Descripción de las decisiones de diseño de la directiva de AppLocker
En este artículo se describen las preguntas de diseño de AppLocker, las posibles respuestas y otras consideraciones al planear una implementación de directivas de control de aplicaciones mediante AppLocker.
Al comenzar el proceso de diseño y planeamiento, debe tener en cuenta el efecto de las opciones de diseño. Las decisiones resultantes afectan al esquema de implementación de directivas y al mantenimiento posterior de la directiva de control de aplicaciones.
Debe considerar el uso de AppLocker como parte de las directivas de control de aplicaciones de su organización si se cumplen todas las siguientes condiciones:
- Está ejecutando versiones compatibles de Windows en su organización. Para conocer los requisitos específicos de la versión del sistema operativo, consulte Requisitos para usar AppLocker.
- Necesita un control mejorado sobre el acceso a las aplicaciones de la organización.
- El número de aplicaciones de su organización es conocido y administrable.
- Tiene recursos para probar las directivas en función de los requisitos de la organización.
- Tiene recursos para implicar al Departamento de soporte técnico o para crear un proceso de autoayuda para problemas de acceso a aplicaciones de usuario final.
Las siguientes son algunas preguntas que debe tener en cuenta al implementar directivas de control de aplicaciones (según corresponda para el entorno de destino).
¿Qué aplicaciones necesita controlar en su organización?
Es posible que tenga que controlar un número limitado de aplicaciones porque acceden a datos confidenciales o solo quiere permitir aplicaciones aprobadas con fines empresariales. Es posible que haya determinados grupos empresariales que requieran un control estricto y otros que promuevan el uso de aplicaciones independientes.
Posibles respuestas | Consideraciones de diseño |
---|---|
Controlar todas las aplicaciones | Las directivas de AppLocker controlan las aplicaciones mediante la creación de una lista permitida de aplicaciones por tipo de archivo. También son posibles excepciones. Las directivas de AppLocker solo se pueden aplicar a las aplicaciones instaladas en equipos que ejecutan una de las versiones compatibles de Windows. |
Controlar aplicaciones específicas | Al crear reglas de AppLocker, se crea una lista de aplicaciones permitidas. Todas las aplicaciones de esa lista pueden ejecutarse (excepto las aplicaciones de la lista de excepciones). Las aplicaciones que no están en la lista están bloqueadas para que no se ejecuten. Las directivas de AppLocker solo se pueden aplicar a las aplicaciones instaladas en equipos que ejecutan cualquiera de las versiones compatibles de Windows. |
Controlar solo las aplicaciones clásicas de Windows, solo las aplicaciones empaquetadas o ambas | Las directivas de AppLocker controlan las aplicaciones mediante la creación de una lista permitida de aplicaciones por tipo de archivo. Dado que las aplicaciones empaquetadas se clasifican en la condición De publicador, las aplicaciones clásicas de Windows y las aplicaciones empaquetadas se pueden controlar conjuntamente. Las reglas que tiene actualmente para las aplicaciones clásicas de Windows pueden permanecer y puede crear otras nuevas para aplicaciones empaquetadas. Para ver una comparación de las aplicaciones clásicas de Windows y las aplicaciones empaquetadas, consulte Comparación de aplicaciones clásicas de Windows y aplicaciones empaquetadas para decisiones de diseño de directivas de AppLocker en este artículo. |
Control de aplicaciones por grupo de negocios y usuario | Las directivas de AppLocker se pueden aplicar a través de un objeto de directiva de grupo (GPO) a objetos de equipo dentro de una unidad organizativa (UO). Las reglas individuales de AppLocker se pueden aplicar a usuarios individuales o a grupos de usuarios. |
Controlar aplicaciones por equipo, no por usuario | AppLocker es una implementación de directiva basada en equipos. Si la estructura organizativa del dominio o sitio no se basa en una estructura de usuario lógica, como una unidad organizativa, es posible que quiera configurar esa estructura antes de comenzar el planeamiento de AppLocker. De lo contrario, debe identificar a los usuarios, sus equipos y sus requisitos de acceso a la aplicación. |
Comprender el uso de la aplicación, pero aún no es necesario controlar ninguna aplicación. | Las directivas de AppLocker se pueden establecer para auditar el uso de la aplicación para ayudarle a realizar un seguimiento de las aplicaciones que se usan en su organización. Después, puede usar el registro de eventos de AppLocker para crear directivas de AppLocker. |
Nota
Las reglas de AppLocker permiten o impiden que se inicie una aplicación o un archivo binario. AppLocker no controla el comportamiento de las aplicaciones después de iniciarlas. Para obtener más información, consulta Consideraciones de seguridad para AppLocker.
