Colecciones de reglas

El complemento Microsoft Management Console (MMC) de AppLocker se organiza en cuatro áreas denominadas colecciones de reglas. Estas cuatro colecciones de reglas son archivos ejecutables, scripts, archivos de Windows Installer y archivos DLL. Estas colecciones permiten al administrador diferenciar fácilmente las reglas para los distintos tipos de aplicaciones. En la tabla siguiente se muestran los formatos de archivo incluidos en cada colección de reglas.

Nota

La colección de reglas de DLL no está habilitada de forma predeterminada. Para obtener información acerca de cómo habilitar la colección de reglas de DLL, vea el tema sobre cómo Aplicación de reglas de AppLocker.

Colección de reglas Formatos de archivo asociados

Ejecutable

.exe

.com

Scripts

.ps1

.bat

.cmd

.vbs

.js

Windows Installer

.msi

.msp

DLL

.dll

.ocx

Importante

Si usa reglas de DLL, se debe crear una regla de permiso de DLL para cada DLL usada por todas las aplicaciones permitidas.

Precaución

Si se usan reglas de DLL, AppLocker debe comprobar cada DLL cargada por una aplicación. Por lo tanto, los usuarios pueden observar una reducción del rendimiento en caso de usar reglas de DLL.

Condiciones de reglas

Las condiciones de reglas son criterios en los que se basa la regla de AppLocker. Las condiciones principales son necesarias para crear una regla de AppLocker. Las tres condiciones de reglas principales son el publicador, la ruta de acceso y el hash de archivo.

Publicador

Esta condición identifica una aplicación por su firma digital y sus atributos extendidos. La firma digital contiene información acerca de la compañía que ha creado la aplicación (el publicador). Los atributos extendidos, que se obtienen del recurso binario, contienen el nombre del producto del que forma parte la aplicación y el número de versión de la aplicación. El publicador puede ser una compañía de desarrollo de software, como Microsoft, o el departamento de tecnologías de la información de la organización.

Nota

Use una condición de publicador cuando sea posible. Las condiciones de publicador se pueden crear para permitir que las aplicaciones sigan funcionando incluso si la ubicación de la aplicación cambia o si se actualiza la aplicación.

Al seleccionar un archivo de referencia para una condición de publicador, el asistente crea una regla que especifica el publicador, el producto, el nombre de archivo y el número de versión. Para que la regla sea más genérica, mueva el control deslizante hacia abajo o use un carácter comodín (*) en los campos de producto, nombre de archivo o número de versión.

Nota

Para especificar valores personalizados al crear una regla en el Asistente para crear reglas, active la casilla Usar valores personalizados. Si esta casilla está activada, no puede usar el control deslizante para hacer que la regla sea más o menos específica.

La versión de archivo controla si un usuario puede ejecutar una versión específica, versiones anteriores o versiones posteriores. Puede elegir un número de versión y, a continuación, configurar las siguientes opciones:

  • Exactamente. La regla solo se aplica a esta versión de la aplicación.

  • Y superiores. La regla se aplica a esta versión y a todas las versiones posteriores.

  • E inferiores. La regla se aplica a esta versión y a todas las versiones anteriores.

En la tabla siguiente se describe cómo se aplica una condición de publicador.

OpciónLa condición de publicador permite o deniega...

Todos los archivos firmados

Todos los archivos firmados por un publicador.

Solo editor

Todos los archivos firmados por el publicador designado.

Editor y nombre de producto

Todos los archivos para el producto especificado que firma el publicador designado.

Editor, nombre de producto y nombre de archivo

Cualquier versión del archivo designado para el producto designado firmado por el publicador.

Editor, nombre de producto, nombre de archivo y versión de archivo

Exactamente

La versión especificada del archivo designado para el producto designado firmado por el publicador.

Editor, nombre de producto, nombre de archivo y versión de archivo

Y superiores

La versión especificada del archivo designado y cualquier versión nueva para el producto firmado por el publicador.

Editor, nombre de producto, nombre de archivo y versión de archivo

E inferiores

La versión especificada del archivo designado y cualquier versión anterior para el producto firmado por el publicador.

Personalizada

Puede editar los campos Editor, Nombre del producto, Nombre de archivo y Versión para crear una regla personalizada.

