Ejercicio: Habilitar AppLocker en una máquina virtual de Windows Server 2016 que se ejecute en Azure

  • 10 minutos

Como administrador sénior que trabaja para Contoso, se le ha pedido que pruebe Microsoft AppLocker para una implementación futura en su entorno de Azure Virtual Desktop. En una empresa, este proceso normalmente se realiza a través de objetivos de directiva de grupo, Intune o Configuration Manager. Este ejercicio no incluye el acceso a esas herramientas ni un controlador de dominio de Active Directory.

En este ejercicio, usará una máquina virtual de Windows Server 2016 que se ejecuta en Azure. Como el laboratorio no es un entorno de Azure Virtual Desktop, Windows 10 Enterprise no está disponible. Realizará lo siguiente:

  • Abra el Azure Cloud Shell.
  • Cree un grupo de recursos.
  • Implemente una máquina virtual de Windows Server 2016.
  • Conéctese a la máquina virtual.
  • Agregue un usuario estándar.
  • Habilite el servicio AppIDsrv.
  • Deshabilite la configuración de seguridad mejorada de Internet Explorer.
  • Descargue e instale Visual Studio Code 2019.
  • Habilite AppLocker.
  • Habilite las reglas de AppLocker predeterminadas.
  • Pruebe la configuración de AppLocker en nuestra máquina virtual de Windows Server 2016 implementada.
  • Limpie los recursos
  • Pruebe una demostración sobre el uso de AppLocker.

Nota:

Para completar esta unidad de ejercicios, necesitará tener una suscripción de Azure activa. Si realiza el ejercicio en este módulo, podría incurrir en costes en su suscripción de Azure. Para estimar los costes, consulte los Precios de Windows Virtual Machines. Los pasos descritos en este laboratorio son para un entorno de Windows Server 2016.

Puede definir e implementar máquinas virtuales en Azure de varias formas. En este ejercicio se usa CLI de Azure y Azure Cloud Shell.

Abra Azure Cloud Shell.

  1. Inicie sesión en el Azure Portal usando sus credenciales de Azure.
  2. Seleccione el icono de Cloud Shell al lado del cuadro de búsqueda. Se abrirá mensaje de bienvenida a Azure Cloud Shell.
  3. Es posible que reciba un aviso donde se indica que no tiene almacenamiento montado y que le pide que seleccione una suscripción y cree un almacenamiento. Seleccione la suscripción y elija Crear almacenamiento si se lo solicitan.
  4. En la ventana de terminal de Azure Cloud Shell, seleccione PowerShell como el entorno.

Creación de un grupo de recursos

Ahora necesita crear un grupo de recursos. Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y administran los recursos de Azure. En el ejemplo siguiente se crea un grupo de recursos denominado miGrupodeRecursos en la ubicación West US. Según su ubicación, es posible que seleccione una opción diferente.

  1. Escriba el siguiente comando en CLI de PowerShell:
az group create -n myResourceGroup -l westus
  1. Compruebe el nuevo grupo de recursos al usar el siguiente comando. Este comando obtiene el grupo de recursos de Azure en su suscripción denominada miGrupodeRecursos.
Get-AZResourceGroup -Name myResourceGroup

Implemente una máquina virtual de Windows Server 2016.

  1. Escriba los siguientes comandos en la ventada de CLI:
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

  1. Escriba la contraseña de administrador y confírmela cuando se le solicite.

  2. Cuando aparece el mensajeEn ejecución, la máquina se está implementando. Los recursos de Azure tardan entre 2 y 3 minutos en implementarse.

    Cuando haya finalizado el proceso, se muestra el resultado siguiente:

    {- Finished ..
 "fqdns": "",
 "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
 "location": "westus",
 "macAddress": "00-0D-3A-5A-75-FA",
 "powerState": "VM running",
 "privateIpAddress": "10.0.0.4",
 "publicIpAddress": "65.52.124.71", 
 "resourceGroup": "myResourceGroup",
 "zones": ""
}

  3. Use la dirección pública en su conexión a escritorio remoto. Anote la dirección con su contraseña de administrador.

Conéctese a la máquina virtual

Siga estos pasos para crear una sesión de escritorio remoto desde su equipo local. Reemplace la dirección IP con la dirección IP pública de la máquina virtual. Cuando se le pida, escriba el nombre de usuario de administrador especificado en el comando de PowerShell y la contraseña asociada.

