US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Contact Us
Spanish
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • Base de conocimientos AutoElevate
  • Administrar reglas

Reglas de elevación avanzadas: criterios de identificación de certificados de archivo y editor

Obtenga una mejor comprensión de cómo organizar y administrar reglas de manera efectiva con la orientación de expertos.

Written by Owen Parry

Updated at June 10th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Base de conocimientos AutoElevate
    ¿Eres nuevo en AutoElevate ? ¡COMIENZA AQUÍ! General y solución de problemas Administrar reglas Integraciones Anuncios Preguntas frecuentes Videos instructivos
  • Base de conocimientos Password Boss
    Usando Password Boss Administración de Empresas Documentos de socios Password Boss
  • Kit de herramientas de marketing
    Kit de herramientas de marketing y educación MSP
  • Registros de cambios de Autoelevate y Password Boss
  • Estado actual
+ More

Creación de reglas de elevación

Las reglas deben originarse a partir de un evento del Control de Cuentas de Usuario (UAC) o una solicitud de elevación. No se pueden crear manualmente desde cero, ya que dependemos de la información proporcionada al UAC de Windows para completar los detalles en el portal de AutoElevate .

Al crear reglas de elevación como parte de una solicitud de privilegios en tiempo real (desde la aplicación móvil AutoElevate Notify o desde el portal de administración), el criterio de identificación utilizado siempre es el hash MD5 del archivo . Se pueden desarrollar reglas avanzadas seleccionando criterios de identificación de certificado de archivo y de publicador adicionales al editar una regla MD5 existente o al crear una nueva a partir de un evento.

  • Edite una regla existente desde la pantalla Reglas de elevación (en el Portal de administración: https://msp.autoelevate.com ) haciendo clic en Editar (ícono de lápiz) junto a la regla.
  • Cree una nueva regla desde la pantalla Eventos de elevación (en el Portal de administración: https://msp.autoelevate.com ) marcando la casilla junto a un Evento y seleccionando Convertir en regla en el menú Acciones .

Uso de combinaciones de criterios de identificación de certificados de archivo y de editor

Las reglas avanzadas se pueden configurar para que coincidan con tantas combinaciones de criterios de identificación de archivo o certificado de editor como desee, seleccionando las casillas de verificación junto a los elementos del evento con los que desea que coincida la regla. Si se encuentra una coincidencia durante un evento de UAC, el agente AutoElevate ejecuta la acción definida: Aprobado, Denegado o Ignorado . Para que la regla se aplique a un evento, debe coincidir con TODOS los criterios de identificación seleccionados .

Criterios de identificación de archivos

Los criterios de identificación de archivos se pueden seleccionar en cualquier combinación de 5 opciones: Nombre del producto, Ruta del archivo, Nombre del archivo, Nombre del archivo original, Hash MD5 . Los valores predeterminados de estos criterios se establecen en función de lo que se leyó del archivo real desde el equipo local donde se produjo el evento original. Los caracteres comodín pueden especificar elementos dinámicos (* ? [az]).

  • Nombre del producto: Un valor especificado por el editor del software e incrustado en el binario del archivo. Puede estar en blanco si el archivo no contiene información de la versión.
  • Ruta del archivo: La ruta completa de la ubicación del archivo en el equipo local, incluyendo su nombre. El agente expandirá las variables de entorno de Windows al procesar la ruta del archivo. Haga clic AQUÍ para obtener más información sobre las variables de entorno de Windows.
    • Actualmente, el agente no puede procesar variables de entorno que incluyan información de usuario local (es decir, %LOCALAPPDATA%, %USERPROFILE%, etc.).
  • Nombre del archivo: el nombre del archivo extraído de la ruta.
  • Nombre del archivo original: El nombre con el que se creó el archivo. Puede estar en blanco si el archivo no contiene información de la versión.
  • Hash MD5: el hash MD5 del archivo.

Criterios de identificación del editor

Los criterios de identificación del editor se pueden configurar en 1 de 2 opciones: Elementos del sujeto o Hash del certificado .

