Crear políticas para un control y seguridad efectivos de los dispositivos

Tabla de contenido

1. Crear una política de control de acceso a dispositivos para Windows
   • Dispositivos de almacenamiento extraíble
   • CD-ROM
   • Adaptadores Bluetooth
2. Crear una política de control de acceso a dispositivos para Mac
   • Dispositivo de almacenamiento extraíble
3. Configurar los ajustes de auditoría de dispositivos
4. Configurar los ajustes de alerta

Las políticas de control de dispositivos son esenciales para administrar y restringir el uso de dispositivos periféricos dentro del entorno de TI de una organización. Definir estas políticas es un paso fundamental para garantizar una seguridad integral de los dispositivos y establecer un control preciso y granular sobre el uso y acceso a los dispositivos.

Para ver la lista de dispositivos compatibles, haga clic aquí

Crear una política de control de acceso a dispositivos para Windows

Vaya a Políticas -> Creación de políticas -> Crear política -> Seleccione Windows

1. Nombre de la política:
   Ingrese un nombre para la política que se va a crear.
2. Descripción (opcional):
   Agregue una descripción para aclarar el propósito de la política o sus detalles clave

Opciones de control

El control de acceso a dispositivos le permite administrar y restringir el uso de dispositivos periféricos para mejorar la seguridad.

1. Permitir: Permite la funcionalidad completa de los dispositivos periféricos, con controles adicionales disponibles en la configuración avanzada para dispositivos específicos.
2. Bloquear: Restringe todas las funciones de los dispositivos periféricos. Para los dispositivos de almacenamiento extraíble y CD-ROM, los controles avanzados permiten bloquear tipos de conexión específicos, como USB o SCSI.
3. Permitir dispositivos confiables: Permite a los administradores especificar una lista de dispositivos confiables a los que se les permite el acceso, mientras se bloquean los demás.
   Para obtener instrucciones sobre cómo crear una lista de dispositivos confiables, haga clic aquí.
4. Sin cambios: Garantiza que el agente no aplique ninguna política de bloqueo o permiso en los endpoints, ideal cuando se ha aplicado un Objeto de directiva de grupo (GPO).
5. Solo lectura: Permite a los usuarios ver los datos, pero bloquea cualquier transferencia o modificación de los datos en el dispositivo.

Configuración avanzada

Aunque las opciones de control se aplican a todos los dispositivos, algunos dispositivos ofrecen una opción de "Configuración avanzada" para configurar controles granulares.

Dispositivos de almacenamiento extraíble

"Dispositivos de almacenamiento extraíble" permite controlar el comportamiento de las unidades USB, discos duros externos y unidades virtuales.

Cuando se selecciona "Permitir" o "Permitir dispositivos confiables", el administrador puede acceder a la configuración avanzada para un control más granular sobre las configuraciones de los dispositivos.

• Ajustes de acceso a archivos
  1. Restringir la transferencia de archivos desde el dispositivo de almacenamiento extraíble: controla la transferencia de archivos desde un dispositivo de almacenamiento extraíble conectado hacia una computadora
  2. Restringir modificaciones y transferencia de archivos al dispositivo de almacenamiento extraíble: permite a los administradores habilitar o deshabilitar permisos para modificar archivos en dispositivos de almacenamiento extraíble, evitando cambios en el contenido de los archivos y restringiendo las transferencias desde la computadora hacia el dispositivo de almacenamiento.
  3. Los administradores pueden permitir transferencias de archivos a dispositivos de almacenamiento extraíble en función de extensiones de archivo específicas y los tamaños de archivo correspondientes.
• Ajustes de acceso al dispositivo
  1. Deshabilitar ejecución automática: bloquea la funcionalidad de ejecución automática cuando se conecta un dispositivo de almacenamiento extraíble.
  2. Ajuste de acceso para dispositivos no cifrados:
     • No configurado: no se aplica ninguna restricción a los dispositivos no cifrados.
     • Bloquear: restringe el uso de dispositivos de almacenamiento extraíble no cifrados.
     • Solo lectura: permite que los dispositivos de almacenamiento extraíble no cifrados se conecten en modo de solo lectura.
  3. Notificar al usuario final que debe cifrar el dispositivo para acceso de escritura: cuando se selecciona "Solo lectura" para dispositivos no cifrados, esta opción habilita una notificación emergente en el equipo del usuario final. La notificación alerta al usuario de que debe cifrar su dispositivo para restaurar la capacidad de escritura.
  4. Método de cifrado:
     • Cifrado predeterminado: usa el método de cifrado predeterminado especificado por el sistema.
     • Cifrado de 128 bits: usa cifrado de 128 bits para la protección de datos.
     • Cifrado de 256 bits: usa cifrado de 256 bits para una seguridad de datos mejorada.

• Ajustes de copia sombra de archivos

  1. Los administradores tienen la capacidad de habilitar o deshabilitar la copia sombra de archivos según sea necesario.
  2. Si la copia sombra de archivos está habilitada, especifique la ruta de la carpeta compartida de red remota.
  3. Seleccione credenciales para que los usuarios autorizados accedan al recurso compartido de red donde se almacenan las copias sombra de archivos.
  4. Establezca el tamaño máximo de archivo permitido para la copia sombra de archivos.

