Compartir a través de


Descripción de las acciones de denegación y permiso de AppLocker en reglas

En este artículo se explican las diferencias entre las acciones allow y deny en las reglas de AppLocker.

Permitir acción frente a acción de denegación en reglas

Cada colección de reglas de AppLocker funciona como una lista de permitidos explícita de archivos. Solo puede ejecutar archivos cubiertos por una o varias reglas de permitidos dentro de la colección de reglas. También puede crear reglas que denieguen explícitamente la ejecución de algunos archivos. Todos los demás archivos no cubiertos por una regla explícita Permitir o Denegar se bloquean implícitamente para que se ejecuten. Comprender este bloque de forma predeterminada, permitir por comportamiento de excepción es fundamental al analizar cómo afecta la directiva a los usuarios de la organización.

Cuando AppLocker aplica reglas, comprueba primero si se especifica alguna acción de denegación explícita en la lista de reglas. Si se deniega la ejecución de un archivo en una colección de reglas, la acción de denegación tiene prioridad sobre cualquier acción de permitir y no se puede invalidar. A continuación, AppLocker comprueba si hay acciones de permitir explícitas para el archivo. Dado que AppLocker funciona como una lista de permitidos de forma predeterminada, si ninguna regla permite o deniega explícitamente la ejecución de un archivo, la acción de denegación predeterminada de AppLocker bloquea el archivo.

Uso de AppLocker para implementar una lista de bloqueos

Aunque puede usar AppLocker para crear una directiva de lista de bloqueo explícita, este enfoque no se escala bien para la mayoría de las organizaciones y no se recomienda como una estrategia práctica de control de aplicaciones. Sin embargo, si decide hacerlo, asegúrese de incluir una regla "allow *" en la colección de reglas para que se ejecuten todos los demás archivos.

Importante

Si no incluye reglas de permiso para todas las aplicaciones necesarias, incluidos los archivos del sistema de Windows, dentro de una colección de reglas, provocará resultados inesperados porque la directiva denegará implícitamente que se ejecuten todos los demás archivos del equipo.