Configuración e identificación de exclusiones de terminales seguros

Opciones de descarga

  • PDF     (303.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (97.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (94.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de agosto de 2023
ID del documento:213681

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describen las prácticas recomendadas para buscar y crear exclusiones en el terminal seguro.

    Colaboración de los ingenieros de Cisco.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Acceso a la consola de Secure Endpoint
    • Cuenta con privilegios de administrador
    • Un conocimiento práctico de su entorno.

    Componentes Utilizados

    La información de este documento se basa en los sistemas operativos Windows, Linux y MacOS.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Cómo entender las exclusiones

    Un conjunto de exclusiones es una lista de directorios, extensiones de archivos o nombres de amenazas que no desea que Secure Endpoint Connector analice o confirme. Las exclusiones son una necesidad para garantizar un equilibrio entre rendimiento y seguridad en un equipo cuando se habilita la protección de terminales como Secure Endpoint. En este artículo se describen las exclusiones de Secure Endpoint Cloud, TETRA, SPP y MAP.  

    Cada entorno es único, así como la entidad que lo controla, que varía desde políticas estrictas a políticas abiertas, donde estas últimas se clasificarían como un honeypot. Como tales exclusiones se definen, deben adaptarse exclusivamente a cada situación.

      

    Las distintas exclusiones se pueden clasificar de dos maneras, exclusiones obvias y exclusiones indistintas.

    Exclusiones obvias

    Las exclusiones obvias son exclusiones que se han creado a partir de investigaciones y pruebas realizadas con sistemas operativos, programas y otro software de seguridad de uso común.  Estas exclusiones se pueden encontrar en la Lista de exclusiones mantenidas por Cisco en su consola.   

    Nota: se recomienda ponerse en contacto con otros proveedores de antivirus (AV) y solicitar que se añadan las exclusiones recomendadas, lo que garantiza que el terminal seguro y el AV funcionen conjuntamente y también minimicen el impacto en el rendimiento.

    Exclusiones indefinidas

    Se recomienda crear una directiva duplicada para evitar problemas e interrupciones en la seguridad de la empresa para identificar equipos con indicadores de problemas de rendimiento y separarlos en un grupo para usar esta directiva duplicada.

    Precaución: los cambios de configuración en el panel requieren tiempo para permitir que los conectores sincronicen la directiva. Permita una actualización de los latidos o sincronice manualmente las directivas de los conectores.

    Creación de políticas

    1. Secure Endpoint Console > Ficha Gestión > Políticas
    2. Haga clic en + Nueva política...
    3. Seleccione el sistema operativo en el menú desplegable.
    4. Proporcione un nombre descriptivo que le permita distinguir esta directiva y su descripción (opcional).
    5. Seleccione las acciones de la política según sus requisitos y utilice las exclusiones predeterminadas por ahora.
    6. Importante En Configuración avanzada > Funciones administrativas, establezca el nivel de registro del conector en Depurar.
    7. Haga clic en Guardar para completar la creación de la política.

    Creación de grupo

    1. Secure Endpoint Console > Ficha Gestión > Grupos
    2. Haga clic en Crear grupo
    3. Proporcione un nombre descriptivo que le permita distinguir este grupo y su descripción (opcional).
    4. Seleccione la política duplicada que ha creado.
    5. Haga clic en Guardar para completar la creación del grupo.

    Cómo identificar las exclusiones

    Después de la creación de grupos y políticas duplicadas, con el nivel de registro de depuración en los conectores se ejecutan los equipos según las operaciones empresariales normales. Deje tiempo para obtener suficientes datos de registro del conector mientras se accede a los programas y procesos, genere un paquete de diagnóstico de soporte para revisar e identificar las exclusiones.

    Guía para crear paquetes de diagnóstico para los diferentes sistemas operativos disponibles:

    MacOS o Linux

    Extraiga el paquete de diagnóstico de depuración comprimido. El archivo fileops.txt En la se enumeran las rutas de acceso en las que los archivos crean, modifican y cambian el nombre de las actividades activadas en Secure Endpoint para realizar análisis de archivos.  Cada ruta tiene un recuento asociado que indica cuántas veces se ha analizado y la lista se ordena en orden descendente.  Aunque un recuento alto no significa necesariamente que se deba excluir la ruta (por ejemplo, un directorio que almacena correos electrónicos se puede analizar a menudo pero no se debe excluir), la lista proporciona un punto de partida para identificar a los candidatos a la exclusión.  