  1. En un escritorio de Windows, pulse mstsc en la ventana de búsqueda y seleccione la aplicaciónConexión a escritorio remoto.
  2. Seleccione Mostrar opciones. Escriba la dirección IP de la máquina virtual y sus credenciales de administrador y, a continuación, seleccione Conectar. No elija guardar la configuración de inicio de sesión.
  3. Si recibe un mensaje que indica No se puede comprobar la identidad del equipo remoto. ¿Desea conectarse de todos modos?, seleccione .

Agregue un usuario estándar

El siguiente paso es agregar un usuario estándar al servidor local myVM.

  1. El panel de Windows Server Manager ahora debería estar disponible. Si no es así, Inicioy, a continuación, seleccione Administrador del servidor.
  2. En el panel, seleccione Herramientas y después seleccione Administración de equipos.
  3. En Herramientas del sistema, seleccione Usuarios y grupos locales. Haga clic con el con el botón derecho en Usuarios o active su menú contextual y después seleccioneNuevo usuario.
  4. Escriba un nombre de usuario, un nombre completo y una descripción. Escriba y confirme una contraseña y desactive El usuario debe cambiar la contraseña en el próximo inicio de sesión la casilla.
  5. Seleccione Crear y, a continuación, seleccione Cerrar.
  6. Seleccione la opción Gruposy después, busque Usuarios de escritorio remoto.
  7. Haga clic con el con el botón derecho en Usuarios de escritorio remoto o active su menú contextual y después seleccioneAñadir al grupo.
  8. En el cuadro de diálogo de propiedades Usuarios de escritorio remoto seleccioneAgregar.
  9. Agregue a este grupo al usuario estándar que creó anteriormente.
  10. Seleccione Aceptar.
  11. Cierre la consola de Administración de equipos.

Habilite el servicio AppIDsrv

El servicio de identidad de aplicación (AppIDsrv) determina y comprueba la identidad de una aplicación. Si detiene este servicio, no se podrán aplicar las directivas de AppLocker.

  1. Inicie el Administrador de tareas haciendo clic con el botón derecho en la barra de tareas y seleccionando Administrador de tareas.

  2. Seleccione Más detallesy después seleccione la pestaña de Servicios.

  3. Desplácese hacia abajo hasta que vea AppIDSvc. Haga clic con el botón derecho y seleccione Inicio.

    El servicio AppIDSrv ahora debería tener el estado de En ejecución.

  4. Cerrar el administrador de tareas.

Deshabilite la configuración de seguridad mejorada de Internet Explorer.

Para mostrar la potencia de AppLocker, necesitamos deshabilitar la configuración de seguridad mejorada. Esta protección está habilitada de forma predeterminada en Internet Explorer en Windows Server 2016. Con la configuración de seguridad mejorada deshabilitada, no se comprueba el acceso a Internet.

  1. En Administrador de servidores, seleccione Servidor local.
  2. En el panel Propiedades, busque Configuración de seguridad mejorada de IE y seleccione el vínculo deActivar.
  3. Desactive la configuración de seguridad mejorada para administradores y usuarios activando el botón Desactivar para cada uno.
  4. Abra Internet Explorer. Debería ver el mensaje que indica que la configuración de seguridad mejorada de Internet Explorer no está habilitada.

Descargue e instale Visual Studio Code 2019.

  1. Descargue e instale Visual Studio 2019 Community edition en la página de Descargas de Visual Studio. Esta edición es gratuita.
  2. Cuando se le pida que ejecute o guarde el archivo .exe de Visual Studio, seleccione Ejecutar.
  3. Acepte todos los valores predeterminados que aparezcan durante la instalación. Seleccione Continuar e Instalar cuando se le solicite durante la configuración. No necesita instalar componentes adicionales para este ejercicio.
  4. Abra Visual Studio para asegurarse de que se puede ejecutar. No hay ningún acceso directo de forma predeterminada en el escritorio ni en la barra de tareas. Puede encontrar su Visual Studio en el menú Inicio en Agregados recientemente.
  5. Cierre Visual Studio.

