Compartir a través de


Crear una regla para aplicaciones empaquetadas

En este artículo para profesionales de TI se muestra cómo crear una regla de AppLocker para aplicaciones empaquetadas con una condición de publicador.

Las aplicaciones empaquetadas se basan en un modelo de aplicación que garantiza que todos los archivos de un paquete de aplicación compartan la misma identidad. Por lo tanto, es posible controlar toda la aplicación mediante una sola regla de AppLocker en lugar de aplicaciones sin empaquetar en las que cada archivo dentro de la aplicación podría tener una identidad única. Todas las aplicaciones empaquetadas deben estar firmadas. AppLocker solo admite reglas de publicador para aplicaciones empaquetadas. Una regla de publicador para una aplicación empaquetada se basa en la siguiente información:

  • Publicador del paquete
  • Nombre del paquete
  • Versión del paquete

Todos los archivos de un paquete y los instaladores de paquetes comparten estos atributos. Por lo tanto, una regla de AppLocker para una aplicación empaquetada controla tanto la instalación como la ejecución de la aplicación. De lo contrario, las reglas del publicador para las aplicaciones empaquetadas se comportan igual que en otras colecciones de reglas.

Para obtener información sobre la condición del publicador, consulta Descripción de la condición de regla de publicador en AppLocker.

Para administrar una directiva de AppLocker en un objeto de directiva de grupo (GPO), puede realizar esta tarea mediante la consola de administración de directiva de grupo. Para administrar una directiva de AppLocker para el equipo local o para usarla en una plantilla de seguridad, use el complemento Directiva de seguridad local. Para obtener información sobre cómo usar estos complementos MMC para administrar AppLocker, consulta Administrar AppLocker.

Para crear una regla de aplicación empaquetada

  1. Abra la consola de AppLocker.

  2. En el menú Acción o haciendo clic con el botón derecho en Reglas de aplicación empaquetadas, seleccione Crear nueva regla.

  3. En la página Antes de comenzar , seleccione Siguiente.

  4. En la página Permisos , seleccione la acción (permitir o denegar) y el usuario o grupo al que se debe aplicar la regla y, a continuación, seleccione Siguiente.

  5. En la página Publicador , puede seleccionar una referencia específica para la regla de aplicación empaquetada y establecer el ámbito de la regla. En la tabla siguiente se describen las opciones de referencia.

    Selection Descripción Ejemplo
    Uso de una aplicación empaquetada instalada como referencia Si se selecciona, AppLocker requiere que elija una aplicación que ya esté instalada en la que basar la nueva regla. AppLocker usa el publicador, el nombre del paquete y la versión del paquete para definir la regla. Quiere que el grupo Ventas solo use la aplicación denominada Microsoft.BingMaps para sus llamadas de ventas externas. La aplicación Microsoft.BingMaps ya está instalada en el dispositivo donde va a crear la regla, por lo que debe elegir esta opción. A continuación, seleccione la aplicación en la lista de aplicaciones instaladas en el equipo y cree la regla con esta aplicación como referencia.
    Uso de un instalador de aplicaciones empaquetadas como referencia Si se selecciona, AppLocker requiere que elija un instalador de aplicación en el que basar la nueva regla. Un instalador de aplicación empaquetado tiene la extensión .appx. AppLocker usa el publicador, el nombre del paquete y la versión del paquete del instalador para definir la regla. Su empresa desarrolla muchas aplicaciones empaquetadas de línea de negocio internas. Los instaladores de la aplicación se almacenan en un recurso compartido de archivos común. Los empleados pueden instalar las aplicaciones necesarias desde ese recurso compartido de archivos. Quiere permitir que todos los empleados instalen la aplicación Payroll desde este recurso compartido. Por lo tanto, elija esta opción en el asistente, vaya al recurso compartido de archivos y elija el instalador de la aplicación Nómina como referencia para crear la regla.

    En la tabla siguiente se describe cómo establecer el ámbito de la regla de aplicación empaquetada.

    Selection Descripción Ejemplo
    Se aplica a cualquier publicador Esta configuración es la condición de ámbito menos restrictiva para una regla Allow . Permite que todas las aplicaciones empaquetadas se ejecuten o instalen.

    Por el contrario, si esta configuración es una regla Denegar , esta opción es la más restrictiva porque deniega la instalación o ejecución de todas las aplicaciones.
    Quiere que el grupo Ventas use cualquier aplicación empaquetada de cualquier publicador firmado. Establezca los permisos para permitir que el grupo Sales pueda ejecutar cualquier aplicación.
    Se aplica a un publicador específico Esta configuración limita la regla a todas las aplicaciones publicadas por un publicador determinado. Quiere permitir que todos los usuarios instalen aplicaciones publicadas por el publicador de Microsoft.BingMaps. Puede seleccionar Microsoft.BingMaps como referencia y elegir este ámbito de regla.
    Se aplica a un nombre de paquete Esta configuración limita la regla a todos los paquetes que comparten el nombre del publicador y el nombre del paquete como archivo de referencia. Quiere permitir que el grupo Sales instale cualquier versión de la aplicación Microsoft.BingMaps. Puede seleccionar la aplicación Microsoft.BingMaps como referencia y elegir este ámbito de regla.
    Se aplica a una versión del paquete Esta configuración limita la regla a una versión determinada del paquete. Quiere ser selectivo en lo que permite. No quiere confiar implícitamente en todas las actualizaciones futuras de la aplicación Microsoft.BingMaps. Puede limitar el ámbito de la regla a la versión de la aplicación instalada actualmente en el equipo de referencia.
    Aplicación de valores personalizados a la regla Al activar la casilla Usar valores personalizados , puede ajustar los campos de ámbito para su circunstancia concreta. Quiere permitir que los usuarios instalen todas las aplicaciones Microsoft.Bing , que incluyen Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Puede elegir Microsoft.BingMaps como referencia, activar la casilla Usar valores personalizados y editar el campo nombre del paquete agregando "Microsoft.Bing*" como nombre del paquete.
  6. Selecciona Siguiente.

  7. (Opcional) En la página Excepciones , especifique las condiciones por las que excluir los archivos de que se vean afectados por la regla. Estas condiciones le permiten agregar excepciones basadas en la misma referencia de regla y ámbito de regla que estableció antes. Selecciona Siguiente.

  8. En la página Nombre , acepte el nombre de regla generado automáticamente o escriba un nuevo nombre de regla y, a continuación, seleccione Crear.