Crear lista de las aplicaciones implementadas en cada grupo de negocios
Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
En este tema se describe el proceso de recopilación de los requisitos de uso de aplicación de cada grupo empresarial para implementar directivas de control de aplicaciones utilizando AppLocker.
Determinar el uso de la aplicación
Para cada grupo de negocio, determine lo siguiente:
La lista completa de las aplicaciones utilizadas, incluidas las versiones diferentes de una aplicación.
La ruta de instalación completa de la aplicación.
El publicador y el estado de firma de cada aplicación.
El tipo de requisito de los grupos empresariales establecer para cada aplicación, como negocio crítico, productividad de negocios opcionales o personal. También puede resultar útil durante este esfuerzo para identificar las aplicaciones que se admiten o no por el departamento de TI, o admitidos por otros usuarios fuera de su control.
Una lista de archivos o aplicaciones que requieran credenciales administrativas para instalar o ejecutar. Si el archivo requiere credenciales administrativas para la instalación o la ejecución, a los usuarios que no puedan proporcionar credenciales administrativas se les impedirá ejecutar el archivo aunque este tenga permiso explícito de una directiva de AppLocker. Incluso con directivas de AppLocker aplicadas, solo los miembros del grupo Administradores pueden instalar o ejecutar archivos que requieren las credenciales administrativas.
Cómo realizar la evaluación del uso de aplicaciones
Aunque puede que ya tenga un método en su lugar para entender el uso de la aplicación para cada grupo de negocios, necesitará usar esta información para ayudar a crear la colección de reglas de AppLocker. AppLocker incluye el Asistente para generar reglas automáticamente y laSólo auditoríaconfiguración de cumplimiento para ayudarle a planear y crear la colección de reglas.
Métodos de inventario de aplicaciones
Usar al Asistente para generar reglas automáticamente rápidamente crea reglas para las aplicaciones que especifique. El Asistente está diseñado específicamente para crear una colección de reglas. Puede utilizar el complemento Directiva de seguridad Local para ver y editar las reglas. Este método es muy útil al crear reglas de un equipo de referencia y al crear y evaluar las directivas de AppLocker en un entorno de prueba. Sin embargo, requieren que los archivos sean accesibles en el equipo de referencia o a través de una unidad de red. Esto podría significar un trabajo adicional para configurar el equipo de referencia y determinar una directiva de mantenimiento para ese equipo.
Mediante elSólo auditoríamétodo de cumplimiento le permite ver los registros ya que recopila información sobre todos los procesos en los equipos que reciben el objeto de directiva de grupo (GPO). Por lo tanto, puede ver cuál será el cumplimiento en los equipos de un grupo de negocios. AppLocker incluye cmdlets para crear reglas y cmdlets de Windows PowerShell que puede utilizar para analizar los eventos del registro de eventos. Sin embargo, cuando se utiliza Directiva de grupo para implementar en varios equipos, es muy importante para la administración de un medio para recopilar eventos en una ubicación central. Dado que AppLocker registra información acerca de los archivos que los usuarios u otros procesos que se inicia en un equipo, podría faltar crear algunas reglas inicialmente. Por lo tanto, debe continuar la evaluación hasta que pueda comprobar que se tiene acceso correctamente a todas las aplicaciones necesarias que se pueden ejecutar.
Sugerencia
Si ejecuta el Comprobador de aplicación en una aplicación personalizada con las directivas de AppLocker habilitadas, podría impedir la aplicación se ejecute. O bien, debe deshabilitar el Comprobador de aplicación o de AppLocker.
Puede crear un inventario de aplicaciones de Windows 8 en un equipo mediante dos métodos: elGet-AppxPackagecmdlet de Windows PowerShell o la UI de AppLocker.
Los temas siguientes en laGuía paso a paso de AppLockerdescriben cómo realizar cada método:
Generar automáticamente reglas de ejecutable desde un equipo de referencia
Usar la auditoría para realizar un seguimiento de qué aplicaciones se usan
Requisitos previos para poder completar el inventario
Identifique el grupo de negocio y cada unidad organizativa (OU) dentro de ese grupo al que se aplicará las directivas de control de aplicación. Además, debería haber identificado incluso AppLocker es la solución más adecuada para estas directivas. Para obtener información acerca de estos pasos, vea los temas siguientes:
Pasos siguientes
Identificar y desarrollar la lista de aplicaciones. Registre el nombre de la aplicación, si está firmado o no según se indica en el nombre del fabricante, y si o no es una misión crítica, la productividad del negocio, opcional o aplicación personal. Registre la ruta de instalación de las aplicaciones. Para obtener información acerca de cómo hacerlo, consulteDocumente la lista de aplicaciones.
Después de haber creado la lista de aplicaciones, el siguiente paso es identificar las colecciones de reglas, que se convertirán en las directivas. Esta información se puede agregar a la tabla en columnas con la etiqueta:
Usar regla predeterminada o definir nueva condición de regla
Permitir o denegar
Nombre de GPO
Para ello, vea los temas siguientes: