Compartir a través de

Usar AppLocker y las directivas de restricción de software en el mismo dominio

  • Artículo

En este tema para profesionales de TI se describen los conceptos y los procedimientos que te ayudarán a administrar la estrategia de control de aplicaciones con las directivas de restricción de software y AppLocker.

Uso de AppLocker y las directivas de restricción de software en el mismo dominio

AppLocker se admite en sistemas que ejecutan Windows 7 y superior. Las directivas de restricción de software (SRP) son compatibles con los sistemas que ejecutan Windows Vista o versiones anteriores. Puedes continuar usando SRP para el control de aplicaciones en los equipos de versiones anteriores a Windows 7, pero usa AppLocker en equipos que ejecuten Windows Server 2008 R2, Windows 7 y versiones posteriores. Se recomienda que crees AppLocker y las reglas de SRP en GPO separados y que orientes los GPO con directivas de SRP a sistemas que ejecuten Windows Vista o versiones anteriores. Cuando se aplican directivas tanto de SRP como de AppLocker en equipos que ejecuten Windows Server 2008 R2, Windows 7 y posterior, las directivas de SRP se omiten.

La siguiente tabla compara las características y funciones de las directivas de restricción de software (SRP) y AppLocker.

Función de control de la aplicación Directivas de restricción de software AppLocker

Ámbito

Las directivas de SRP pueden aplicarse a todos los sistemas operativos Windows a partir de Windows XP y Windows Server 2003.

Las directivas de AppLocker se aplican solo a Windows Server 2008 R2, Windows 7 y versiones posteriores.

Creación de directivas

Las directivas de SRP se mantienen a través de la directiva de grupo y solo el administrador del GPO puede actualizar la directiva de SRP. El administrador del equipo local puede modificar las directivas de SRP definidas en el GPO local.

Las directivas de AppLocker se mantienen a través de la directiva de grupo y solo el administrador del GPO puede actualizar la directiva. El administrador del equipo local puede modificar las directivas de AppLocker definidas en el GPO local.

AppLocker permite la personalización de mensajes de error para dirigir a los usuarios a una página web para obtener ayuda.

Mantenimiento de directivas

Las directivas de SRP deben actualizarse mediante el complemento de directiva de seguridad local (si se crean las directivas localmente) o la consola de administración de directiva de grupo (GPMC).

Las directivas de AppLocker pueden actualizarse mediante el complemento de directiva de seguridad local (si se crean las directivas localmente), los GPMC o los cmdlets de Windows PowerShell AppLocker.

Aplicación de la directiva

Las directivas de SRP se distribuyen a través de la directiva de grupo.

Las directivas de AppLocker se distribuyen a través de la directiva de grupo.

Modo de aplicación

SRP funciona en el "modo denegar lista", donde los administradores pueden crear reglas para los archivos que no desean permitir en la empresa, mientras que el resto del archivo se puede ejecutar de manera predeterminada.

SRP también se puede configurar en el "modo permitir lista", de modo que todos los archivos se bloquean de forma predeterminada y los administradores necesitan crear reglas de permiso para los archivos que quieren permitir.

AppLocker funciona de forma predeterminada en el "modo permitir lista", donde solo esos archivos tienen permiso para ejecutarse cuando haya una regla de permiso que coincida.

Tipos de archivo que se pueden controlar

SRP puede controlar los siguientes tipos de archivo:

  • Archivos ejecutables

  • Dll

  • Scripts

  • Windows Installers

SRP no puede controlar cada tipo de archivo por separado. Todas las reglas de SRP están en una colección de regla única.

AppLocker puede controlar los siguientes tipos de archivo:

  • Archivos ejecutables

  • Dll

  • Scripts

  • Windows Installers

  • Instaladores y aplicaciones empaquetadas

AppLocker mantiene una colección de reglas independientes para cada uno de los cinco tipos de archivo.

Tipos de archivo designados

SRP admite una lista extensible de tipos de archivo que se consideran ejecutables. Los administradores pueden agregar extensiones a los archivos que deben considerarse ejecutables.

AppLocker admite actualmente las siguientes extensiones de archivo:

  • Archivos ejecutables (.exe, .com)

  • Dll (.ocx, .dll)

  • Scripts (.vbs, .js, .ps1, .cmd, .bat)

  • Windows Installers (.msi, .mst, .msp)

  • Instaladores de aplicaciones empaquetadas (.appx)

Tipos de regla

SRP admite cuatro tipos de reglas:

  • Hash

  • Ruta de acceso

  • Firma

  • Zona de Internet

AppLocker admite tres tipos de reglas:

  • Hash de archivo

  • Ruta de acceso

  • Editor

Editar el valor de hash

En Windows XP, puedes usar SRP para proporcionar valores de hash personalizados.

A partir de Windows 7 y Windows Server 2008 R2, solo puedes seleccionar el archivo al que aplicar el algoritmo hash y no proporcionar el valor de hash.

AppLocker calcula el valor de hash por su cuenta. De manera interna, usa el hash SHA2 Authenticode para archivos ejecutables portables (exe y dll) y los Windows Installers, y un hash de archivo plano SHA2 para el resto.

Compatibilidad con diferentes niveles de seguridad

Con SRP, puedes especificar los permisos con los que se puede ejecutar una aplicación. Por lo tanto, puedes configurar una regla de manera que siempre se ejecute el Bloc de notas con permisos restringidos y nunca con privilegios administrativos.

SRP en Windows Vista y varios niveles de seguridad anteriores compatibles. En Windows 7, esa lista se restringió a tan solo dos niveles: No permitido y Sin restricciones (Usuario básico se traduce en No permitido).

AppLocker no admite niveles de seguridad.

Administrar aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.

No compatible

.appx es un tipo de archivo válido que puede administrar AppLocker.

Selección del destino de una regla para un usuario o un grupo de usuarios

Las reglas de SRP se aplican a todos los usuarios en un equipo determinado.

Las reglas de AppLocker pueden destinarse a un usuario específico o un grupo de usuarios.

Compatibilidad con las excepciones de regla

SRP no admite excepciones de reglas.

Las reglas de AppLocker pueden tener las excepciones que te permiten crear reglas como "Permitir todo desde Windows excepto regedit.exe".

Compatibilidad con el modo auditoría

SRP no admite el modo auditoría. La única manera de probar las directivas de SRP es configurar un entorno de prueba y ejecutar algunos experimentos.

AppLocker admite el modo de auditoría, que te permite probar el efecto de la directiva en el entorno de producción real sin afectar a la experiencia del usuario. Una vez que estés satisfecho con los resultados, puedes iniciar la aplicación de la directiva.

Compatibilidad para exportar e importar directivas

SRP no admite la importación o la exportación de directivas.

AppLocker admite la importación y la exportación de directivas. Esto te permite crear la directiva de AppLocker en un dispositivo de muestra, probarla, exportar esa directiva y volver a importarla al GPO deseado.

Aplicación de reglas

De forma interna, el cumplimiento de las reglas de SRP se realiza en el modo de usuario, que es menos seguro.

De forma interna, se aplican las reglas de AppLocker para archivos .exe y .dll en modo kernel, que es más seguro que aplicarlas en el modo de usuario.