¿Qué es AppLocker?
Este tema para profesionales de TI describe qué es AppLocker y cómo se diferencian sus características de las directivas de restricción de software.
AppLocker potencia las funciones de control de aplicaciones y la funcionalidad de las directivas de restricción de software. AppLocker contiene nuevas funciones y extensiones que te permiten crear reglas para permitir o denegar que se ejecuten aplicaciones en función de identidades únicas de archivos, así como especificar qué usuarios o grupos pueden ejecutar dichas aplicaciones.
Con AppLocker puedes hacer lo siguiente:
Controlar los siguientes tipos de aplicaciones: archivos ejecutables (.exe y .com), scripts (.js,. ps1, vbs, .cmd y .bat), archivos de Windows Installer (.mst, .msi y .msp), archivos DLL (.dll y .ocx), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas (appx).
Definir reglas basadas en atributos de archivo derivados de la firma digital, incluidos el editor, el nombre del producto, el nombre del archivo y la versión del archivo. Por ejemplo, puedes crear reglas basadas en el atributo editor que se haya mantenido a lo largo de las actualizaciones, o puedes crear reglas para una versión específica de un archivo.
Asignar una regla a un grupo de seguridad o a un usuario individual.
Crear excepciones a ciertas reglas. Por ejemplo, puedes crear una regla que permita que se ejecuten todos los procesos de Windows excepto el Editor del Registro (Regedit.exe).
Usar el modo de solo auditoría para implementar la directiva y ver qué impacto tendría antes de aplicarla.
Importar y exportar reglas. La importación y la exportación afectan a toda la directiva. Por ejemplo, si exportas una directiva, también se exportan todas las reglas de todas las colecciones de reglas, incluida la configuración de aplicación de las colecciones de reglas. Si importas una directiva, todos los criterios de la directiva existente se sobrescribirán.
Simplificar la creación y administración de las reglas de AppLocker mediante los cmdlets de Windows PowerShell.
AppLocker te permite reducir la sobrecarga administrativa y reducir los costos de la organización relativos a la administración de recursos informáticos disminuyendo la cantidad de llamadas que se hacen al servicio de asistencia como consecuencia de usuarios que ejecutan aplicaciones no aprobadas.
Para información sobre los escenarios de control de la aplicación a los que se aplica AppLocker, consulta Escenarios de uso de directiva de AppLocker.
¿Qué características son diferentes entre las directivas de restricción de software y AppLocker?
Diferencias en las características
La siguiente tabla compara AppLocker con las directivas de restricción de software.
| Característica | Directivas de restricción de software | AppLocker |
|---|---|---|
Ámbito de la regla |
Todos los usuarios |
Usuario o grupo específico |
Condiciones de regla proporcionadas |
Hash de archivo, ruta de acceso, certificado, ruta de acceso al registro y zona de Internet |
Hash de archivo, ruta de acceso y editor |
Tipos de regla proporcionados |
Definido por los niveles de seguridad:
|
Permitir y denegar |
Acción de regla predeterminada |
Sin restricciones |
Denegación implícita |
Modo de solo auditoría |
No |
Sí |
Asistente para crear varias reglas al mismo tiempo |
No |
Sí |
Exportación o importación de directiva |
No |
Sí |
Colección de reglas |
No |
Sí |
Soporte técnico de Windows PowerShell |
No |
Sí |
Mensajes de error personalizados |
No |
Sí |
Diferencias en la función de control de la aplicación
La siguiente tabla compara las funciones de control de la aplicación de las directivas de restricción de software (SRP) y AppLocker.
| Función de control de la aplicación | Directivas de restricción de software | AppLocker |
|---|---|---|
Ámbito del sistema operativo |
Las directivas de SRP pueden aplicarse a todos los sistemas operativos Windows a partir de Windows XP y Windows Server 2003. |
Las directivas de AppLocker se aplican solo a las versiones de sistema operativo compatibles y a las ediciones que se indican en Requisitos para usar AppLocker. Pero estos sistemas también pueden usar SRP. NotaUsa GPO diferentes para las reglas de SRP y AppLocker. |
Compatibilidad con el usuario |
SRP permite a los usuarios a instalar aplicaciones como administrador. |
Las directivas de AppLocker se mantienen a través de la directiva de grupo y solo el administrador del dispositivo puede actualizar una directiva de AppLocker. AppLocker permite la personalización de mensajes de error para dirigir a los usuarios a una página web para obtener ayuda. |
Mantenimiento de directivas |
Las directivas de SRP se actualizan mediante el complemento de directiva de seguridad local o la consola de administración de directiva de grupo (GPMC). |
Las directivas de AppLocker se actualizan mediante el complemento de directiva de seguridad local o la GPMC. AppLocker admite un pequeño conjunto de cmdlet de PowerShell para facilitar la administración y mantenimiento. |
Infraestructura de administración de directiva |
Para administrar directivas de SRP, SRP usa la directiva de grupo dentro de un dominio y el complemento de directiva de seguridad local para un equipo local. |
Para administrar las directivas de AppLocker, AppLocker usa la directiva de grupo dentro de un dominio y el complemento de directiva de seguridad local para un equipo local. |
Bloquear scripts malintencionados |
Las reglas para bloquear los scripts malintencionados impiden que se ejecuten todos los scripts asociados con Windows Script Host, excepto aquellos que están firmados de forma digital por la organización. |
Las reglas de AppLocker pueden controlar los siguientes formatos de archivo:. ps1, .bat, .cmd, vbs y .js. Además, puedes establecer excepciones para permitir que se ejecuten archivos específicos. |
Administrar la instalación de software |
SRP puede impedir que se instalen todos los paquetes de Windows Installer. Permite que los archivos .msi que están firmados digitalmente por la organización se instalen |
La colección de reglas de Windows Installer es un conjunto de reglas creado para tipos de archivo de Windows Installer (.mst, .msi y .msp), para permitirte controlar la instalación de archivos en los equipos cliente y servidores. |
Administrar todo el software en el equipo |
Todo el software se administra en un conjunto de reglas. De manera predeterminada, la directiva para administrar todo el software en un dispositivo impide la ejecución de todo el software en el dispositivo del usuario, excepto el que está instalado en la carpeta Windows, la carpeta Archivos de programa o las subcarpetas. |
Al contrario que en el caso de SRP, cada colección de reglas de AppLocker funciona como una lista de archivos permitidos. Solo tienen permiso para ejecutarse los archivos que se enumeran en la colección de reglas. Esta configuración ayuda a los administradores a determinar qué sucederá al aplicar una regla de AppLocker. |
Diferentes directivas para diferentes usuarios |
Las reglas se aplican uniformemente a todos los usuarios en un dispositivo determinado. |
En un dispositivo compartido entre varios usuarios, un administrador puede especificar los grupos de usuarios que pueden tener acceso al software instalado. Al usar AppLocker, un administrador puede especificar el usuario al que se debe aplicar una regla específica. |