Comparación de aplicaciones clásicas de Windows y aplicaciones empaquetadas para decisiones de diseño de directivas de AppLocker
Las directivas de AppLocker para aplicaciones empaquetadas solo se pueden aplicar a las aplicaciones instaladas en equipos que ejecutan sistemas operativos Windows que admiten aplicaciones de Microsoft Store. Sin embargo, las aplicaciones clásicas de Windows se pueden controlar en Windows Server 2008 R2 y Windows 7, además de los equipos que admiten aplicaciones empaquetadas. Las reglas para las aplicaciones clásicas de Windows y las aplicaciones empaquetadas se pueden aplicar juntas. Las diferencias que debe tener en cuenta para las aplicaciones empaquetadas son:
- Los usuarios estándar pueden instalar aplicaciones empaquetadas, mientras que muchas aplicaciones clásicas de Windows requieren credenciales administrativas para instalarlas. Por lo tanto, en un entorno donde la mayoría de los usuarios son usuarios estándar, es posible que no necesite numerosas reglas exe, pero es posible que desee directivas más explícitas para aplicaciones empaquetadas.
- Las aplicaciones clásicas de Windows se pueden escribir para cambiar el estado del sistema si se ejecutan con credenciales administrativas. La mayoría de las aplicaciones empaquetadas no pueden cambiar el estado del sistema porque se ejecutan con permisos limitados. Al diseñar las directivas de AppLocker, es importante saber si una aplicación que permite puede realizar cambios en todo el sistema.
- Las aplicaciones empaquetadas se pueden adquirir a través de la Tienda o se pueden cargar en paralelo mediante cmdlets de Windows PowerShell. Si usa cmdlets de Windows PowerShell, se requiere una licencia enterprise especial para adquirir aplicaciones empaquetadas. Las aplicaciones clásicas de Windows se pueden adquirir a través de medios tradicionales, como a través de proveedores de software o distribución minorista.
AppLocker controla las aplicaciones empaquetadas y las aplicaciones clásicas de Windows mediante distintas colecciones de reglas. Tienes la opción de controlar aplicaciones empaquetadas, aplicaciones clásicas de Windows o ambas.
Para obtener más información, consulta Aplicaciones empaquetadas y reglas de instalador de aplicaciones empaquetadas en AppLocker.
Uso de AppLocker para controlar scripts
La aplicación de scripts de AppLocker implica un protocolo de enlace entre un host de script iluminado, como PowerShell y AppLocker. Sin embargo, el host de script controla el comportamiento de cumplimiento real. La mayoría de los hosts de script preguntan primero a AppLocker si se debe permitir la ejecución de un script en función de las directivas de AppLocker actualmente activas. A continuación, el host de script bloquea, permite o cambia la forma en que se ejecuta el script para proteger mejor al usuario y al dispositivo.
AppLocker usa el registro de eventos AppLocker: MSI y Script para todos los eventos de cumplimiento de scripts. Cada vez que un host de script pregunta a AppLocker si se debe permitir un script, se registra un evento con la respuesta que AppLocker devuelve al host de script.