     31 /Users/eugene/Library/Cookies/Cookies.binarycookies
     24 /Users/eugene/.zhistory
     9 /Users/eugene/.vim/.temp/viminfo
     9 /Library/Application Support/Apple/ParentalControls/Users/eugene/2018/05/10-usage.data
     5 /Users/eugene/Library/Cookies/HSTS.plist
     5 /Users/eugene/.vim/.temp/viminfo.tmp
     4 /Users/eugene/Library/Metadata/CoreSpotlight/index.spotlightV3/tmp.spotlight.state
     3 /Users/eugene/Library/WebKit/com.apple.Safari/WebsiteData/ResourceLoadStatistics/full_browsing_session_resourceLog.plist
     3 /Library/Logs/Cisco/supporttool.log
     2 /private/var/db/locationd/clients.plist
     2 /Users/eugene/Desktop/.DS_Store
     2 /Users/eugene/.dropbox/instance1/config.dbx
     2 /Users/eugene/.DS_Store
     2 /Library/Catacomb/DD94912/biolockout.cat
     2 /.fseventsd/000000000029d66b
     1 /private/var/db/locationd/.dat.nosync0063.arg4tq


    Linux

    Motor de protección del comportamiento
    A partir de la versión 1.22.0 del conector de Linux y la introducción del motor de protección del comportamiento, las exclusiones de procesos se aplican a todos los motores y a los análisis de archivos. Una actividad del sistema abrumadoramente alta puede provocar fallos 18 y las exclusiones de procesos deben aplicarse a procesos benignos muy activos para remediar estos fallos. Desde el paquete de diagnóstico de depuración, el archivo top.txt se puede utilizar para determinar los procesos más activos en el sistema. Consulte la guía Secure Endpoint Linux Connector Fault 18 para obtener más información sobre los pasos de remediación.

    Las exclusiones de procesos también son útiles para silenciar las detecciones de protección del comportamiento de falsos positivos procedentes de software benigno. Si se determina que las detecciones notificadas en el Portal son benignas, se puede excluir el proceso para garantizar que lo que se informa es relevante, sin resultados falsos positivos.

    Windows:

    El sistema operativo Windows es más complicado, hay más opciones de exclusión disponibles debido a los procesos primarios y secundarios. Esto indica que se requiere una revisión más profunda para identificar los archivos a los que se ha accedido, pero también los programas que los han generado. Consulte esta Herramienta de ajuste de Windows en la página de GitHub de Seguridad de Cisco para obtener más detalles sobre cómo analizar y optimizar el rendimiento de Windows con un terminal seguro.

    Cómo crear exclusiones

    En esta sección se describen las prácticas recomendadas para escribir exclusiones para su entorno. 

    Precaución: entienda siempre los archivos y procesos antes de escribir una exclusión para evitar vulnerabilidades de seguridad en el equipo.

    Nota: Para obtener más información, consulte el capítulo 3 de la guía del usuario aquí. En este capítulo se tratan los tipos de exclusiones, la implementación y la navegación del portal de terminales seguros. 

    Proceso y ruta CSIDL

    CSIDL es una forma aceptada y alentada de escribir exclusiones.  CSIDL permite exclusiones de procesos que se pueden reconocer en entornos que utilizan letras de unidad alternativas y pueden omitir la necesidad de caracteres comodín cuando esa ruta es específica del usuario (ya que las exclusiones de procesos no permiten el uso de caracteres comodín).  Más información sobre CSIDL. Sin embargo, hay limitaciones que deben tenerse en cuenta cuando se utiliza CSIDL.  Si su entorno instala programas en más de una letra de unidad, la ruta CSIDL sólo hace referencia a la unidad marcada como la ubicación de instalación predeterminada; por ejemplo, si el sistema operativo está instalado en C:\ pero la ruta de instalación de Microsoft SQL se cambió manualmente a D:\, la exclusión basada en CSIDL de la lista de exclusión mantenida no se aplica a esa ruta.  Para las exclusiones de procesos, esto significa que se debe introducir una exclusión para cada proceso que no se encuentre en la unidad C:\, ya que el uso de CSIDL no lo asigna.  

