US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Contact Us
Spanish
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • Base de conocimientos AutoElevate
  • Administrar reglas

Administrar reglas de bloqueo

Aprenda a administrar y navegar eficazmente en Blocker, garantizando un funcionamiento fluido con seguridad mejorada.

Written by Daniel Rivera

Updated at June 10th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Base de conocimientos AutoElevate
    ¿Eres nuevo en AutoElevate ? ¡COMIENZA AQUÍ! General y solución de problemas Administrar reglas Integraciones Anuncios Preguntas frecuentes Videos instructivos
  • Base de conocimientos Password Boss
    Usando Password Boss Administración de Empresas Documentos de socios Password Boss
  • Kit de herramientas de marketing
    Kit de herramientas de marketing y educación MSP
  • Registros de cambios de Autoelevate y Password Boss
  • Estado actual
+ More

La función Bloqueador de AutoElevate permite bloquear más de 200 aplicaciones nativas de Windows, binarios y archivos .dll que suelen usarse como vectores de ataque de tipo "Living Off the Land" (LOTL). El malware sin archivos, libre de malware o "Living Off the Land" se refiere a técnicas de ciberataque. donde el ciberdelincuente utiliza herramientas nativas y legítimas dentro del sistema de la víctima para sostener y avanzar un ataque .

¿Cómo elige AutoElevate qué procesos se incluyen en nuestra lista de bloqueos?

Dependemos principalmente de fuentes como Microsoft , proyectos comunitarios (como el proyecto LOLBAS ) y nuestra propia investigación para mantener el producto actualizado.

Blocker se centra en ataques "libres de malware", también conocidos como "Living off the Land". Estos suelen explotar aplicaciones y herramientas conocidas que llevan mucho tiempo en Windows, algunas de las cuales han quedado obsoletas y solo permanecen por compatibilidad con versiones anteriores.

Esta función está diseñada y es compatible con estaciones de trabajo Windows de 64 bits, incluidas las versiones 10 y 11. Sus agentes deben tener la versión 2.8+ para que esta función esté disponible.

Inicio rápido

  • Desde la pantalla Computadoras , seleccione la(s) computadora(s) que desea habilitar haciendo clic en el cuadrado junto al nombre de la computadora que aparece en la lista.
  • Haga clic en el menú Acciones en la parte superior de la pantalla y luego en Establecer en Auditoría en la sección Modo Bloqueador .
  • Una vez habilitado, recomendamos mantenerlo en modo Auditoría durante aproximadamente 1 mes o más para permitir que el agente recopile y analice datos y proporcione reglas recomendadas.
  • Las reglas de bloqueo recomendadas en tiempo real se encuentran en la pantalla "Recomendaciones de bloqueadores " del portal. Puede ver las aplicaciones para obtener más información y añadir reglas de bloqueo para añadir automáticamente las reglas recomendadas.
  • Una vez que haya transcurrido suficiente tiempo y se hayan creado las reglas de bloqueo deseadas, regrese a la pantalla Computadoras , seleccione la(s) computadora(s), haga clic en el menú Acciones y luego en Establecer en vivo en la sección Modo bloqueador .

Habilitar con implementación de script

El bloqueador se puede habilitar en un modo específico durante la implementación del script modificando el argumento a continuación. Recomendamos configurarlo en modo Auditoría para la recopilación y el análisis inmediatos de datos.

BLOCKER_MODE="audit" (opcional): Puede configurarse como activo, auditar o deshabilitar para que el instalador del agente pueda anular el modo actual o configurarse para que se instale automáticamente en el modo que usted elija. El modo deshabilitado es el predeterminado si no se especifica este argumento. Si el script realiza una actualización en un agente ya instalado, al no especificar este argumento se mantendrá el modo del agente configurado.

Estas opciones de modo distinguen entre mayúsculas y minúsculas y deben estar en minúsculas; de lo contrario, esta parte del comando fallará y el agente pasará al modo deshabilitado de manera predeterminada.

