Seleccione los tipos de reglas para crear
Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tema enumeran recursos que puede usar al seleccionar las reglas de directiva de control de aplicaciones utilizando AppLocker.
Al determinar qué tipos de reglas para crear para cada uno de los grupos, también debe determinar qué configuración de cumplimiento que se utilizará para cada grupo. Distintos tipos de reglas son más adecuados para algunas aplicaciones, según la manera en que las aplicaciones se implementan en un grupo de negocios específico.
Los temas siguientes proporcionan información adicional acerca de las reglas de AppLocker que pueden ayudarle a decidir qué reglas que se utilizará para las aplicaciones:
Descripción de las acciones de permiso y denegación de AppLocker en reglas
Descripción de los tipos de condición de reglas de AppLockerDescripción de los tipos de condición de regla de AppLocker
Seleccione la colección de reglas
Las reglas que cree estará en una de las siguientes colecciones de reglas:
Archivos ejecutables: .exe y .com
Archivos de Windows Installer: .msi, .msp y .mst
Scripts: .ps1, .bat, .cmd, .vbs y .js
Aplicaciones empaquetadas e instaladores de tales aplicaciones: AppX
DLL: .dll y .ocx
Nota
tipos de archivo AppX y .mst no son aplicables a AppLocker que se ejecutan en Windows Server 2008 R2 y Windows 7.
De forma predeterminada, las reglas permitirá a un archivo para ejecutar en función de privilegio de grupo o usuario. Si usa reglas de DLL, se debe crear una regla de permiso de DLL para cada DLL que usen todas las aplicaciones permitidas. La colección de reglas de DLL no está habilitada de forma predeterminada.
En el ejemplo de Woodgrove Bank, la aplicación de línea de negocio para el grupo de negocios cajeros de banco es C:\Program Files\Woodgrove\Teller.exe y debe incluirse en una regla de esta aplicación. Además, dado que esta regla es parte de una lista de aplicaciones permitidas, todos los archivos de Windows en C:\Windows debe incluidos también.
Determinar la condición de regla
Una condición de regla es criterios en los que una regla de AppLocker se basa y sólo puede ser una de las condiciones de regla en la tabla siguiente.
Condición de regla |
Escenario de uso |
Recursos |
|---|---|---|
Publicador |
Para usar una condición de publicador, los archivos deben estar firmados digitalmente por el fabricante del software, o debe hacerlo mediante un certificado interno. Es posible que las reglas que se especifican en el nivel de versión tengan que actualizarse cuando se lance una nueva versión del archivo. |
Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de publicador de AppLocker. |
Ruta |
Esta condición de regla puede asignarse a cualquier archivo; sin embargo, dado que las reglas de ruta de acceso especifican ubicaciones dentro del sistema de archivos, cualquier subdirectorio también se verá afectado por la regla (a menos que se excluya explícitamente). |
Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de ruta de acceso de AppLocker. |
Hash de archivo |
Cualquier archivo se puede asignar esta condición de regla; Sin embargo, la regla debe actualizarse cada vez que se lanza una nueva versión del archivo porque el valor hash se basa en parte en la versión. |
Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de hash de archivo de AppLocker. |
En el ejemplo de Woodgrove Bank, la aplicación de línea de negocio para el grupo de negocios cajeros de banco se firma y se encuentra en C:\Program Files\Woodgrove\Teller.exe. Por lo tanto, la regla puede definirse con una condición de publicador. Si la regla está definida para una versión concreta y superior (por ejemplo, Teller.exe versión 8.0 y versiones posteriores), esto permitirá que las actualizaciones de esta aplicación para que se produzca sin interrupción del acceso a los usuarios si la aplicación del nombre y firmados atributos permanecen igual.
Determinar cómo permitir que se ejecuten los archivos de sistema
Como las reglas de AppLocker compilación una lista de aplicaciones permitidas, deben crearse para permitir que todos los archivos de Windows ejecutar una regla o reglas. AppLocker proporciona un medio para asegurar los archivos del sistema se consideran correctamente en la colección de reglas mediante la generación de las reglas predeterminadas para cada colección de reglas. Puede usar las reglas predeterminadas como una plantilla cuando cree sus propias reglas. Sin embargo, estas reglas solo están previstas para funcionar como una directiva de partida cuando se prueban por primera vez las reglas de AppLocker, de modo que los archivos de sistema de las carpetas de Windows podrán ejecutarse. Cuando se crea una regla predeterminada, se indica con "(regla predeterminada)" en su nombre tal como aparece en la colección de reglas.
También puede crear una regla para los archivos del sistema basándose en la condición de ruta de acceso. En el ejemplo anterior, para el grupo bancario cajeros, todos los archivos de Windows residen en C:\Windows y se pueden definir con el tipo de condición de regla de ruta de acceso. Esto le permitirá el acceso a estos archivos siempre que se apliquen las actualizaciones y cambian los archivos. Si necesita seguridad adicional para la aplicación, quizás tendrá que modificar las reglas creadas desde la colección de reglas predefinidas. Por ejemplo, la regla predeterminada para permitir que todos los usuarios ejecuten archivos .exe en la carpeta Windows se basa en una condición de ruta de acceso que permite que se ejecuten todos los archivos de la carpeta Windows. La carpeta Windows contiene una subcarpeta temporal respecto a la cual el grupo Usuarios tiene los permisos siguientes:
Recorrer carpeta/Ejecutar archivo
Crear archivos/Escribir datos
Crear carpetas/Anexar datos
Esta configuración de permisos se aplica a esta carpeta para la compatibilidad de aplicaciones. Sin embargo, como cualquier usuario puede crear archivos en esta ubicación, permitir que las aplicaciones se ejecuten desde esta ubicación puede entrar en conflicto con la directiva de seguridad de su organización.
Pasos siguientes
Después de seleccionar los tipos de reglas para crear, registrar sus conclusiones, como se explica en Documente las reglas de AppLocker.
Después de registrar sus conclusiones para crear las reglas de AppLocker, debe considerar cómo aplicar las reglas. Para obtener información acerca de cómo hacerlo, consulte Determinar la directiva de grupo de estructura y cumplimiento de reglas.