Compartir a través de

Administrar aplicaciones empaquetadas con AppLocker

  • Artículo

En este tema para profesionales de TI se describen los conceptos y los procedimientos para ayudarte a administrar aplicaciones empaquetadas con AppLocker como parte de tu estrategia general de control de aplicaciones.

Descripción de las aplicaciones empaquetadas y de los instaladores de aplicaciones empaquetadas para AppLocker

Las aplicaciones empaquetadas, también conocidas como aplicaciones universales de Windows, se basan en un modelo que garantiza que todos los archivos de un paquete de aplicaciones compartan la misma identidad. Con las aplicaciones de Windows clásicas, cada archivo dentro de la aplicación podría tener una identidad única. Con las aplicaciones empaquetadas, es posible controlar toda la aplicación mediante una sola regla AppLocker.

Nota  

AppLocker admite solo las reglas del editor para aplicaciones empaquetadas. Todas las aplicaciones empaquetadas deben estar firmadas por el fabricante de software, porque Windows no admite aplicaciones empaquetadas sin firmar.

 

Por lo general, una aplicación consta de varios componentes: el instalador que se utiliza para instalar la aplicación, y uno o varios archivos exe, DLL o scripts. Con las aplicaciones de Windows clásicas, no todos estos componentes comparten siempre atributos comunes como nombre del editor del software, el nombre de producto y la versión del producto. Por lo tanto, AppLocker controla cada uno de estos componentes por separado a través de distintas colecciones de reglas, como reglas de Windows Installer, archivos exe, dll y scripts. En cambio, todos los componentes de una aplicación empaquetada comparten el mismo nombre de editor, nombre de paquete y atributos de versión del paquete. Por lo tanto, puedes controlar toda la aplicación con una sola regla.

Comparación de las aplicaciones de Windows clásicas y las aplicaciones empaquetadas

Las directivas de AppLocker para aplicaciones empaquetadas solo pueden aplicarse a aplicaciones instaladas en equipos que ejecuten al menos Windows Server 2012 o Windows 8, pero las aplicaciones de Windows clásicas pueden controlarse en dispositivos con al menos Windows Server 2008 R2 o Windows 7. Se pueden aplicar las reglas para aplicaciones de Windows clásicas y las aplicaciones empaquetadas de forma conjunta. Las diferencias entre aplicaciones empaquetadas y aplicaciones clásicas de Windows que debe tener en cuenta incluyen:

  • Instalación de las aplicaciones   Todas las aplicaciones empaquetadas las puede instalar un usuario estándar, mientras que un número de aplicaciones clásicas de Windows requiere privilegios administrativos para su instalación. En un entorno donde la mayoría de los usuarios son usuarios estándar, puede que no tengas muchas reglas exe (porque las aplicaciones clásicas de Windows requieren privilegios administrativos para su instalación), pero puede que quieras tener más directivas explícitas para las aplicaciones empaquetadas.

  • Cambio del estado del sistema   Las aplicaciones clásicas de Windows pueden escribirse para cambiar el estado del sistema si se ejecutan con privilegios administrativos. La mayoría de las aplicaciones empaquetadas no pueden cambiar el estado del sistema porque se ejecutan con privilegios limitados. Al diseñar las directivas de AppLocker, es importante saber si una aplicación permitida puede realizar cambios en todo el sistema.

  • Adquisición de las aplicaciones   Las aplicaciones empaquetadas se pueden adquirir a través de la Tienda, o se pueden cargar mediante cmdlets de Windows PowerShell (lo que requiere una licencia de empresa especial). Las aplicaciones clásicas de Windows se pueden adquirir a través de los medios tradicionales.

AppLocker usa colecciones de reglas diferentes para controlar aplicaciones empaquetadas y aplicaciones clásicas de Windows. Tienes la opción de controlar un tipo, el otro tipo o ambos.

Para obtener información sobre cómo controlar aplicaciones clásicas de Windows, consulta Administrar AppLocker.

Para obtener más información sobre las aplicaciones empaquetadas, consulta Reglas de aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas en AppLocker.

Decisiones de diseño e implementación

Puedes usar dos métodos para crear un inventario de aplicaciones empaquetadas en un equipo: la consola AppLocker o el cmdlet de Get-AppxPackage Windows PowerShell.