Ruta de acceso

Esta condición identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red.

AppLocker usa variables de ruta de acceso para los directorios de Windows.

Nota

Aunque dos de estas variables de ruta de acceso usan el mismo formato que las variables de entorno de Windows, no son variables de entorno. AppLocker solo puede interpretar variables de ruta de acceso de AppLocker.

En la tabla siguiente se detallan estas variables de ruta de acceso.

Unidad o directorio de WindowsVariable de ruta de acceso de AppLockerVariable de entorno de Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Directorio de instalación de Windows

%OSDRIVE%

%SystemDrive%

Archivos de programa

%PROGRAMFILES%

%ProgramFiles% y

%ProgramFiles(x86)%

Medios extraíbles (por ejemplo, CD o DVD)

%REMOVABLE%

Dispositivo de almacenamiento extraíble (por ejemplo, unidad flash USB)

%HOT%

Importante

Dado que las condiciones de ruta de acceso se pueden configurar para incluir un gran número de carpetas y archivos, es necesario planearlas detenidamente. Por ejemplo, si una regla de permiso con una condición de ruta de acceso incluye una ubicación de carpeta en la que los usuarios que no sean administradores tienen permiso para escribir datos, un usuario puede copiar y ejecutar archivos no aprobados en dicha ubicación. Por este motivo, el procedimiento recomendado es no crear condiciones de ruta de acceso para ubicaciones de escritura de usuario estándar, como un perfil de usuario.

Hash de archivo

Si se elige la condición de hash de archivo, el sistema calcula un hash criptográfico del archivo identificado.

Reglas predeterminadas de AppLocker

AppLocker permite generar reglas predeterminadas para cada tipo de regla.

Tipos de reglas predeterminadas de ejecutables:

  • Permitir a los miembros del grupo Administradores local ejecutar todas las aplicaciones.

  • Permitir a los miembros del grupo Todos ejecutar aplicaciones de la carpeta Windows.

  • Permitir a los miembros del grupo Todos ejecutar aplicaciones de la carpeta Archivos de programa.

Tipos de reglas predeterminadas de Windows Installer:

  • Permitir a los miembros del grupo Administradores local ejecutar todos los archivos de Windows Installer.

  • Permitir a los miembros del grupo Todos ejecutar archivos de Windows Installer firmados digitalmente.

  • Permitir a los miembros del grupo Todos ejecutar todos los archivos de Windows Installer de la carpeta Windows\Installer.

Tipos de reglas predeterminadas de scripts:

  • Permitir a los miembros del grupo Administradores local ejecutar todos los scripts.

  • Permitir a los miembros del grupo Todos ejecutar los scripts ubicados en la carpeta Archivos de programa.

  • Permitir a los miembros del grupo Todos ejecutar los scripts ubicados en la carpeta Windows.

Tipos de reglas predeterminadas de DLL:

  • Permitir a los miembros del grupo Administradores local ejecutar todas las DLL.

  • Permitir a los miembros del grupo Todos ejecutar DLL de la carpeta Archivos de programa.

  • Permitir a los miembros del grupo Todos ejecutar DLL de la carpeta Windows.

Para obtener más información, vea Crear reglas de AppLocker predeterminadas.

Comportamiento de las reglas de AppLocker

Si no existe ninguna regla de AppLocker para una colección de reglas específica, se permite ejecutar todos los archivos con ese formato de archivo. Sin embargo, si se crea una regla de AppLocker para una colección de reglas específica, solo se permite ejecutar los archivos permitidos explícitamente en una regla. Por ejemplo, si crea una regla de ejecutable que permite ejecutar los archivos .exe de %SystemDrive%\FilePath, solo se permite la ejecución de los archivos ejecutables de dicha ruta de acceso.

Se puede configurar una regla para usar una acción de permiso o denegación:

  • Permitir. Puede especificar qué archivos se pueden ejecutar en el entorno y para qué usuarios o grupos de usuarios. Además, puede configurar excepciones para identificar los archivos excluidos de la regla.

  • Denegar. Puede especificar los archivos cuya ejecución not se permite en el entorno y para qué usuarios o grupos de usuarios. Además, puede configurar excepciones para identificar los archivos excluidos de la regla.