Nota
Cuando se ejecuta un script que no está permitido por la directiva, AppLocker genera un evento que indica que el script se ha "bloqueado". Sin embargo, el host de script controla el comportamiento real de la aplicación de scripts y es posible que no bloquee completamente la ejecución del archivo.
La aplicación de scripts de AppLocker solo puede controlar VBScript, JScript, archivos .bat, archivos .cmd y scripts de Windows PowerShell. No controla todo el código interpretado que se ejecuta dentro de un proceso host, por ejemplo, scripts y macros de Perl. El código interpretado es una forma de código ejecutable que se ejecuta dentro de un proceso host. Por ejemplo, los archivos por lotes de Windows (*.bat) se ejecutan en el contexto del host de comandos de Windows (cmd.exe). Para usar AppLocker para controlar el código interpretado, el proceso de host debe llamar a AppLocker antes de ejecutar el código interpretado y, a continuación, aplicar la decisión desde AppLocker. No todos los procesos host llaman a AppLocker. Por lo tanto, AppLocker no puede controlar todos los tipos de código interpretado, por ejemplo, macros de Microsoft Office.
Importante
Debe configurar los valores de seguridad adecuados de estos procesos de host si debe permitir que se ejecuten. Por ejemplo, configure las opciones de seguridad en Microsoft Office para asegurarse de que solo se cargan macros firmadas y de confianza.
¿Cómo controla actualmente el uso de la aplicación en su organización?
La mayoría de las organizaciones evolucionan sus directivas y métodos de control de aplicaciones con el tiempo. AppLocker es mejor en organizaciones con procesos de implementación y aprobación de aplicaciones bien administrados.
Posibles respuestas | Consideraciones de diseño |
---|---|
Directivas de seguridad (establecidas localmente o a través de directiva de grupo) | El uso de AppLocker requiere un mayor esfuerzo en la planeación de crear directivas correctas, pero esta creación de directivas da como resultado un método de distribución más sencillo. |
Software de control de aplicaciones que no son de Microsoft | El uso de AppLocker requiere una evaluación e implementación completa de la directiva de control de aplicaciones. |
Uso administrado por grupo o unidad organizativa | El uso de AppLocker requiere una evaluación e implementación completa de la directiva de control de aplicaciones. |
Administrador de autorización u otras tecnologías de acceso basadas en roles | El uso de AppLocker requiere una evaluación e implementación completa de la directiva de control de aplicaciones. |
Otros | El uso de AppLocker requiere una evaluación e implementación completa de la directiva de control de aplicaciones. |
¿Hay grupos específicos en su organización que necesiten directivas de control de aplicaciones personalizadas?
La mayoría de los grupos de negocios o departamentos tienen requisitos de seguridad específicos relacionados con el acceso a los datos y las aplicaciones que se usan para acceder a esos datos. Debe tener en cuenta el ámbito del proyecto para cada grupo y las prioridades del grupo antes de implementar directivas de control de aplicaciones para toda la organización.
Posibles respuestas | Consideraciones de diseño |
---|---|
Sí | Para cada grupo, debe crear una lista que incluya sus requisitos de control de aplicaciones. Aunque esta consideración puede aumentar el tiempo de planeación, a menudo resulta en una implementación más eficaz. Si la estructura de GPO no coincide con los grupos organizativos, puede aplicar reglas de AppLocker a grupos de usuarios específicos. |
No | Las directivas de AppLocker se pueden aplicar globalmente a las aplicaciones instaladas. En función del número de aplicaciones que necesite controlar, la administración de todas las reglas y excepciones podría ser un desafío. |
¿El departamento de TI tiene recursos para analizar el uso de aplicaciones y diseñar y administrar las directivas?
El tiempo y los recursos disponibles para realizar la investigación y el análisis pueden afectar al detalle del plan y los procesos para continuar con la administración y el mantenimiento de directivas.