  • Elementos del sujeto: Son las diferentes partes del nombre distinguido del sujeto que se encuentran en el certificado del editor. Se puede seleccionar cualquier combinación de elementos. Sin embargo, es importante tener en cuenta que cada editor de software puede usar varios certificados. Al utilizar menos elementos del sujeto, se podrá acceder a una gama más amplia de software que coincida con los criterios de identificación seleccionados.
  • Hash del certificado: Es la huella digital del certificado utilizado para firmar el archivo. Es muy específico para ese certificado. Normalmente, los certificados de los editores caducan al cabo de uno o dos años. Esto significa que los editores necesitan obtener nuevos certificados con nuevas huellas digitales con frecuencia. Utilizar el hash del certificado puede implicar la creación de nuevas reglas para tener en cuenta estos nuevos certificados al emitirse.

Certificado de editor verificado

Tenga en cuenta que las reglas avanzadas que utilizan cualquier aspecto de los Criterios de identificación del editor solo se aplicarán a un certificado de editor verificado .

¿Dónde obtenemos la información de identificación del editor?

Verá una sección expandible con información sobre el certificado del editor, junto con sus opciones. Estos datos se generan a partir del archivo examinado en el equipo local donde se originó el evento.

El hecho de que el archivo se marque como verificado depende de si se verificó la cadena de certificados en el equipo local . Los certificados verificados se refieren a la ubicación del certificado o su emisor en la autoridad de certificación (CA) local del equipo local y a si la hora de firma se encuentra entre las marcas de tiempo "Válido desde" y "Válido hasta".

Las reglas definidas se encriptan y almacenan en un área de registro segura en cada check-in y continuarán funcionando con o sin conectividad a Internet y/o nuestros servicios.

Adoptamos una posición de seguridad de forma predeterminada y permitimos que el UAC actúe ante cualquier cosa que no tenga una regla.

También recomendamos crear un administrador local en cada sistema (quizás solo la gerencia pueda acceder a las credenciales) para casos excepcionales como estos.

Solución de problemas:

  • Asegúrese de que sus agentes tengan la versión 2.4 o superior. Solo los eventos generados desde una máquina con la versión 2.4 o superior del agente podrán definir una regla utilizando el certificado del editor y la información del archivo. Se requiere información adicional para crear reglas de certificado del editor que las versiones anteriores del agente no capturaban. Solo las versiones 2.4 o superiores del agente pueden interpretar y procesar los criterios de identificación establecidos en estas nuevas reglas.
  • Si ve agentes que siguen bloqueados en la versión 2.3.8, compruebe que tengan al menos la versión .NET v4.7, que es obligatoria. Si el equipo no tiene la versión 4.7, el agente no se instalará y debería permanecer en la versión anterior.
  • También se requiere Powershell v3.0+ para procesar cualquier regla con caracteres comodín.
  • Solo los usuarios con los roles de Administradores y Técnicos (Nivel 3) tienen permiso para editar y establecer los criterios de identificación en las Reglas.

Nota de seguridad

La verificación del certificado del editor se ha incorporado al agente v2.4+ para garantizar la seguridad de crear reglas basadas en los criterios del certificado del editor.

El motor de reglas de AutoElevate realiza esta verificación, como la mayoría de las herramientas de seguridad, utilizando la información del almacén de la autoridad de certificación (CA) local de cada equipo. Microsoft actualiza los almacenes de la autoridad de certificación local. La seguridad y la mitigación de amenazas al almacén de certificados local de cada equipo dependen en gran medida de que los usuarios solo tengan privilegios de usuario estándar.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Uso de DUO con AutoElevate
  • Descripción general de la configuración

Products
  • Privileged Access Management
  • Password Management

Solutions
  • For MSPs
  • For IT Pros
  • By Industry

Resources
  • Weekly Demos
  • Events
  • Blog
  • FAQ

Company
  • Leadership
  • Culture + Values
  • Careers
  • Awards
  • News & Press
  • Trust Center
  • Distributors

Get Pricing

Free Trial

Request a demo

Support

Login

Contact

4925 Independence Parkway
Suite 400
Tampa, FL 33634

CALL US (813) 578-8200

© 2023 CYBERFOX LLC ALL RIGHTS RESERVED | Privacy Policy


Knowledge Base Software powered by Helpjuice

Expand