Descripción del comportamiento de las reglas de AppLocker
En este artículo se describe cómo se aplican las reglas de AppLocker mediante las opciones permitir y denegar de AppLocker.
Si no existe ninguna regla de AppLocker para una colección de reglas específica, todos los archivos cubiertos por esa colección de reglas pueden ejecutarse. Sin embargo, una vez creada una regla de AppLocker para una colección de reglas específica, solo se pueden ejecutar los archivos permitidos explícitamente por al menos una regla. Por ejemplo, si crea una regla ejecutable que permite ejecutar .exe archivos en %SystemDrive%\FilePath , solo se pueden ejecutar los archivos ejecutables ubicados en esa ruta de acceso. Los archivos ejecutables que se ejecutan desde cualquier otra ruta de acceso están bloqueados.
Se puede configurar una regla para usar una acción permitir o denegar:
- Permitir. Puede especificar qué archivos pueden ejecutarse en su entorno y para qué usuarios o grupos de usuarios. También puede configurar excepciones para identificar los archivos que se excluyen de la regla.
- Denegar. Puede especificar qué archivos no se pueden ejecutar en su entorno y para qué usuarios o grupos de usuarios. También puede configurar excepciones para identificar los archivos que se excluyen de la regla.
Importante
Puede usar una combinación de acciones allow y deny. Sin embargo, se recomienda usar las acciones allow con excepciones, ya que las acciones de denegación invalidan las acciones allow en todos los casos.