    Exclusiones de rutas

    Estas exclusiones son las que se utilizan con más frecuencia; los conflictos de aplicación suelen implicar la exclusión de un directorio. Cree una exclusión de ruta utilizando una ruta absoluta o el CSIDL.

    Por ejemplo, para excluir una aplicación antivirus del directorio Archivos de programa, la ruta de exclusión sería:

    C:\Program Files\MyAntivirusAppDirectory
    CSIDL_PROGRAM_FILES\MyAntivirusAppDirectory

    Sin una barra diagonal final, el conector de Windows hace una coincidencia parcial en las trayectorias, mientras que Mac y Linux no.

    Por ejemplo, si aplica las exclusiones de ruta"C:\Program Files" y como "C:\test":

    Se excluyen los archivos C:\Program y los archivos C:\Program (x86):

    C:\Program Files
    C:\Program Files (x86)

    C:\test está excluido, como C:\test123:

    C:\test
    C:\test123

    Puede cambiar la exclusión de "C:\test" a "C:\test\", con lo que "C:\test123" no se excluirá.

    Nota: Las exclusiones de rutas son recursivas y excluyen también todos los subdirectorios.

    Extensión de Archivo

    Estas exclusiones permiten la exclusión de todos los archivos con una extensión determinada.

    Puntos clave:

    • Se espera que la entrada del lado del conector sea .extension
    • El panel antepone automáticamente un punto a la extensión del archivo si no se ha agregado ninguno.
    • Las extensiones no distinguen entre mayúsculas y minúsculas.

    Por ejemplo, para excluir todos los archivos de base de datos de Microsoft Access, puede crear la exclusión:

    .MDB

    Nota: Las exclusiones estándar están disponibles en la lista predeterminada. No se recomienda eliminar estas exclusiones, ya que pueden producirse cambios de rendimiento en los equipos.

    Comodín

    Estas exclusiones son las mismas que las exclusiones de ruta o extensión, excepto por el uso de un asterisco (*) como carácter comodín.

    Precaución: la exclusión de comodines no se detiene en los separadores de rutas, lo que puede dar lugar a exclusiones no deseadas. Ejemplo: C:\*\test excluye C:\sample\test así como C:\1\test o C:\sample\test123 .

    Advertencia: El inicio de una exclusión con un asterisco (*) puede causar problemas de rendimiento importantes.  Con 7.5.3+, la adición de exclusiones de procesos de comodín causó problemas de rendimiento adicionales con exclusiones que llevan asteriscos.  Elimine o cambie todas las exclusiones en este formato para mitigar el impacto en la CPU.  

    Por ejemplo, para excluir las máquinas virtuales de un MAC del análisis, introduzca esta exclusión de ruta:

    /Users/johndoe/Documents/Virtual Machines/

    Esta exclusión sólo funciona para johndoe; para permitir varias coincidencias de usuario, reemplace el nombre de usuario en la ruta con un asterisco (*) a una exclusión de comodín:

    /Users/*/Documents/Virtual Machines/

    Escriba una exclusión para las rutas de acceso que existen en unidades independientes.  

    Ejemplo: C:\testpath y D:\testpath son:

    ^[A-Za-z]\testpath

    El sistema genera automáticamente la casilla de verificación ^[A-Za-z] cuando "Aplicar a todas las letras de unidad" está marcada después de seleccionar el comodín en el menú desplegable Tipo de exclusión, como se muestra en la imagen:

    Wildcard

    Proceso

    Las exclusiones de procesos permiten a los administradores excluir los procesos en ejecución de los análisis de archivos normales (versión 5.1.1 y posteriores de Secure Endpoint Windows Connector), la protección de procesos del sistema (versión 6.0.5 y posteriores de Connector) o la protección contra actividades maliciosas (versión 6.1.5 y posteriores de Connector).