Nota  

No todas las aplicaciones empaquetadas se enumeran en el Asistente para el inventario de aplicaciones de AppLocker. Algunos paquetes de aplicaciones son paquetes de marcos que usan otras aplicaciones. Por sí mismos, estos paquetes no pueden hacer nada, pero si se bloquean dichos paquetes por error, se puede producir un error en las aplicaciones que desea permitir. En su lugar, puedes crear reglas de permitir o denegar para las aplicaciones empaquetadas que usan estos paquetes de marcos. La interfaz de usuario de AppLocker filtra intencionadamente todos los paquetes registrados como paquetes de marcos. Para obtener información sobre cómo crear una lista de inventario, consulta el tema Crear una lista de aplicaciones implementadas en cada grupo de negocios.

 

Para obtener información sobre cómo usar el cmdlet Get-AppxPackage de Windows PowerShell, consulta la Referencia de comandos de PowerShell para AppLocker.

Para obtener información sobre cómo crear reglas de aplicaciones empaquetadas, consulta Crear una regla para aplicaciones empaquetadas.

Ten en cuenta la siguiente información al diseñar e implementar aplicaciones:

  • Dado que AppLocker admite solo las reglas de editor para aplicaciones empaquetadas, no es necesario recopilar la información de ruta de acceso de instalación de las aplicaciones empaquetadas.

  • No puedes crear reglas basadas en hash o en ruta de acceso para aplicaciones empaquetadas, porque todas las aplicaciones empaquetadas y los instaladores de aplicaciones empaquetadas están firmados por el editor del software del paquete. Las aplicaciones clásicas de Windows no se han firmado siempre de forma coherente; por lo tanto, AppLocker debe admitir las reglas basadas en hash o en ruta de acceso.

  • De manera predeterminada, si no hay ninguna regla en una colección de regla particular, AppLocker permite que todos los archivos se incluyan en esa colección de reglas. Por ejemplo, si no hay ninguna regla de Windows Installer, AppLocker permite que todos los archivos .msi, .msp y .mst se ejecuten. Una directiva de AppLocker ya existente administrada en equipos que ejecutan Windows Server 2008 R2 y Windows 7 no tendría reglas para aplicaciones empaquetadas. Por lo tanto, cuando un equipo con al menos Windows Server 2012 o Windows 8 se une a un dominio donde una directiva de AppLocker ya está configurada, los usuarios podrán ejecutar cualquier aplicación empaquetada. Esto puede ser contrario a tu diseño.

    Para impedir que todas las aplicaciones empaquetadas se ejecuten en un equipo recién unido a un dominio, AppLocker bloquea de forma predeterminada todas las aplicaciones empaquetadas en un equipo con al menos Windows Server 2012 o Windows 8 si la directiva de dominio existente tiene reglas configuradas en la colección de reglas exe. Debes tener una acción explícita para permitir las aplicaciones empaquetadas en la empresa. Solo puedes permitir un conjunto de aplicaciones empaquetadas. O bien, si deseas permitir todas las aplicaciones empaquetadas, puedes crear una regla predeterminada para la colección de aplicaciones empaquetadas.

Uso de AppLocker para administrar aplicaciones empaquetadas

Al igual que existen diferencias en la administración de cada conjunto de reglas, debes administrar las aplicaciones empaquetadas con la siguiente estrategia:

  1. Recopila información sobre qué aplicaciones empaquetadas se ejecutan en tu entorno. Para obtener información sobre cómo hacerlo, consulta Crear una lista de aplicaciones implementadas en cada grupo de negocios.

  2. Crea reglas de AppLocker para aplicaciones empaquetadas específicas en función de tus estrategias de directiva. Para obtener más información, consulta Crear una regla para aplicaciones empaquetadas y Reglas predeterminadas de aplicaciones empaquetadas en AppLocker.

  3. Sigue actualizando las directivas de AppLocker conforme incluyas nuevas aplicaciones empaquetadas en tu entorno. Para ello, consulta Agregar reglas para aplicaciones empaquetadas a un conjunto de reglas de AppLocker existente.

  4. Sigue supervisando tu entorno para comprobar la eficacia de las reglas que se implementan en las directivas de AppLocker. Para hacer esto, consulta Supervisar el uso de aplicaciones con AppLocker.