Compartir a través de


Supervisar el uso de aplicaciones con AppLocker

En este artículo para profesionales de TI se describe cómo supervisar el uso de aplicaciones cuando se aplican directivas de AppLocker.

Después de implementar directivas de AppLocker, supervise su efecto en los dispositivos para asegurarse de que los resultados son los esperados.

Detectar el efecto de una directiva de AppLocker

Puede evaluar cómo se implementa actualmente la directiva de AppLocker con fines de documentación o auditoría, o antes de modificar la directiva. La actualización del documento de planeación de la implementación de directivas de AppLocker le ayuda a realizar un seguimiento de los resultados. Puede realizar uno o varios de los pasos siguientes para comprender qué controles de aplicación se aplican actualmente mediante reglas de AppLocker.

  • Analizar los registros de AppLocker en Visor de eventos

    Cuando la aplicación de directivas de AppLocker se establece en Aplicar reglas, se bloquean los archivos que no están permitidos por la directiva. En ese caso, se genera un evento en el registro de eventos de AppLocker para la colección de reglas. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, las reglas no se aplican, pero se siguen evaluándose para generar datos de eventos de auditoría que se escriben en los registros de AppLocker.

    Para obtener más información sobre el procedimiento para acceder al registro, vea Ver el inicio de sesión de AppLocker en Visor de eventos.

  • Habilitación de la opción Auditar solo el cumplimiento de AppLocker

    Al usar la opción Auditar solo la aplicación, puede asegurarse de que las reglas de AppLocker están configuradas correctamente para su organización. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, solo se evalúan las reglas, pero todos los eventos generados a partir de esa evaluación se escriben en el registro de AppLocker.

    Para obtener más información sobre el procedimiento para realizar esta configuración, vea Configurar una directiva de AppLocker solo para auditoría.

  • Revisión de eventos de AppLocker con Get-AppLockerFileInformation

    Para las suscripciones de eventos y los eventos locales, puede usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar qué archivos se bloquearon o se bloquearían (si usa el modo de cumplimiento de solo auditoría) y cuántas veces se produjo el evento de bloque para cada archivo.

    Para obtener más información sobre el procedimiento para realizar esta comprobación, vea Revisar eventos de AppLocker con Get-AppLockerFileInformation.

  • Revisión de eventos de AppLocker con Test-AppLockerPolicy

    Puede usar el cmdlet Test-AppLockerPolicy Windows PowerShell para determinar si alguna de las reglas de las colecciones de reglas afecta a los archivos que se ejecutan en el dispositivo de referencia o al dispositivo en el que se mantienen las directivas.

    Para obtener más información sobre el procedimiento para realizar esta prueba, vea Probar una directiva de AppLocker mediante Test-AppLockerPolicy.

Revise los eventos de AppLocker con Get-AppLockerFileInformation

Tanto para las suscripciones de eventos como para los eventos locales, puede usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar qué archivos se bloquearon o se bloquearían (si se aplica la opción Audit only enforcement) y cuántas veces se produjo el evento de bloque para cada archivo.

La pertenencia al grupo administradores local, o equivalente, es el mínimo necesario para completar este procedimiento.

Nota

Si los registros de AppLocker no están en el dispositivo local, necesitará permiso para ver los registros. Si la salida se guarda en un archivo, necesitará permiso para leer ese archivo.

Para revisar los eventos de AppLocker con Get-AppLockerFileInformation

  1. En el símbolo del sistema, escriba PowerShell y, a continuación, seleccione ENTRAR.

  2. Ejecute el siguiente comando para revisar cuántas veces la directiva de AppLocker no permitió un archivo:

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics
    
  3. Ejecute el siguiente comando para revisar cuántas veces se permitió que un archivo se ejecutara o no se pudiera ejecutar:

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
    

Ver el Visor de eventos de inicio de sesión de AppLocker

Cuando la aplicación de directivas de AppLocker se establece en Aplicar reglas, se bloquean los archivos que no están permitidos por la directiva. En ese caso, se genera un evento en el registro de eventos de AppLocker para la colección de reglas. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, las reglas no se aplican, pero se siguen evaluándose para generar datos de eventos de auditoría que se escriben en los registros de AppLocker.

La pertenencia al grupo administradores local, o equivalente, es el mínimo necesario para completar este procedimiento.

Para ver eventos en el registro de AppLocker mediante Visor de eventos

  1. Para abrir Visor de eventos, vaya al menú Inicio, escriba eventvwr.msc y, a continuación, seleccione ENTRAR.
  2. En el árbol de consola en Registros de aplicaciones y servicios\Microsoft\Windows, haga doble clic en AppLocker.

Los eventos de AppLocker aparecen en el registro EXE y DLL , el registro msi y script , o en el registro empaquetado de implementación de aplicaciones o ejecución de aplicaciones empaquetadas . La información del evento incluye la configuración de cumplimiento, el nombre de archivo, la fecha y hora y el nombre de usuario. Los registros se pueden exportar a otros formatos de archivo para su posterior análisis.