    La exclusión del proceso se realiza especificando la ruta completa al ejecutable del proceso, el valor SHA-256 del ejecutable del proceso o bien la ruta y el SHA-256. Las trayectorias permiten ambas trayectorias directas o utilizan un valor CSIDL.

    Precaución: los procesos secundarios creados por un proceso excluido no se incluyen en la exclusión de forma predeterminada. Ejemplo: la exclusión de procesos para MS Word no excluiría de forma predeterminada ningún proceso adicional creado por Word.exe y se analizaría. Para incluir procesos adicionales, haga clic en la casilla de verificación Aplicar a procesos secundarios.  Además, la exclusión de Word.exe no se sugiere como el malware se oculta con regularidad en los archivos .docx modernos.  

    Nota: Para excluir el proceso, es necesario especificar Path y SHA-256, y cumplir ambas condiciones.

    Limitaciones:

    • Si el tamaño del archivo del proceso es mayor que el tamaño máximo del archivo de análisis establecido en la directiva, el SHA-256 del proceso no se calcula y la exclusión no funciona. Utilizar una exclusión de proceso basada en rutas para archivos mayores que el tamaño máximo del archivo de análisis
    • Versiones del conector 5.x.x a 6.0.3: un límite de 25 exclusiones de procesos en todos los tipos de exclusión de procesos
    • Versiones de conector 6.0.5+: límite de 100 exclusiones de procesos en todos los tipos de exclusión de procesos.
    • Versiones de conector 7.x.+: límite de 500 exclusiones de procesos en todos los tipos de exclusión de procesos.
    • El conector solo respeta las exclusiones de proceso hasta el límite, desde la parte superior de la lista de exclusiones de proceso en policy.xml
    • Cada política tiene una exclusión de proceso para sfc.exe, que cuenta contra el límite
    
    
    
      3|0||CSIDL_Secure Endpoint_VERSION\sfc.exe|48|

    Amenaza

    Estas exclusiones permiten excluir un nombre de amenaza concreto de la activación de eventos. La exclusión de amenazas solo se debe utilizar cuando el resultado del análisis activa la detección de falsos positivos y confirma que no se trata de una amenaza real. 

    El cuadro de texto para agregar una exclusión de amenazas no distingue entre mayúsculas y minúsculas. Ejemplo: W32.Zombies.NotAVirus o w32.zombies.notavirus coinciden con el mismo nombre de amenaza.

    Advertencia: no excluya las amenazas a menos que la investigación y la confirmación del nombre de la amenaza se consideren falsos positivos. Las amenazas excluidas ya no se rellenan en la pestaña de eventos para su revisión y auditoría.

    Comodín de proceso

    Windows:

    El terminal 7.5.3+ permite exclusiones adicionales mediante la funcionalidad de comodín dentro de las exclusiones de proceso.  Esto permite una cobertura más amplia con menos exclusiones, pero también puede ser peligroso si se deja demasiado sin definir.  Sólo debe utilizar el carácter comodín para cubrir el número mínimo de caracteres necesarios para proporcionar la exclusión necesaria.  

    Uso de (*) en el comodín de proceso para Windows:

    • (*) Se puede utilizar en lugar de un solo carácter o un directorio completo.  La colocación de (*) al principio de la ruta se considera no válida.  El carácter comodín funciona entre dos caracteres definidos, barras diagonales o caracteres alfanuméricos.  Si se coloca al final de una ruta de acceso, se excluyen los procesos de ese directorio, pero no los subdirectorios.  
    • (**) Se puede utilizar al final de una ruta para excluir todos los procesos de ese directorio y los procesos de los subdirectorios.  Esto permite un conjunto de exclusión mucho mayor con una entrada mínima, pero también deja un gran agujero de seguridad para la visibilidad.  Utilice esta función con extrema precaución.  

    Examples:

    C:\Windows\*\Tiworker.exe - Excludes all Tiworker.exe found in the subfolders of 'Windows'
    C:\Windows\P*t.exe - Excludes Pot.exe, Pat.exe, P1t.exe, and so on  
    C:\Windows\*chickens.exe - Excludes all Processes in 'Windows' folder ending in chickens.exe
    C:\* - Excludes all Processes in the C: drive in the top layer of folders but not the subfolders.
    C:\** - Excludes every Process on the C: drive.

