Información técnica de AppLocker
Se aplica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Esta información general técnica para profesionales de TI proporciona una descripción de AppLocker. Esta información puede ayudarte a decidir si tu organización puede beneficiarse de la implementación de directivas de control de aplicaciones de AppLocker. AppLocker ayuda a los administradores a controlar qué aplicaciones y archivos puede ejecutar el usuario. Estos incluyen archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (DLL), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.
Sugerencia
Para imprimir o guardar digitalmente páginas de esta biblioteca, haga clic en Exportar (en la esquina superior derecha de la página) y siga las instrucciones.
¿Cuál es la función de AppLocker?
Mediante el uso de AppLocker se puede:
Definir reglas en base a los atributos de archivo que persisten en todas las actualizaciones de la aplicación, como el nombre del editor (derivado de la firma digital), el nombre de producto, el nombre de archivo y la versión del archivo. También puede crear reglas en base al hash y la ruta de acceso del archivo.
Asignar una regla a un grupo de seguridad o a un usuario individual.
Crear excepciones a las reglas. Por ejemplo, puedes crear una regla que permita a los usuarios ejecutar todos los binarios de Windows salvo el Editor del Registro (Regedit.exe).
Utilizar el modo de solo auditoría para implementar la directiva y conocer su impacto antes de aplicarla.
Crear reglas sobre un servidor provisional, probarlas y después exportarlas al entorno de producción e importarlas al objeto de directiva de grupo.
Simplificar la creación y administración de reglas de AppLocker utilizando los cmdlets de Windows PowerShell para AppLocker.
AppLocker ayuda a reducir la sobrecarga administrativa y el costo de la organización de administrar recursos informáticos disminuyendo el número de llamadas al servicio de soporte técnico por parte de usuarios que ejecutan aplicaciones no aprobadas. AppLocker aborda los siguientes escenarios de seguridad de aplicaciones:
Inventario de aplicaciones
AppLocker tiene la capacidad de aplicar su directiva en un modo de solo auditoría, donde toda la actividad de acceso a aplicaciones se registra en registros de eventos. Estos eventos se pueden recopilar para su posterior análisis. Los cmdlets de Windows PowerShell también lo ayudan a analizar estos datos mediante programación.
Protección frente a software no deseado
AppLocker tiene la capacidad de denegar la ejecución de aplicaciones cuando las excluye de la lista de aplicaciones permitidas. Cuando se aplican las reglas de AppLocker en el entorno de producción, se bloquea la ejecución de todas las aplicaciones que no estén incluidas en las reglas permitidas.
Cumplimiento de licencias
AppLocker puede ayudarte a crear reglas que impidan la ejecución de software sin licencia y restrinjan el software con licencia a usuarios autorizados.
Estandarización de software
Se pueden configurar las directivas de AppLocker para permitir solamente la ejecución de aplicaciones admitidas o aprobadas en los equipos de un grupo de negocios. Esto permite una implementación de aplicaciones más uniforme.
Mejora de la capacidad de administración
AppLocker incluye ciertas mejoras en la capacidad de administración en comparación con sus Directivas de restricción de software predecesoras. La importación y exportación de directivas, la generación automática de reglas de varios archivos, la implementación de modo de solo auditoría y los cmdlets de Windows PowerShell son algunas de las mejoras de las Directivas de restricción de software.
Cuándo utilizar AppLocker
En muchas organizaciones, la información es el activo más valioso y es imprescindible asegurarse de que solo los usuarios aprobados tengan acceso a esa información. Tecnologías de control de acceso como Active Directory Rights Management Services (AD RMS) y las listas de control de acceso (ACL) ayudan a controlar qué usuarios pueden obtener acceso.
Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a los datos que tiene el usuario. Como resultado, se podría borrar o transmitir información confidencial fuera de la organización si el usuario ejecuta software malintencionado deliberadamente o sin saberlo. AppLocker puede ayudar a mitigar estos tipos de brechas en la seguridad al restringir los archivos que los usuarios o los grupos están autorizados a ejecutar.
Los editores de software están empezando a crear más aplicaciones de las que los usuarios no administrativos pueden instalar. Esto podría poner en riesgo la política de seguridad por escrito de una empresa y hacer que las soluciones de control de aplicaciones tradicionales que dependan de la imposibilidad de que los usuarios instalen las aplicaciones. AppLocker ayuda a impedir que se ejecuten dichas aplicaciones por usuario al permitir que los administradores creen una lista permitida de archivos y aplicaciones aprobadas. Como AppLocker puede controlar las DLL, también resulta útil para controlar quién puede instalar y ejecutar los controles de ActiveX.