Posibles respuestas | Consideraciones de diseño |
---|---|
Sí | Invierta el tiempo necesario para analizar los requisitos de control de aplicaciones de su organización y planear una implementación completa que use las reglas que se construyen lo más posible. |
No | Considere la posibilidad de una implementación centrada y por fases para grupos específicos mediante algunas reglas. A medida que aplique controles a las aplicaciones de un grupo específico, aprenda de esa implementación para planear la siguiente implementación. |
¿Su organización tiene soporte técnico del departamento de soporte técnico?
Cuando se impide que los usuarios accedan a las aplicaciones, se produce un aumento en la compatibilidad con el usuario final, al menos inicialmente. Es necesario abordar los distintos problemas de soporte técnico de la organización para que se sigan las directivas de seguridad y no se entorpece el flujo de trabajo empresarial.
Posibles respuestas | Consideraciones de diseño |
---|---|
Sí | Implique al departamento de soporte técnico al principio de la fase de planeación porque es posible que a los usuarios se les bloquee el uso de sus aplicaciones o que busquen excepciones para usar aplicaciones específicas. |
No | Invierta tiempo en el desarrollo de procesos de soporte técnico en línea y documentación antes de la implementación. |
¿Sabe qué aplicaciones requieren directivas restrictivas?
Cualquier implementación correcta de la directiva de control de aplicaciones se basa en su conocimiento y comprensión del uso de la aplicación dentro de la organización o el grupo empresarial. Además, el diseño del control de aplicaciones depende de los requisitos de seguridad de los datos y de las aplicaciones que acceden a esos datos.
Posibles respuestas | Consideraciones de diseño |
---|---|
Sí | Debe determinar las prioridades de control de aplicaciones para un grupo de negocios y, a continuación, intentar diseñar el esquema más sencillo para sus directivas de control de aplicaciones. |
No | Debe realizar una auditoría y un proyecto de recopilación de requisitos para detectar el uso de la aplicación. AppLocker proporciona los medios para implementar directivas en modo solo auditoría y herramientas para ver los registros de eventos. |
¿Cómo implementa o aprueba aplicaciones (actualizadas o nuevas) en su organización?
La implementación de una directiva de control de aplicaciones correcta se basa en el conocimiento y la comprensión del uso de la aplicación dentro de la organización o el grupo empresarial. Además, el diseño del control de aplicaciones depende de los requisitos de seguridad de los datos y de las aplicaciones que acceden a esos datos. Comprender la directiva de actualización e implementación ayuda a dar forma a la construcción de las directivas de control de aplicaciones.
Posibles respuestas | Consideraciones de diseño |
---|---|
Imprevisto | Debe recopilar los requisitos de cada grupo. Es posible que algunos grupos quieran acceso o instalación sin restricciones, mientras que otros podrían querer controles estrictos. |
Directiva o directrices estrictas por escrito que se deben seguir | Debe desarrollar reglas de AppLocker que reflejen esas directivas y, a continuación, probar y mantener las reglas. |
No hay ningún proceso en su lugar | Debe determinar si tiene los recursos para desarrollar una directiva de control de aplicaciones y para qué grupos. |
¿Cuáles son las prioridades de su organización al implementar directivas de control de aplicaciones?
Algunas organizaciones se benefician de las directivas de control de aplicaciones, como se muestra en un aumento de la productividad o la conformidad, mientras que otras se ven obstaculizadas en el desempeño de sus tareas. Dé prioridad a estos aspectos para cada grupo para que pueda evaluar la eficacia de AppLocker.