  Nota: 

  • Puede ingresar un valor entre 0 KB y 1,048,576 KB (1 GB). Si se ingresa 0, no se aplicará ninguna restricción de tamaño y todos los archivos, independientemente de su tamaño, tendrán copia sombra.
  • La copia sombra de archivos ocurre solo cuando se transfiere un archivo desde una computadora a un dispositivo de almacenamiento extraíble.
  Escenario:Si el límite de tamaño de la copia sombra de archivos se establece en 1 GB, un archivo de 2 GB no tendrá copia sombra porque excede el límite especificado. Sin embargo, si el límite se establece en 0 KB, no se aplicará ninguna restricción de tamaño, y el archivo de 2 GB sí tendrá copia sombra, ya que todos los archivos están permitidos independientemente de su tamaño.
  1. Las extensiones de archivo listadas en "Excluir extensiones" se excluirán de la copia sombra de archivos.
  Nota:Si la ruta remota no está disponible, los datos se almacenarán localmente en la máquina del agente y se enviarán automáticamente a la ruta remota durante la siguiente actualización.

CD-ROM

El CD-ROM controla el acceso a las unidades de CD/DVD, lo que le permite establecer permisos, restringir funciones de escritura y aplicar acceso de solo lectura para proteger los datos.
Cuando se selecciona "Permitir", el administrador puede acceder a la configuración avanzada para habilitar o deshabilitar la funcionalidad de ejecución automática.

Adaptadores Bluetooth

Los adaptadores Bluetooth administran el acceso a los dispositivos Bluetooth, lo que le permite establecer permisos y restringir transferencias de archivos para proteger los datos.
Cuando se selecciona "Permitir", el administrador puede habilitar o bloquear la funcionalidad de transferencia de archivos

Crear una política de control de acceso a dispositivos para Mac

Vaya a Políticas -> Creación de políticas -> Crear política -> Seleccione Mac

1. Nombre de la política:
   Ingrese un nombre para la política que se va a crear.
2. Descripción (opcional):
   Agregue una descripción para aclarar el propósito de la política o sus detalles clave

Opciones de control

El control de acceso a dispositivos le permite administrar y restringir el uso de dispositivos periféricos para mejorar la seguridad.

1. Permitir: Permite la funcionalidad completa de los dispositivos periféricos, con controles granulares adicionales disponibles en la configuración avanzada para dispositivos específicos.
2. Bloquear: Bloquea todas las funciones de los dispositivos periféricos. Para los dispositivos de almacenamiento extraíble y CD-ROM, los controles avanzados permiten bloquear tipos de conexión específicos, como USB o SCSI.
3. Permitir dispositivos confiables: Permite a los administradores especificar una lista de dispositivos confiables a los que se les permite el acceso, mientras que todos los demás dispositivos se bloquean. 
   Para obtener instrucciones sobre cómo crear una lista de dispositivos confiables, haga clic aquí.
4. Sin cambios: Garantiza que el agente no aplique ninguna política de bloqueo o permiso en los endpoints, ideal cuando un administrador ha aplicado un Objeto de directiva de grupo (GPO).
5. Solo lectura: Permite a los usuarios ver los datos, pero bloquea cualquier transferencia o modificación de los datos en el dispositivo.

Configuración avanzada

Aunque las opciones de control se aplican a todos los dispositivos, algunos dispositivos ofrecen una "Configuración avanzada" para configurar controles granulares.

Dispositivos de almacenamiento extraíble

Para macOS, "Dispositivos de almacenamiento extraíble" proporciona controles esenciales sobre unidades USB, discos duros externos y unidades virtuales, lo que permite a los administradores restringir modificaciones de archivos y transferencias hacia dispositivos de almacenamiento extraíble.

"Restringir modificaciones y transferencia de archivos al dispositivo de almacenamiento extraíble" permite a los administradores habilitar o deshabilitar permisos para modificar archivos en dispositivos de almacenamiento extraíble. Habilitar esta opción evita cambios en el contenido de los archivos dentro del dispositivo de almacenamiento extraíble y restringe las transferencias de archivos desde la computadora hacia el dispositivo de almacenamiento.

Configurar los ajustes de auditoría de dispositivos

Los ajustes de auditoría de dispositivos permiten a los administradores configurar parámetros y ajustes de auditoría relacionados con la generación de informes de auditoría para mantener el cumplimiento y la seguridad. Esto ayuda a los administradores a obtener una visión clara de las interacciones de los dispositivos en toda la red.

1. Supervisar todas las actividades del dispositivo habilita la auditoría y el seguimiento integrales de todas las actividades del dispositivo.

   Nota: Deshabilitar esta configuración detendrá todas las auditorías de actividad del dispositivo.

2. Los administradores pueden configurar la frecuencia con la que el agente genera informes de auditoría
3. Habilitar "Enviar detalles del dispositivo bloqueado al Server inmediatamente" garantiza que los informes de dispositivos bloqueados se envíen al Server en tiempo real. Cuando está deshabilitado, los informes se envían durante el siguiente período programado de informes del agente.

Ajustes de alerta

Los ajustes de alerta permiten a los administradores configurar notificaciones para los usuarios cuando se conecta un dispositivo bloqueado.

1. Desactivado: Los usuarios no reciben ninguna alerta que indique que su dispositivo ha sido bloqueado.
2. Notificación predeterminada: Los usuarios reciben un mensaje estándar informándoles que su dispositivo ha sido bloqueado.

1. Notificación personalizada: Los administradores pueden definir un título y mensaje de alerta únicos que los usuarios verán al insertar un dispositivo bloqueado. Además, los administradores pueden habilitar una opción de "solicitud de acceso temporal", permitiendo que los usuarios soliciten permiso temporal para usar un dispositivo bloqueado.