Trabajar con las reglas de AppLocker
En este artículo para profesionales de TI se describen los tipos de reglas de AppLocker y cómo trabajar con ellos para las directivas de control de aplicaciones.
Colecciones de reglas
Las directivas de AppLocker se organizan en colecciones de reglas, incluidos archivos ejecutables, scripts, archivos de Windows Installer, aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas y archivos DLL. Estas colecciones proporcionan una manera sencilla de diferenciar las reglas de los distintos tipos de aplicaciones. En la tabla siguiente se enumeran los formatos de archivo que se incluyen en cada colección de reglas.
Colección de reglas | Formatos de archivo asociados |
---|---|
Archivos ejecutables | .exe .com |
Scripts | .ps1 .bat .cmd .vbs .js |
Archivos de Windows Installer | .msi .msp .mst |
Aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas | .appx |
Dll | .dll .ocx |
Nota
Las reglas de AppLocker para archivos ejecutables se aplican realmente a todos los archivos ejecutables portátiles (PE), independientemente de la extensión del archivo que los atacantes puedan cambiar fácilmente. La información de extensión de archivo que aparece en la tabla anterior para los archivos ejecutables solo es ilustrativa.
La colección de reglas DLL no está habilitada de forma predeterminada. Para obtener información sobre cómo habilitar la colección de reglas DLL, consulte Colecciones de reglas DLL.
Importante
Si usa reglas DLL, debe crear una regla de permiso que cubra todos los archivos DLL usados por todas las aplicaciones permitidas.
Cuando se usan reglas DLL, AppLocker debe comprobar cada archivo DLL que carga una aplicación. Por lo tanto, los usuarios pueden experimentar una reducción del rendimiento si se usan reglas DLL. Sin embargo, este impacto en el rendimiento suele ser imperceptible a menos que un dispositivo ya tenga recursos restringidos.
Modos de cumplimiento
Las directivas de AppLocker establecen un modo de cumplimiento para cada colección de reglas incluida en la directiva. Estos modos de cumplimiento se describen en la tabla siguiente.
Modo de aplicación | Descripción |
---|---|
No configurado | A pesar del nombre, este modo de cumplimiento no significa que se ignoren las reglas. Por el contrario, si existe alguna regla en una colección de reglas que "no está configurada", las reglas se aplicarán a menos que una directiva con mayor prioridad cambie el modo de cumplimiento a Solo auditoría. Dado que este modo de cumplimiento puede resultar confuso para los autores de directivas, debe evitar usar este valor en las directivas de AppLocker. En su lugar, debe elegir explícitamente entre las dos opciones restantes. |
Aplicar reglas | Se aplican las reglas. Cuando un usuario ejecuta una aplicación afectada por una regla de AppLocker, el binario de la aplicación se bloquea. La información sobre el binario se agrega al registro de eventos de AppLocker. |
Solo auditoría | Las reglas se auditan pero no se aplican. Cuando un usuario ejecuta una aplicación afectada por una regla de AppLocker, el binario de la aplicación puede ejecutarse. Sin embargo, la información sobre el binario se agrega al registro de eventos de AppLocker. El modo de cumplimiento solo de auditoría le ayuda a identificar las aplicaciones afectadas por la directiva antes de que se aplique la directiva. |
Cuando se combinan las directivas de AppLocker, las reglas de todas las directivas se agregan a la directiva efectiva y se selecciona un modo de aplicación único para cada colección de reglas. Si se aplican varias directivas de AppLocker a un dispositivo a través de directiva de grupo, la configuración del modo de cumplimiento aplicada se selecciona en función de directiva de grupo precedencia. Si aplica una directiva de AppLocker localmente mediante el cmdlet de PowerShell Set-AppLockerPolicy con la opción -merge , se elige el modo de cumplimiento más restrictivo entre la directiva local existente y la directiva que se va a combinar.
Condiciones de regla
Las condiciones de regla son criterios que ayudan a AppLocker a identificar las aplicaciones a las que se aplica la regla. Las tres condiciones de regla principales son el publicador, la ruta de acceso y el hash de archivo.
- Publicador: identifica una aplicación en función de su firma digital
- Ruta de acceso: identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red
- Hash de archivo: representa el hash criptográfico calculado del sistema Authenticode del archivo identificado.
Publicador
Esta condición identifica una aplicación en función de su firma digital y atributos extendidos cuando está disponible. La firma digital contiene información sobre la empresa que creó la aplicación (el publicador). Los archivos ejecutables, los archivos dll, los instaladores de Windows, las aplicaciones empaquetadas y los instaladores de aplicaciones empaquetadas también incluyen atributos extendidos, que se obtienen del recurso binario. Estos atributos suelen incluir el nombre del producto, el nombre de archivo original y el número de versión del archivo tal como lo define el publicador. Si hay aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas, estos atributos extendidos contienen el nombre y la versión del paquete de la aplicación.
Nota
Las reglas creadas en las aplicaciones empaquetadas y la colección de reglas de instaladores de aplicaciones empaquetadas solo pueden tener condiciones de publicador, ya que Windows no admite aplicaciones empaquetadas sin firmar ni instaladores de aplicaciones empaquetadas.
Use una condición de regla de publicador siempre que sea posible porque son más resistentes a las actualizaciones de la aplicación, así como un cambio en la ubicación de los archivos.
