Share via

Descripción de la condición de regla de ruta en AppLocker

  • Artículo

Este tema explica la condición de regla de ruta de acceso de AppLocker, sus ventajas y desventajas, además de cómo se aplica.

La condición de ruta de acceso identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red.

Al crear una regla que usa una acción de denegación, las condiciones de ruta de acceso son menos seguras que las condiciones de hash de archivo y editor para impedir el acceso a un archivo, ya que el usuario podría copiar fácilmente el archivo en una ubicación distinta de la ubicación especificada en la regla. Dado que las reglas de ruta de acceso especifican ubicaciones dentro del sistema de archivos, debes asegurarte de que no haya ningún subdirectorio en el que puedan escribir usuarios que no sean administradores. Por ejemplo, si creas una regla de ruta de acceso para C:\ con la acción de permiso, cualquier archivo en C:\ se podrá ejecutar, incluidos los perfiles de los usuarios. La siguiente tabla describe las ventajas y desventajas de la condición de ruta de acceso.

Ventajas de la condición de ruta de acceso Desventajas de la condición de ruta de acceso

  • Puedes controlar fácilmente muchas carpetas o un único archivo.

  • Puedes usar el asterisco (*) como carácter comodín en las reglas de ruta de acceso.

  • Puede que resulte menos seguro si una regla que está configurada para usar una ruta de acceso a la carpeta contiene subcarpetas que permiten la escritura por usuarios que no sean administradores.

  • Debes especificar la ruta de acceso completa a un archivo o carpeta al crear reglas de ruta de acceso para que la regla se aplique correctamente.

 

AppLocker no aplica las reglas que especifican rutas de acceso con nombres cortos. Debes especificar siempre la ruta de acceso completa a un archivo o carpeta al crear reglas de ruta de acceso para que la regla se aplique correctamente.

Puedes usar el carácter comodín de asterisco (*) en el campo Ruta de acceso. El carácter de asterisco (*) representa cualquier ruta de acceso. Cuando se combina con cualquier valor de cadena, la regla se limita a la ruta de acceso del archivo y a todos los archivos en dicha ruta de acceso. Por ejemplo, %ProgramFiles%\Internet Explorer\ * indica que la regla afectará a todos los archivos y subcarpetas de la carpeta de Internet Explorer.

AppLocker usa variables de ruta de acceso para directorios conocidos en Windows. Las variables de ruta de acceso no son variables de entorno. El motor de AppLocker solo puede interpretar variables de ruta de acceso de AppLocker. En la siguiente tabla se detallan estas variables de ruta de acceso.

Directorio o unidad de Windows Variable de ruta de acceso de AppLocker Variable de entorno de Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Directorio de instalación de Windows

%OSDRIVE%

%SystemDrive%

Archivos de programa

%PROGRAMFILES%

%ProgramFiles% y %ProgramFiles(x86)%

Medios extraíbles (por ejemplo, un CD o DVD)

%REMOVABLE%

Dispositivo de almacenamiento extraíble (por ejemplo, una unidad flash USB)

%HOT%

 

Para información general sobre los tres tipos de condiciones de regla de AppLocker, así como explicaciones sobre las ventajas y desventajas de cada uno, consulta Descripción de los tipos de condición de reglas de AppLocker.

Temas relacionados

Cómo funciona AppLocker