Determinación de la lista de permisos y denegaciones y del inventario de aplicaciones para directivas de restricción de software

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este tema para profesionales de TI se proporcionan instrucciones sobre cómo crear una lista de permitidos y denegados para aplicaciones para que sea administrada por las directivas de restricción de software (SRP) a partir de Windows Server 2008 y Windows Vista.

Introducción

Las directivas de restricción de software (SRP) son una característica basada en directivas de grupo que identifica los programas de software que se ejecutan en los equipos de un dominio y controla la capacidad de ejecución de dichos programas. Puede usar las directivas de restricción de software para crear una configuración muy restringida para los equipos, en los que solamente pueden ejecutarse aquellas aplicaciones específicamente identificadas. Se integran con Active Directory Domain Services y directiva de grupo, pero también se pueden configurar en equipos independientes. Para obtener un punto de partida para SRP, consulte las Directivas de restricción de software.

A partir de Windows Server 2008 R2 y Windows 7, Windows AppLocker se puede usar en lugar de o en concierto con SRP para una parte de la estrategia de control de aplicaciones.

Para obtener información sobre cómo realizar tareas específicas mediante SRP, consulte lo siguiente:

• Trabajo con reglas de directivas de restricción de software

• Usar directivas de restricción de software para ayudar a proteger equipos frente a virus de correo electrónico

Qué regla predeterminada elegir: Permitir o Denegar

Las directivas de restricción de software se pueden implementar en uno de los dos modos que son la base de la regla predeterminada: Lista de permitidos o Lista de denegados. Puede crear una directiva que identifique todas las aplicaciones que se pueden ejecutar en su entorno; la regla predeterminada de la directiva es Restringida y bloqueará todas las aplicaciones que no permita ejecutar explícitamente. O bien, puede crear una directiva que identifique todas las aplicaciones que no se pueden ejecutar; la regla predeterminada es Sin restricciones y restringe solo las aplicaciones que ha enumerado explícitamente.

Importante

El modo Lista de denegación puede ser una estrategia de alto mantenimiento para su organización con respecto al control de aplicaciones. Crear y mantener una lista en constante evolución que prohíbe todo el malware y otras aplicaciones problemáticas sería lento y expuesto a errores.

Crear un inventario de las aplicaciones para la Lista de permitidos

Para usar eficazmente la regla predeterminada Permitir, debe determinar exactamente qué aplicaciones son necesarias en su organización. Hay herramientas diseñadas para generar un inventario de aplicaciones, como Inventory Collector en el kit de herramientas de compatibilidad de aplicaciones de Microsoft. Pero SRP tiene una característica de registro avanzada para ayudarle a comprender exactamente qué aplicaciones se ejecutan en su entorno.

Para detectar qué aplicaciones se van a permitir

1. En un entorno de prueba, implemente la directiva de restricción de software con la regla predeterminada establecida en Sin restricciones y quite las reglas adicionales. Si habilita SRP sin forzarlo a restringir las aplicaciones, SPR podrá supervisar qué aplicaciones se están ejecutando.

2. Cree el siguiente valor del registro para habilitar la característica de registro avanzada y establecer la ruta de acceso en la que se debe escribir el archivo de registro.

   "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

   Valor de cadena: ruta de acceso LogFileName a LogFileName

   Dado que SRP está evaluando todas las aplicaciones cuando se ejecutan, se escribe una entrada en el archivo de registro NameLogFile cada vez que se ejecuta esa aplicación.

3. Evaluar el archivo de registro

   Cada entrada de registro indica:

   • el autor de la directiva de restricción de software y el id. de proceso (PID) del proceso de llamada

   • el destino que se está evaluando

   • la regla de SRP que se encontró cuando se ejecutó esa aplicación

   • un identificador para la regla de SRP.

   Ejemplo de la salida escrita en un archivo de registro:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe como regla Sin restricciones usingpath, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Todas las aplicaciones y el código asociado que SRP comprueba y establecen en bloque se anotarán en el archivo de registro, que después puede usar para determinar qué ejecutables se deben tener en cuenta para la Lista de permitidos.