    MacOS y Linux

    El terminal 1.15.2+ permite exclusiones adicionales mediante la funcionalidad de comodín dentro de las exclusiones de proceso.  Esto permite una cobertura más amplia con menos exclusiones, pero también puede ser peligroso si se deja demasiado sin definir. Sólo debe utilizar el carácter comodín para cubrir el número mínimo de caracteres necesarios para proporcionar la exclusión necesaria.   

    Uso de (*) en el comodín de proceso para Mac:

    • (*) Se puede utilizar en lugar de un solo carácter o un directorio completo.  La colocación de (*) al principio de la ruta se considera no válida.  El carácter comodín funciona entre dos caracteres definidos, barras diagonales o caracteres alfanuméricos.

    Examples:

    /Library/Java/JavaVirtualMachines/*/java - Excludes Java within all subfolders of JavaVirtualMachines
    /Library/Jibber/j*bber - Excludes the Process for jabber, jibber, jobber, and so on

    Exclusiones de prevención de vulnerabilidades (aplicación)

    Windows:

    Secure Endpoint 7.5.1+ utiliza la versión 5 del motor de prevención de vulnerabilidades y la consola ahora permite configurar las exclusiones de aplicaciones dentro de la funcionalidad actual de la lista de exclusiones.  En la actualidad, esto está restringido solo a las aplicaciones y cualquier exclusión relacionada con los archivos DLL se debe realizar abriendo un caso con soporte. 

    Encontrar las exclusiones correctas para la prevención de vulnerabilidades es un proceso mucho más intensivo que cualquier otro tipo de exclusión y requiere numerosas pruebas para minimizar cualquier agujero de seguridad perjudicial.  

    Errores comunes que se deben evitar

    Tenga cuidado al crear exclusiones, ya que esto reduce el nivel de protección proporcionado por Cisco Secure Endpoint. Los archivos excluidos no se trocean, analizan ni están disponibles en la caché o la nube, la actividad no se supervisa y falta información en los motores backend, la trayectoria de los dispositivos y el análisis avanzado.

    Las exclusiones solo deben utilizarse en casos específicos, como problemas de compatibilidad con aplicaciones específicas o problemas de rendimiento que no se pueden mejorar de otro modo.

    Algunos errores comunes que se deben evitar al trabajar con exclusiones son:

    • Exclusiones proactivas
      • No asuma que una exclusión es necesaria a menos que se demuestre que ha sido un problema que no se puede solucionar de otra manera. Los problemas de rendimiento, los falsos positivos o los problemas de compatibilidad de las aplicaciones deben investigarse a fondo y mitigarse antes de aplicar una exclusión
    • Una exclusión demasiado amplia
      • Excluyendo grandes partes del terminal, como la unidad C completa
      • Utilizar una exclusión comodín cuando es posible una exclusión más específica
      • Utilizar sólo el nombre de archivo en lugar de una ruta completa al archivo
      • Utilice el paquete Device Trajectory o Secure Endpoint Diagnostics y la herramienta Performance Tuning Tool para investigar y determinar la exclusión específica necesaria
    • Uso excesivo de exclusiones de comodines
      • Las exclusiones de comodines no solo crean más brechas de seguridad, sino que también requieren más recursos del sistema que cualquier otro tipo de exclusión
      • Asegúrese de utilizar la cantidad mínima de comodines en una exclusión; sólo las carpetas que son realmente variables deben convertirse en variables con un comodín. Por ejemplo:
        • Archivos de programa\Software\* excluye todos los elementos de la carpeta, pero no las subcarpetas
        • Archivos de programa\Software\** excluye todos los elementos de la carpeta, incluidas las subcarpetas
    • Excluir elementos que se utilizan en ataques
      • Tipos de archivos como .cmd, .zip, .jpg, etc
      • Procesos como svchost.exe, bash.exe, powershell.exe, etc
      • Ubicaciones de carpetas como C:\Users\, C:\Windows\Temp\, C:\Program Files\Java, etc.
    • Exclusiones duplicadas
      • Antes de crear una exclusión, compruebe si ya existe en las exclusiones personalizadas creadas por el usuario o en las exclusiones mantenidas por Cisco.
      • La eliminación de exclusiones duplicadas no solo mejora el rendimiento, sino que reduce la gestión operativa de las exclusiones
    • Exclusiones obsoletas
      • Es probable que las exclusiones creadas hace mucho tiempo deban revisarse.
      • Revise y audite regularmente su lista de exclusión y asegúrese de mantener un registro de por qué se agregó una exclusión determinada.
    • No eliminar las exclusiones posteriores a la infección
      • Las exclusiones deben eliminarse una vez que se ha identificado una infección con el fin de recuperar una seguridad y visibilidad óptimas
      • El uso de la función Acciones automatizadas "Mover equipo a grupo" de antemano le permite aplicar rápidamente una política más segura después de la infección, incluida la configuración de una política sin exclusiones
    • Falta de tácticas de mitigación
      • Cuando las exclusiones sean absolutamente necesarias, considere qué tácticas de mitigación se pueden tomar, como habilitar la protección contra escritura para agregar algunas capas de protección para los elementos excluidos.

