AppLocker es una nueva característica en Windows 7 y Windows Server 2008 R2 que reemplaza la característica Directivas de restricción de software. AppLocker contiene nuevas capacidades y extensiones que reducen la carga administrativa y ayudan a los administradores a controlar la manera en que los usuarios obtienen acceso a los archivos y los usan; por ejemplo, archivos ejecutables, scripts, archivos de Windows Installer y DLL. Con AppLocker se puede:
- Definir reglas basadas en atributos de archivo que se derivan de la firma digital, incluidos el editor, el nombre de producto, el nombre de archivo y la versión de archivo. Por ejemplo, se pueden crear reglas basadas en el atributo editor que persistan a través de actualizaciones o bien se pueden crear reglas para una versión de archivo específica.
- Asignar una regla a un grupo de seguridad o a un usuario individual.
- Crear excepciones a las reglas. Por ejemplo, se puede crear una regla que permita que se ejecuten todos los procesos de Windows excepto el Editor del Registro (Regedit.exe).
- Usar el modo de solo auditoría para implementar la directiva y comprender cuál es su impacto antes de aplicarla.
- Importar y exportar reglas. La importación y la exportación afectan a toda la directiva. Por ejemplo, si se exporta una directiva, se exportan todas las reglas de todas las colecciones de reglas, incluida la configuración de cumplimiento de las colecciones de reglas. Si se importa una directiva, se sobrescribe la directiva actual.
- Simplificar la creación y administración de reglas de AppLocker mediante el uso de cmdlets de PowerShell para AppLocker.
Para obtener más información acerca de las reglas de AppLocker, vea el tema referente a la Descripción de las reglas de AppLocker.
¿Qué ha cambiado?
La siguiente tabla muestra una comparación entre AppLocker y las Directivas de restricción de software.
| Característica | Directivas de restricción de software | AppLocker |
|---|---|---|
Ámbito de regla | Todos los usuarios | Usuario o grupo específico |
Se proporcionan condiciones para la regla |
Reglas para hash de archivo, ruta de acceso, certificado, ruta del Registro y zona de Internet |
Reglas para hash de archivo, ruta de acceso y editor |
Se proporcionan tipos de regla | Permitir y denegar | Permitir y denegar |
Acción de regla predeterminada | Permitir o denegar | Denegar |
Modo de solo auditoría |
No |
Sí |
Asistente para crear varias reglas a la vez |
No |
Sí |
Importación o exportación de directiva |
No |
Sí |
Colección de reglas |
No |
Sí |
Compatibilidad con PowerShell | No | Sí |
Mensajes de error personalizados | No | Sí |
Requisitos de AppLocker
AppLocker está disponible en todas las ediciones de Windows Server 2008 R2 y en Windows 7 Ultimate y Windows 7 Enterprise. Para usar AppLocker, se necesita:
- Un equipo que ejecute Windows Server 2008 R2, Windows 7 Ultimate, Windows 7 Enterprise o Windows 7 Professional para crear las reglas de AppLocker. Se puede usar Windows 7 Professional para crear las reglas, pero las reglas no se pueden aplicar en equipos que ejecuten Windows 7 Professional. El equipo puede ser un controlador de dominio.
- Para la implementación de Directiva de grupo, al menos un equipo con la Consola de administración de directivas de grupo (GPMC) o las Herramientas de administración remota del servidor (RSAT) instaladas para hospedar las reglas de AppLocker.
- Equipos que ejecuten Windows Server 2008 R2, Windows 7 Ultimate o Windows 7 Enterprise para aplicar las reglas de AppLocker creadas.