Implementación genérica de RMM mediante comandos de PowerShell

Modos de bloqueo definidos

  • Deshabilitado : El controlador de filtro del agente no está instalado o se desinstala si ya lo estaba. Por lo tanto, no se supervisa ningún proceso de Windows en este estado ni se aplica ninguna regla de bloqueo existente. Dado que el bloqueador está deshabilitado, no se produce ningún cambio en la experiencia del usuario.
  • Auditoría : Se instala el controlador de filtro del agente. Se supervisa el proceso de Windows para los binarios utilizados en ataques LOTL y se analiza su uso para generar recomendaciones de bloqueadores. El agente AE no aplica ninguna regla de bloqueo definida y, por lo tanto, no se observan cambios en la experiencia del usuario.
  • En vivo : el controlador de filtro del agente está instalado. Se monitorean los procesos de Windows para los binarios utilizados en ataques LOTL y se analiza su uso para generar recomendaciones de bloqueadores. El agente AE bloquea o permite procesos de Windows según las reglas de bloqueo definidas.

Creación manual de reglas de bloque

  • Seleccione el ícono "+" en la pantalla Reglas de bloqueo en la parte superior de la página.
  • Seleccione la casilla junto al nombre del proceso para el que desea agregar una regla. Para obtener más información, haga clic en el enlace de origen junto al nombre del proceso que contiene la recomendación sobre por qué debería bloquearlo.
  • En el menú Acciones en la parte superior, seleccione Agregar regla , elija Nivel , Ubicación y Computadora según sea necesario y luego Aceptar para confirmar.
Su navegador no soporta vídeo HTML5.

Creación de reglas de permiso

  • Desde la pantalla Eventos bloqueadores , seleccione el evento que desea convertir en una regla permitida marcando la casilla junto a su nombre.
  • Haga clic en el menú Acciones en la parte superior de la pantalla y seleccione Convertir en regla .

Su navegador no soporta vídeo HTML5.

Uso de combinaciones de criterios de identificación de procesos y procesos principales

Las reglas de permiso se pueden configurar para que coincidan con tantas combinaciones de criterios de identificación de archivo o certificado de editor como se desee. Para ello, seleccione las casillas de verificación junto a los elementos del evento con los que desea que coincida la regla. Si se encuentra una coincidencia al producirse un evento, el agente AutoElevate ejecuta la acción definida " Permitido" . Para que la regla se aplique a un evento, debe coincidir con TODOS los criterios de identificación seleccionados .

Criterios de identificación de procesos

Los criterios de identificación de procesos se pueden seleccionar en cualquier combinación de 4 opciones: nombre de archivo, ruta de archivo, nombre de archivo principal y hashes MD5/SHA256 . Los valores predeterminados de estos criterios se establecen en función de lo que se leyó del archivo real del equipo local donde se produjo el evento original. Los caracteres comodín pueden especificar elementos dinámicos (* ? [az]).

  • Nombre del archivo: el nombre del archivo extraído de la ruta.
  • Ruta del archivo: La ruta completa de la ubicación del archivo en el equipo local, incluyendo su nombre. El agente expandirá las variables de entorno de Windows al procesar la ruta del archivo. Haga clic AQUÍ para obtener más información sobre las variables de entorno de Windows.
    • Actualmente, el agente no puede procesar variables de entorno que incluyan información local del usuario (es decir, %LOCALAPPDATA%). Esto se ajustará en una próxima actualización.
  • Nombre del archivo principal: el nombre del archivo principal extraído de la ruta.
  • Hashes MD5/SHA256: Los hashes MD5/SHA256 del archivo principal.

Criterios de identificación del editor

Los criterios de identificación del editor se pueden configurar en 1 de 2 opciones: Elementos del sujeto o Hash del certificado .