    Para obtener más prácticas recomendadas sobre exclusiones o terminales seguros, consulte la Guía de prácticas recomendadas


    Exclusiones no recomendadas

    A efectos de una buena posición de seguridad y visibilidad, no se recomiendan estas exclusiones:

    AcroRd32.exe

    addinprocess.exe

    addinprocess32.exe

    addinutil.exe

    bash.exe

    bginfo.exe

    bitsadmin.exe

    cdb.exe

    csi.exe

    dbghost.exe

    dbgsvc.exe

    dnx.exe

    dotnet.exe

    excel.exe

    fsi.exe

    fsiAnyCpu.exe

    iexplore.exe

    java.exe

    kd.exe

    lxssmanager.dll

    msbuild.exe

    mshta.exe

    ntkd.exe

    ntsd.exe

    outlook.exe

    psexec.exe

    powerpnt.exe

    powershell.exe

    rcsi.exe

    svchost.exe

    schtasks.exe

    system.management.automation.dll

    windbg.exe

    winword.exe

    wmic.exe

    wuauclt.exe

    0,7z

    .bat

    .bin

    .cab

    .cmd

    .com

    .cpl

    .dll

    .exe

    .fla

    .gif

    .gz

    .hta

    .inf

    .java

    .jar

    .job

    .jpeg

    .jpg

    .js

    .ko

    .ko.gz

    .msi

    .ocx

    .png

    .ps1

    .py

    .rar

    .reg

    .scr

    .sys

    .tar

    .tmp

    .url

    .vbe

    .vbs

    .wsf

    .zip

    golpear

    java

    pitón

    Python3

    sh

    zsh

    /

    /bin

    /sbin

    /usr/lib

    C:

    C:\

    C:\*

    D:\

    D:\*

    C:\Program Files\Java

    C:\Temp\

    C:\Temp\*

    C:\Users\

    C:\Users\*

    C:\Windows\Prefetch

    C:\Windows\Prefetch\

    C:\Windows\Prefetch\*

    C:\Windows\System32\Spool

    C:\Windows\System32\CatRoot2

    C:\Windows\Temp

    C:\Windows\Temp\

    C:\Windows\Temp\*

    C:\Program Archivos\<nombre de la empresa>\

    C:\Program Archivos (x86)\<nombre de la empresa>\

    C:\Users\<UserProfileName>\AppData\Local\Temp\

    C:\Users\<UserProfileName>\AppData\LocalLow\Temp\

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    5.0
    01-Aug-2023
    Se ha añadido protección del comportamiento al conector de Linux
    4.0
    22-Feb-2023
    Se ha añadido la sección "Errores comunes"
    3.0
    23-Mar-2022
    Sección agregada para el proceso de comodín
    2.0
    18-Feb-2022
    Enlace actualizado a la guía del usuario
    1.0
    22-Aug-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Caly Hess
      PrincessX CEX Technical Leader
    • Matthew Franks
      Cisco Secure Endpoint Escalation Engineer
    • Mathew Huynh
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos