Compartir a través de

Descripción de las reglas de AppLocker y la herencia de la configuración de aplicación de la directiva de grupo

En este artículo para profesionales de TI se describe cómo se aplican las directivas de control de aplicaciones configuradas en AppLocker a través de directiva de grupo.

La aplicación de reglas solo se aplica a colecciones de reglas, no a reglas individuales. Para obtener más información sobre las colecciones de reglas, consulta Colecciones de reglas de AppLocker.

directiva de grupo combina la directiva de AppLocker de dos maneras:

  • Reglas. directiva de grupo no sobrescribe ni reemplaza las reglas que ya están presentes en un objeto de directiva de grupo vinculado (GPO). Por ejemplo, si el GPO actual tiene 12 reglas y un GPO vinculado tiene 50 reglas, se aplican 62 reglas.

    Importante

    Al determinar si se permite ejecutar un archivo, AppLocker procesa las reglas en el orden siguiente:

    1. Denegación explícita. Un administrador creó una regla para denegar un archivo.
    2. Permitir explícitamente. Un administrador ha creado una regla para permitir un archivo.
    3. Denegación implícita. Se bloquean todos los archivos no cubiertos por una regla de permiso.

  • Configuración de cumplimiento. Se aplica la última escritura en la directiva. Por ejemplo, si un GPO de nivel superior tiene la configuración de cumplimiento configurada para Aplicar reglas y el GPO más cercano tiene la configuración configurada solo para Auditar, solo se aplica Auditar . Si el modo de cumplimiento no está configurado en el GPO más cercano, se aplica la configuración del GPO vinculado más cercano. Dado que la directiva efectiva de un equipo incluye reglas de cada GPO vinculado, se podrían aplicar reglas duplicadas o reglas en conflicto en el equipo de un usuario. Por lo tanto, debe planear cuidadosamente la implementación para asegurarse de que solo las reglas necesarias estén presentes en un GPO.

En la ilustración siguiente se muestra cómo se aplica la aplicación de reglas de AppLocker a través de GPO vinculados.

gráfico de herencia de cumplimiento de reglas de applocker.

En la ilustración anterior, todos los GPO vinculados a Contoso se aplican en orden según lo configurado. También se aplican las reglas que no están configuradas. Por ejemplo, el resultado de los GPO contoso y recursos humanos es 33 reglas aplicadas, como se muestra en el cliente HR-Term1. El GPO de recursos humanos contiene 10 reglas en las que la configuración del modo de cumplimiento "no está configurada". Cuando la colección de reglas está configurada solo para Auditar, no se aplican reglas.

Al construir la arquitectura de directiva de grupo para aplicar directivas de AppLocker, es importante recordar lo siguiente:

  • Se aplica cualquier colección de reglas con el modo de cumplimiento establecido como "no configurado".
  • directiva de grupo no sobrescribe ni reemplaza las reglas que ya están presentes en un GPO vinculado.
  • Las reglas de denegación de AppLocker siempre tienen prioridad sobre las reglas permitidas.
  • Para la aplicación de reglas, se aplica la última escritura en el GPO.