  • Elementos del sujeto: Son las diferentes partes del nombre distinguido del sujeto que se encuentran en el certificado del editor. Se puede seleccionar cualquier combinación de elementos. Sin embargo, es importante tener en cuenta que cada editor de software puede usar varios certificados. Al utilizar menos elementos del sujeto, se podrá acceder a una gama más amplia de software que coincida con los criterios de identificación seleccionados.
  • Hash del certificado: Es la huella digital del certificado utilizado para firmar el archivo. Es muy específico para ese certificado. Normalmente, los certificados de los editores caducan al cabo de uno o dos años. Esto significa que los editores necesitan obtener nuevos certificados con nuevas huellas digitales con frecuencia. Utilizar el hash del certificado puede implicar la creación de nuevas reglas para tener en cuenta estos nuevos certificados al emitirse.

¿Dónde obtenemos la información de identificación del editor?

Verá una sección expandible con información sobre el certificado del editor, junto con sus opciones. Estos datos se generan a partir del archivo examinado en el equipo local donde se originó el evento.

El hecho de que el archivo se marque como verificado depende de si se verificó la cadena de certificados en el equipo local . Los certificados verificados se refieren a la ubicación del certificado o su emisor en la autoridad de certificación (CA) local del equipo local y a si la hora de firma se encuentra entre las marcas de tiempo "Válido desde" y "Válido hasta".

Las reglas definidas se encriptan y almacenan en un área de registro segura en cada check-in y continuarán funcionando con o sin conectividad a Internet y/o nuestros servicios.

Nota

  • Un conjunto de reglas en el nivel más bajo, es decir, Computadoras, tendrá prioridad sobre el resto, donde hay una jerarquía.
  • Una aprobación de elevación tendrá una excepción permitida a una regla bloqueada a través del archivo principal. La ejecución directa de un proceso bloqueado seguirá bloqueada incluso con una aprobación de elevación.
  • El bloqueador se desactiva temporalmente mientras se utiliza el modo Técnico .
  • Las reglas se pueden modificar desde el icono del lápiz o eliminar desde el icono de la papelera .
  • Las reglas también se pueden mover o copiar a otro nivel, así como eliminarlas desde el menú Acciones .
  • La pantalla de Eventos Bloqueadores solo registrará los eventos activados por una regla. Se registrarán todos los eventos bloqueados , mientras que solo se registrará un evento permitido por regla al día. Para ver todos los eventos en el equipo local, deberá habilitar el Registro de Eventos .

Nota de seguridad

La verificación del certificado del editor se ha incorporado al agente v2.4+ para garantizar la seguridad de crear reglas basadas en los criterios del certificado del editor.

El motor de reglas de AutoElevate realiza esta verificación, como la mayoría de las herramientas de seguridad, utilizando la información del almacén de la autoridad de certificación (CA) local de cada equipo. Microsoft actualiza los almacenes de la autoridad de certificación local. La seguridad y la mitigación de amenazas al almacén de certificados local de cada equipo dependen en gran medida de que los usuarios solo tengan privilegios de usuario estándar.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • SSO con Entra ID (Azure AD) para AutoElevate
  • Niveles de UAC y configuración del control de cuentas de usuario de Windows
  • Lista blanca de firewall
  • Mejoras en la integración de VirusTotal

Products
  • Privileged Access Management
  • Password Management

Solutions
  • For MSPs
  • For IT Pros
  • By Industry

Resources
  • Weekly Demos
  • Events
  • Blog
  • FAQ

Company
  • Leadership
  • Culture + Values
  • Careers
  • Awards
  • News & Press
  • Trust Center
  • Distributors

Get Pricing

Free Trial

Request a demo

Support

Login

Contact

4925 Independence Parkway
Suite 400
Tampa, FL 33634

CALL US (813) 578-8200

© 2023 CYBERFOX LLC ALL RIGHTS RESERVED | Privacy Policy


Knowledge Base Software powered by Helpjuice

Expand