Configurar el dispositivo de referencia de AppLocker

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este artículo para el profesional de TI se describen los pasos para crear una estructura de plataforma de directivas de AppLocker en un equipo de referencia.

Un dispositivo de referencia de AppLocker que se usa para el desarrollo y la implementación de directivas de AppLocker debe imitar la estructura de directorios y las aplicaciones correspondientes en la unidad organizativa (OU) o el grupo empresarial para el entorno de producción. En un dispositivo de referencia, puede:

• Mantenga una lista de aplicaciones para cada grupo de negocios.
• Desarrolle directivas de AppLocker mediante la creación de reglas individuales o la creación de una directiva mediante la generación automática de reglas.
• Cree las reglas predeterminadas para permitir que los archivos del sistema de Windows se ejecuten correctamente.
• Ejecute pruebas y analice los registros de eventos para determinar el efecto de las directivas que piensa implementar.

No es necesario unir el dispositivo de referencia a un dominio, pero debe poder importar y exportar directivas de AppLocker en formato XML. El equipo de referencia debe ejecutar una de las ediciones admitidas de Windows, como se muestra en Requisitos para usar AppLocker.

Advertencia

No use instantáneas del sistema operativo al crear reglas de AppLocker. Si toma una instantánea del sistema operativo, instala una aplicación, crea reglas de AppLocker y, a continuación, vuelve a una instantánea limpia y repite el proceso para otra aplicación, existe la posibilidad de que se puedan crear GUID de reglas duplicados. Si hay GUID duplicados, las directivas de AppLocker no funcionarán según lo esperado.

Para configurar un dispositivo de referencia

1. Si el sistema operativo aún no está instalado, instale una de las ediciones admitidas de Windows en el dispositivo.

   Nota: Si tiene la consola de administración de directiva de grupo (GPMC) instalada en otro dispositivo para probar la implementación de directivas de AppLocker, puede exportar las directivas a ese dispositivo.

2. Configure la cuenta de administrador.

   Para actualizar las directivas locales, debe ser miembro del grupo administradores local. Para actualizar las directivas de dominio, debe ser miembro del grupo Administradores de dominio o tener privilegios delegados para usar directiva de grupo para actualizar un objeto directiva de grupo (GPO).

3. Instale todas las aplicaciones que se ejecutan en el grupo de negocios o unidad organizativa de destino mediante la misma estructura de directorios.

   El dispositivo de referencia debe configurarse para imitar la estructura del entorno de producción. Depende de tener las mismas aplicaciones en los mismos directorios para crear con precisión las reglas.

Consulte también

• Después de configurar el equipo de referencia, puede crear las colecciones de reglas de AppLocker. Puede compilar, importar o generar automáticamente las reglas. Para ver los procedimientos para realizar esta tarea, consulte Trabajar con reglas de AppLocker.
• Usar un dispositivo de referencia para crear y mantener directivas de AppLocker