Posibles respuestas | Consideraciones de diseño |
---|---|
Productividad: la organización garantiza que las herramientas funcionan y se pueden instalar las aplicaciones necesarias. | Para cumplir los objetivos de innovación y productividad, algunos grupos requieren la capacidad de instalar y ejecutar diversos softwares de diferentes fuentes, incluido el software que desarrollaron. Por lo tanto, si la innovación y la productividad son una prioridad alta, la administración de directivas de control de aplicaciones a través de una lista permitida puede llevar mucho tiempo y un obstáculo para el progreso. |
Administración: la organización conoce y controla las aplicaciones que admite. | En algunos grupos de negocios, el uso de aplicaciones se puede administrar desde un punto de control central. Las directivas de AppLocker se pueden integrar en un GPO para ese propósito. |
Seguridad: la organización debe proteger los datos en parte asegurándose de que solo se usan aplicaciones aprobadas. | AppLocker puede ayudar a proteger los datos al permitir que un conjunto definido de usuarios acceda a las aplicaciones que acceden a los datos. Si la seguridad es la prioridad principal, las directivas de control de aplicaciones pueden ser más restrictivas. |
¿Cómo se accede actualmente a las aplicaciones en su organización?
AppLocker es eficaz para organizaciones con administración de aplicaciones bien administrada con objetivos sencillos de directiva de control de aplicaciones. Por ejemplo, AppLocker puede beneficiarse de un entorno en el que ninguno de los usuarios tiene acceso a equipos conectados a la red de la organización, como una escuela o biblioteca.
Posibles respuestas | Consideraciones de diseño |
---|---|
Los usuarios se ejecutan sin derechos administrativos. | Las aplicaciones se instalan mediante una tecnología de implementación de instalación. |
AppLocker puede ayudar a reducir el costo total de propiedad de los grupos empresariales que suelen usar un conjunto finito de aplicaciones, como recursos humanos y departamentos financieros. Al mismo tiempo, estos departamentos acceden a información altamente confidencial, gran parte de la cual contiene información confidencial y de propiedad. Al usar AppLocker para crear reglas para aplicaciones específicas que pueden ejecutarse, puede ayudar a limitar el acceso de aplicaciones no autorizadas a esta información. Nota: AppLocker también puede ser eficaz para ayudar a crear escritorios estandarizados en organizaciones donde los usuarios se ejecutan como administradores. Sin embargo, es importante tener en cuenta que los usuarios con credenciales administrativas pueden agregar nuevas reglas a la directiva local de AppLocker. |
Los usuarios deben poder instalar las aplicaciones según sea necesario. |
Actualmente, los usuarios tienen acceso de administrador y sería difícil cambiar este privilegio. | La aplicación de reglas de AppLocker no es adecuada para grupos empresariales que deben poder instalar aplicaciones según sea necesario y sin la aprobación del departamento de TI. Si una o varias unidades organizativas de su organización tienen este requisito, puede optar por no aplicar reglas de aplicación en esas unidades organizativas mediante AppLocker o implementar la configuración Auditar solo la aplicación a través de AppLocker. |
¿La estructura de Servicios de dominio de Active Directory se basa en la jerarquía de la organización?
Diseñar directivas de control de aplicaciones basadas en una estructura organizativa que ya está integrada en Servicios de dominio de Active Directory (AD DS) es más fácil que convertir la estructura existente en una estructura organizativa. Dado que la eficacia de las directivas de control de aplicaciones depende de la capacidad de actualizar las directivas, tenga en cuenta qué trabajo organizativo debe realizarse antes de que comience la implementación.
Posibles respuestas | Consideraciones de diseño |
---|---|
Sí | Las reglas de AppLocker se pueden desarrollar e implementar a través de directiva de grupo, en función de la estructura de AD DS. |
No | El departamento de TI debe crear un esquema para identificar cómo se pueden aplicar las directivas de control de aplicaciones al usuario o equipo correcto. |
Registro de los resultados
El siguiente paso del proceso es registrar y analizar las respuestas a las preguntas anteriores. Si AppLocker es la solución adecuada para sus objetivos, puede establecer los objetivos de la directiva de control de aplicaciones y planear las reglas de AppLocker. Este proceso culmina en la creación del documento de planificación.