Importante

Puede usar una combinación de acciones de permiso y acciones de denegación. Sin embargo, se recomienda el uso de acciones de permiso con excepciones porque las acciones de denegación invalidan las acciones de permiso en todos los casos. Las acciones de denegación también se pueden ignorar.

Excepciones de reglas

Puede aplicar reglas de AppLocker a usuarios individuales o a un grupo de usuarios. Si aplica una regla a un grupo de usuarios, todos los usuarios de ese grupo se verán afectados por dicha regla. Si debe permitir un subconjunto de un grupo de usuarios para usar una aplicación, puede crear una regla especial para dicho subconjunto. Por ejemplo, la regla "Permitir a todos ejecutar Windows excepto al Editor del Registro" permite a todos los usuarios de la organización ejecutar Windows, pero no permite a ningún usuario ejecutar el Editor del Registro. El efecto de esta regla impide que los usuarios, como el personal del departamento de soporte técnico, ejecuten un programa necesario para sus tareas de soporte técnico. Para resolver este problema, cree una segunda regla que se aplique al grupo de usuarios del departamento de soporte técnico: "Permitir que el departamento de soporte técnico ejecute el Editor del Registro." Si crea una regla de denegación que no permite a los usuarios ejecutar el Editor del Registro, la regla de denegación invalida la segunda regla que permite al grupo de usuarios del departamento de soporte técnico ejecutar el Editor del Registro.

Asistentes de AppLocker

Puede crear reglas personalizadas de dos formas:

  1. El Asistente para crear reglas permite crear una regla cada vez. Para obtener más información, vea el tema acerca de cómo Crear una regla de AppLocker.

  2. El asistente para generar reglas automáticamente permite seleccionar una carpeta, un usuario o un grupo a los que aplicar la regla y, a continuación, crear varias reglas cada vez para dicha carpeta. Este asistente genera automáticamente solo reglas de permiso. Para obtener más información, vea el tema acerca de cómo Generar automáticamente reglas de AppLocker.

Consideraciones adicionales

  • De forma predeterminada, las reglas de AppLocker no permiten a los usuarios abrir o ejecutar archivos que no están permitidos específicamente. Los administradores deben mantener una lista actualizada de aplicaciones permitidas.

  • Hay dos tipos de condiciones de AppLocker que no se mantienen después de una actualización:

    • Condición de hash de archivo. Las condiciones de hash de archivo se pueden usar con cualquier aplicación porque se genera un valor hash criptográfico de la aplicación al crear la regla. Sin embargo, el valor hash es específico de dicha versión exacta de la aplicación. Si hay varias versiones de la aplicación en uso en la organización, debe crear condiciones de hash de archivo para cada versión en uso y para cualquier versión nueva que se publique.

    • Condición de publicador con una versión de producto específica establecida. Si crea una condición de publicador que usa la opción de condición de archivo Exactamente, la regla no se puede conservar si se instala una nueva versión de la aplicación. Se debe crear una nueva condición de publicador o se debe editar la versión de la regla para que sea menos específica.

  • Si una aplicación no está firmada digitalmente, no se puede usar una condición de publicador.

  • Las reglas de AppLocker no se pueden usar para administrar equipos que ejecutan un sistema operativo Windows anterior a Windows 7. Se deben usar en su lugar las directivas de restricción de software.

  • Si las reglas de AppLocker se definen en un objeto de directiva de grupo (GPO), solo se aplican dichas reglas. Para garantizar la interoperabilidad entre las directivas de restricción de software y las reglas de AppLocker, defina las reglas de las directivas de restricción de software y las reglas de AppLocker en diferentes GPO.

  • Si una regla de AppLocker se establece en Solo auditoría, no se aplica la regla. Si un usuario ejecuta una aplicación incluida en la regla, esta aplicación se abre y ejecuta normalmente, y se agrega la información acerca de dicha aplicación al registro de eventos de AppLocker.

  • Se puede incluir una dirección URL configurada personalizada en el mensaje que se muestra al bloquearse una aplicación.

  • Se prevé un aumento del número de llamadas al departamento de soporte técnico debido a las aplicaciones bloqueadas. Cuando los usuarios empiecen a comprender que no pueden ejecutar aplicaciones que no están permitidas, es posible que disminuyan las llamadas al departamento de soporte técnico.

Referencias adicionales