AppLocker es ideal para las organizaciones que actualmente utilizan la directiva de grupo para administrar sus equipos basados en Windows. Como AppLocker depende de la directiva de grupo para la creación y la implementación, la experiencia con la Directiva de grupo resulta útil si tienes pensado usar AppLocker.
A continuación se muestran ejemplos de escenarios en los que se puede utilizar AppLocker:
La política de seguridad de su organización dicta el uso de software con licencia únicamente, por lo tanto debe impedir que los usuarios ejecuten software sin licencia y también restringen el uso de software con licencia a usuarios autorizados.
La organización ya no admite una aplicación, por lo que necesita impedir totalmente su uso.
La posibilidad de que se pueda introducir software no deseado en su entorno es elevada, por lo que necesita reducir esta amenaza.
Se revocó o expiró la licencia para una aplicación en la organización, por lo que necesitas impedir totalmente su uso.
Se implementa una nueva aplicación o una nueva versión de una aplicación y necesita impedir que los usuarios ejecuten la versión anterior.
No se permiten determinadas herramientas de software dentro de la organización o solo ciertos usuarios deben tener acceso a ellas.
Un único usuario o un pequeño grupo de usuarios necesita utilizar una aplicación concreta que está denegada para todos los demás.
Hay personas que tienen necesidades de uso de software diferentes que comparten algunos equipos de tu organización y tienes que proteger las aplicaciones específicas.
Además de otras medidas, necesita controlar el acceso a información confidencial mediante el uso de la aplicación.
AppLocker puede ayudarte a proteger los activos digitales dentro de tu organización, reducir la amenaza de entrada de software malintencionado en tu entorno y mejorar la administración del control de aplicaciones y el mantenimiento de directivas de control de aplicaciones.
Versiones, interoperabilidad y diferencias en la funcionalidad
Versiones admitidas y consideraciones de interoperabilidad
Las directivas de AppLocker solo se pueden configurar y usar en equipos que ejecuten las versiones y ediciones que soporta el sistema operativo Windows: Para obtener más información, vea Requisitos para utilizar AppLocker.
Diferencias en la funcionalidad entre versiones
En la siguiente tabla se muestran las diferencias según la versión del sistema operativo para cada una de las principales características y funciones de AppLocker:
| Característica o función | Windows Server 2008 R2 y Windows 7 | R2 de Windows 2012 Server, Windows Server 2012, Windows 8.1 y Windows 8 |
|---|---|---|
| La capacidad de establecer reglas para aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas. | No | Sí |
| Las directivas de AppLocker se mantienen a través de Directiva de grupo y solo el administrador del equipo puede actualizar una directiva de AppLocker. | Sí | Sí |
| AppLocker permite la personalización de mensajes de error para que los administradores puedan dirigir a los usuarios a una página web para obtener ayuda. | Sí | Sí |
| La posibilidad de trabajar junto con directivas de restricción de software (usando GPO separados). | Sí | Sí |
| AppLocker admite un pequeño conjunto de cmdlets de Windows PowerShell para ayudar en la administración y el mantenimiento. | Sí | Sí |
| Las reglas de AppLocker pueden controlar los formatos de archivo de la lista: | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Para obtener información sobre cómo comparar funciones de control de aplicaciones en AppLocker y Directivas de restricción de software y sobre el uso de las dos características juntas, consulta Usar AppLocker y directivas de restricción de Software en el mismo dominio.
Requisitos del sistema
Las directivas de AppLocker solo se pueden configurar y aplicar en equipos donde se ejecuten las siguientes versiones y ediciones compatibles con el sistema operativo Windows. Se requiere una directiva de grupo para distribuir los objetos de directiva de grupo que contienen directivas de AppLocker. Para obtener más información, consulte Requisitos para utilizar AppLocker.
Se pueden crear reglas de AppLocker en los controladores de dominio.
Nota
La posibilidad de crear o exigir reglas para aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas no está disponible en Windows Server 2008 R2 y Windows 7.
Instalación de AppLocker
AppLocker se incluye con las ediciones de nivel empresarial de Windows. Puede crear reglas de AppLocker para un solo equipo o para un grupo de equipos. Para un solo equipo puedes crear las reglas mediante el editor de Directiva de seguridad local (secpol.msc). Para un grupo de equipos puedes crear las reglas dentro de un objeto de directiva de grupo usando la Consola de administración de directivas de grupo (GPMC).
Nota
La GPMC está disponible en equipos cliente que ejecutan Windows solo mediante la instalación de Herramientas de administración remota del servidor. En el equipo que ejecuta Windows Server, tienes que instalar la característica de Administración de directivas de grupo.