Habilite AppLocker

  1. En Administrador del servidor, seleccione Herramientasy después seleccione Directiva de seguridad local.

  2. En Configuración de seguridad, seleccione Directivas de control de aplicaciones.

  3. Expanda Directivas de control de aplicacionesy después seleccione AppLocker. Aparecerá la interfaz de configuración de AppLocker.

  4. Seleccione Configurar la aplicación de reglas. La interfaz de Propiedades de AppLocker de pasa a estar disponible.

  5. En la tabla de Cumplimiento no se habilitan estas reglas predeterminadas. Seleccione las Reglas ejecutables: Casillaconfigurada para reglas ejecutables.

    Nota:

    Asegúrese de que la configuración está establecida en Aplicar reglas, nosolo Auditar. La configuraciónsolo Auditoría no bloquea ninguna aplicación y es posible que no experimente el ejercicio como se ha escrito si esta configuración está seleccionada.

  6. Repita el paso anterior para las reglas de Windows Installer, reglas de scripty reglas de aplicación empaquetadas.

  7. Seleccione Aceptar.

Habilite las reglas predeterminadas de AppLocker

  1. En la consola de Directiva de seguridad local en Configuración de seguridad>Directivas de control de aplicaciones>AppLocker, haga clic con el botón derecho en Reglas de aplicación empaquetadas. Después, seleccione Crear reglas predeterminadas.

    (Regla predeterminada) Todas las aplicaciones del paquete deben aparecer en el panel derecho.

  2. Repita el paso anterior para Reglas ejecutables. Debería ver las reglas predeterminadas que se crean.

  3. En el panel izquierdo, haga clic en Reglas ejecutables y después seleccione Crear nueva regla.

  4. Aparecerá el panel deCrear reglas ejecutables. Seleccione Siguiente.

  5. En Acciones, seleccione Denegar.

  6. Haga clic en Seleccionar.

  7. Aparecerán el Usuario seleccionado o grupo. En la caja Escribir el nombre del objeto que desea seleccionar, escriba el nombre de usuario estándar que haya creado previamente.

  8. Seleccione Comprobar nombres. Debería ver myVM\"nombre de inicio de sesión de los usuarios estándar".

  9. Seleccione el botón Aceptar.

  10. Seleccione Siguiente, seleccione la rutay, después, Siguiente.

  11. Seleccione Examinar carpetas. Aparece el explorador de archivos Buscar carpeta en.

  12. Seleccione Archivos de programa (x86)>Microsoft Visual Studio>2019. A continuación, seleccione Aceptar.

  13. La ruta de acceso ahora es %PROGRAMFILES%\Microsoft Visual Studio\2019. Seleccione Siguiente.

  14. Seleccione Siguiente el panel de Excepciones.

  15. Seleccione Crear en el panel Nombre y Descripción.

    Ahora debería ver una nueva regla Denegar en el panel Reglas ejecutables.

  16. Cierre la ventana Directiva de seguridad local.

Pruebe la configuración de AppLocker en nuestra máquina virtual Windows Server 2016.

  1. Cierre sesión en la máquina virtual de Windows Server que configuró y, después, inicie sesión con la cuenta de usuario estándar que creó previamente.

    La sesión de Escritorio remoto se cierra al cerrar sesión. Tendrá que iniciar otra sesión de Escritorio remoto e iniciar sesión de nuevo con el cliente de Escritorio remoto, como se describió anteriormente.

  2. En el menú Inicio, seleccione Visual Studio 2019.

    Debería ver el mensaje que indica que el administrador del sistema ha bloqueado esta aplicación.

Cuando se aplican reglas AppLocker en el entorno de producción, todas las aplicaciones que no se incluyen en las reglas permitidas se bloquean para la ejecución.

Limpie los recursos

Puede usar el siguiente comando para quitar el grupo de recursos, la máquina virtual y todos los recursos relacionados cuando ya no los necesite. Reemplace el nombre del grupo de recursos por el nombre del grupo de recursos que creó en su propio entorno (miGrupodeRecursos). Si decide no eliminar estos recursos, podría incurrir en costes asociados con ellos.

az group delete --name myResourceGroup

Este proceso tarda entre 2 y 3 minutos.

Demostración: Utilizar AppLocker en un entorno de Azure Virtual Desktop

En el siguiente vídeo se muestra cómo puede usar AppLocker para proteger la implementación de Azure Virtual Desktop.