadas desde Windows/Microsoft Store.

▫Prohibir el inicio de las aplicaciones con extensión doble/atípica.
Bloquea el inicio de los archivos sospechosos con una extensión no estándar (por ejemplo, *.jpg.exe).

▫Prohibir el inicio de shells bash y aplicaciones WSL (solo para Windows 10 y superior).
Bloquea el inicio de shells bash y aplicaciones WSL.

2.Carga y ejecución de módulos. Los criterios pueden funcionar en dos modos:

▫Carga de todos módulos.
Este modo consume muchos recursos, por lo que se recomienda utilizarlo solo cuando se requiera un mayor control.

▫Monitorear la carga y ejecución de los módulos en los applicaciones host.
Este modo consume menos recursos. Supervisa el funcionamiento de los módulos solo en los procesos que se utilizan para comprometer el sistema o para infiltrar malware bajo la apariencia de un sistema o archivo de confianza. Si no es necesario un mayor control, se debe utilizar este modo.

Recomendaciones para usar los criterios Carga y ejecución de módulos son similares a las recomendaciones para usar los criterios de Ejecución de aplicaciones.

3.Inicio de los intérpretes de script:

▫Prohibir el inicio de los scripts CMD/BAT.
Bloquea la ejecución de archivos con extensiones cmd и bat.

▫Prohibir el inicio de los scripts HTA.
Bloquea el inicio de scripts HTA. Estos scripts pueden procesar scripts maliciosos y descargar archivos ejecutables a la computadora que pueden dañar el sistema.

▫Prohibir el inicio de VBScript/JavaScript.
Bloquea el lanzamiento de aplicaciones escritas en lenguajes de script VBScript y JavaScript. Dichas aplicaciones pueden procesar scripts maliciosos y descargar archivos ejecutables a la computadora que pueden dañar el sistema.

▫Prohibir el inicio de scripts PowerShell.
Bloquea la ejecución de scripts escritos en el lenguaje de script PowerShell. Estos scripts pueden procesar scripts maliciosos y descargar archivos ejecutables a la computadora que pueden dañar el sistema.

▫Prohibir el inicio de los scripts REG.
Bloquea el inicio de scripts de registro (archivos con extensión reg). Estos archivos se pueden utilizar para agregar o cambiar valores en el registro.

▫Prohibir el inicio de los scripts desde flujos alternativos NTFS (ADS).
Bloquea el inicio de los scripts desde flujos alternativos NTFS (ADS). Estos escenarios suelen ser maliciosos, por lo que se recomienda utilizar este criterio.

▫Prohibir el inicio de los scripts de la red y recursos comunes.
Ejecución de scripts desde la red y recursos compartidos es un escenario atípico y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

▫Prohibir el inicio de los scripts desde los dispositivos extraíbles.
Ejecución de scripts desde los medios extraíbles es un escenario atípico y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

▫Prohibir el inicio de los scripts desde directorios temporales.
Ejecución de scripts desde directorios temporales es un escenario atípico y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

4.Cargando controladores.

▫Prohibir la carga de los controladores no firmados.
Bloquea la descarga de rootkits y bootkits. Bloquea la explotación de vulnerabilidades del software y sistema operativo.
Este modo se recomienda para su uso en versiones de SO de 64 bits. El uso del modo también está permitido en versiones de SO de 32 bits si no hay controladores sin firmar en el sistema.

▫Prohibir la carga de las versiones vulnerables de controladores del software popular.
Bloquea la carga de las versiones vulnerables de controladores del software popular.

Otras recomendaciones para usar los criterios Carga de controladores son similares a las recomendaciones para usar los criterios de Ejecución de aplicaciones.

5.Instalación de los paquetes MSI.

Otras recomendaciones para usar los criterios Instalación de los paquetes MSI son similares a las recomendaciones para usar los criterios de Ejecución de aplicaciones.

6.Integridad de archivos ejecutables.

▫Prohibir la creación de nuevos archivos ejecutables.
Bloquea los intentos de creación de nuevos archivos ejecutables.

▫Prohibir la modificación de los archivos ejecutables.
Bloquea los intentos de modificar archivos ejecutables.

Criterios Integridad de archivos ejecutables se utilizan solo en sistemas que se ejecutan en modo de confianza. En tales sistemas, todos los procesos están controlados por el administrador (por ejemplo, cajeros automáticos y otros sistemas).

Al usar los criterios Integridad de archivos ejecutables en otros sistemas, el comportamiento es impredecible, hasta la falla de la estación.