Uso de AppLocker en Server Core
Se puede usar Windows PowerShell para administrar AppLocker en instalaciones Server Core usando los cmdlets de AppLocker y, si se administran dentro de un GPO, los cmdlets de directiva de grupo. Para obtener más información, consulta la Referencia de comandos de AppLocker PowerShell.
Consideraciones de virtualización
Puedes administrar directivas de AppLocker usando una instancia virtualizada de Windows suponiendo que cumple con todos los requisitos de sistema mencionados anteriormente. También puede ejecutar la directiva de grupo en una instancia virtualizada. Sin embargo, se corre el riesgo de perder las directivas que creaste y que conservas si se quita o se produce un error en la instancia virtualizada.
Consideraciones de seguridad
Las directivas de control de aplicaciones especifican qué programas se pueden ejecutar en equipos locales y cuáles no.
La variedad de formas que adopta el software malintencionado dificulta que los usuarios sepan qué es seguro ejecutar. Al activarse, el software malintencionado puede dañar el contenido de una unidad de disco duro, desbordar la red con solicitudes que causan un ataque de denegación de servicio (DoS), enviar información confidencial a Internet o poner en peligro la seguridad de un equipo.
La contramedida consiste en crear un diseño sólido para las directivas de control de aplicación en equipos de usuario final de la organización, y después someter las directivas a pruebas rigurosas de laboratorio antes de implementarlas en un entorno de producción. AppLocker puede formar parte de la estrategia de control de aplicaciones ya que puede controlar qué software se puede ejecutar en los equipos.
Una implementación defectuosa de una directiva de control de aplicaciones puede deshabilitar las aplicaciones necesarias o permitir que se ejecute software malicioso o no deseado. Por lo tanto, es importante que las organizaciones dediquen recursos suficientes para administrar y solucionar los problemas de implementación de dichas directivas.
Para obtener información adicional sobre los problemas de seguridad específicos, consulta Consideraciones de seguridad para AppLocker.
Cuando usas AppLocker para crear directivas de control de aplicaciones, tienes que tener en cuenta las siguientes consideraciones de seguridad:
¿Quién tiene los derechos para configurar directivas de AppLocker?
¿De qué manera validas que se exigen las directivas?
¿Qué eventos deberías controlar?
A modo de referencia sobre la planeación de seguridad, la siguiente tabla identifica la configuración básica de un equipo cliente con la característica AppLocker instalada:
| Valor | Valor predeterminado |
|---|---|
| Cuentas creadas | Ninguno |
| Método de autenticación | No disponible |
| Interfaces de administración | Se puede administrar AppLocker mediante un complemento de la Consola de administración de Microsoft, Administración de directivas de grupo y Windows PowerShell |
| Puertos abiertos | Ninguno |
| Privilegios mínimos necesarios | Administrador del equipo local, administrador de dominios o cualquier conjunto de privilegios que te permitan crear, editar y distribuir Objetos de directiva de grupo. |
| Protocolos utilizados | No disponible |
| Tareas programadas | Se coloca Appidpolicyconverter.exe en una tarea programada para ejecutarla a petición. |
| Directivas de seguridad | No se requiere ninguna. AppLocker crea directivas de seguridad. |
| Se requiere Servicios del sistema | El servicio de identidad de la aplicación (appidsvc) se ejecuta en LocalServiceAndNoImpersonation |
| Almacenamiento de credenciales | Ninguno |
Mantener directivas de AppLocker
En los temas siguientes se proporciona información sobre el mantenimiento de directivas de Applocker:
Vea también
| Recurso | Windows Server 2008 R2 y Windows 7 | R2 de Windows 2012 Server, Windows Server 2012, Windows 8.1 y Windows 8 |
|---|---|---|
| Evaluación del producto | Preguntas más frecuentes Guía paso a paso de AppLocker |
Preguntas más frecuentes Guía paso a paso de AppLocker |
| Procedimientos | Guía de operaciones de AppLocker | Administrar AppLocker Administrar aplicaciones empaquetadas con AppLocker |
| Scripting | Utilizar los cmdlets de Windows PowerShell para AppLocker | Usar los PowerShell Cmdlets de Windows AppLocker |
| Contenido técnico | Referencia técnica de AppLocker | Referencia técnica de AppLocker |
| Diseño, planeación e implementación | Guía de diseño de directivas de AppLocker Guía de implementación de directivas de AppLocker |
Guía de diseño de directivas de AppLocker Guía de implementación de directivas de AppLocker |