Al seleccionar un archivo de referencia para una condición de publicador, el asistente crea una regla que especifica el publicador, el producto, el nombre de archivo y el número de versión. Para que la regla sea más genérica, mueva hacia arriba el control deslizante o use un carácter comodín (*) en los campos producto, nombre de archivo o número de versión.
Nota
Para especificar valores personalizados para cualquiera de los campos de una condición de regla de publicador en el Asistente para crear reglas, debe activar la casilla Usar valores personalizados . Cuando se activa esta casilla, no se puede usar el control deslizante.
La versión de archivo y la versión del paquete controlan si un usuario puede ejecutar una versión específica, versiones anteriores o versiones posteriores de la aplicación. Puede elegir un número de versión y, a continuación, configurar las siguientes opciones:
- Exactamente. La regla solo se aplica a esta versión de la aplicación.
- Y encima. La regla se aplica a esta versión y a todas las versiones posteriores.
- Y a continuación. La regla se aplica a esta versión y a todas las versiones anteriores.
En la tabla siguiente se describe cómo se aplica una condición de publicador.
Opción | La condición del publicador permite o deniega... |
---|---|
Todos los archivos firmados | Todos los archivos firmados por cualquier editor. |
Solo editor | Todos los archivos firmados por el editor con nombre. |
Nombre del publicador y del producto | Todos los archivos del producto especificado firmados por el publicador con nombre. |
Nombre del publicador y del producto, y nombre de archivo | Cualquier versión del archivo o paquete con nombre para el producto con nombre firmado por el publicador. |
Publicador, nombre del producto, nombre de archivo y versión del archivo |
Exactamente La versión especificada del archivo o paquete con nombre para el producto con nombre firmado por el publicador. |
Publicador, nombre del producto, nombre de archivo y versión del archivo |
Y encima La versión especificada del archivo o paquete con nombre y las nuevas versiones del producto firmadas por el publicador. |
Publicador, nombre del producto, nombre de archivo y versión del archivo |
Y a continuación La versión especificada del archivo o paquete con nombre y cualquier versión anterior del producto firmada por el publicador. |
Personalizados | Puede editar los campos Publicador, Nombre del producto, Nombre de archivo, Nombre del paquete de versión y Versión del paquete para crear una regla personalizada. |
Ruta de acceso
Esta condición de regla identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red.
AppLocker usa variables de ruta de acceso personalizadas para rutas de acceso conocidas, como Archivos de programa y Windows.
En la tabla siguiente se detallan estas variables de ruta de acceso.
Directorio o disco de Windows | Variable de ruta de acceso de AppLocker | Variable de entorno de Windows |
---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 y SysWOW64 | %SYSTEM32% | %SystemDirectory% |
Directorio de instalación de Windows | %OSDRIVE% | %SystemDrive% |
Archivos de programa | %PROGRAMFILES% | %ProgramFiles% y %ProgramFiles(x86)% |
Medios extraíbles (por ejemplo, un CD o DVD) | %REMOVABLE% | |
Dispositivo de almacenamiento extraíble (por ejemplo, una unidad flash USB) | %HOT% |
Importante
Dado que se puede configurar una condición de regla de ruta de acceso para incluir un gran número de carpetas y archivos, las condiciones de ruta de acceso deben planearse cuidadosamente. Por ejemplo, si una regla de ruta de acceso incluye una ubicación de carpeta que permite a los no administradores escribir datos, un usuario (o malware que se ejecuta como usuario estándar) puede copiar archivos no aprobados en esa ubicación y ejecutar los archivos. Por este motivo, debe evitar la creación de condiciones de ruta de acceso para las ubicaciones de escritura estándar del usuario, como un perfil de usuario.
Hash de archivo
Al elegir la condición de regla hash de archivo, el sistema calcula el hash criptográfico Authenticode del archivo identificado. La ventaja de esta condición de regla es que, dado que cada archivo tiene un hash único, una condición de regla hash de archivo solo se aplica a un archivo. La desventaja es que cada vez que se actualiza el archivo (por ejemplo, una actualización o actualización de seguridad) cambia el hash del archivo. Como resultado, debe actualizar manualmente las reglas hash de archivo.
Reglas predeterminadas de AppLocker
Las directivas de AppLocker creadas con el editor de directiva de grupo de AppLocker pueden incluir reglas predeterminadas. Las reglas predeterminadas están diseñadas para ayudar a garantizar que los archivos necesarios para que Windows funcione correctamente se permiten en una colección de reglas de AppLocker. Para obtener información general, consulte Descripción de las reglas predeterminadas de AppLocker y, para obtener pasos, consulte Creación de reglas predeterminadas de AppLocker.
Entre los tipos de regla predeterminados ejecutables se incluyen:
- Permitir que los miembros del grupo administradores locales ejecuten todas las aplicaciones.
- Permitir que los miembros del grupo Todos ejecuten aplicaciones que se encuentran en la carpeta Windows.
- Permitir que los miembros del grupo Todos ejecuten aplicaciones que se encuentran en la carpeta Archivos de programa.
Entre los tipos de regla predeterminados de script se incluyen:
- Permitir que los miembros del grupo administradores locales ejecuten todos los scripts.
- Permitir que los miembros del grupo Todos ejecuten scripts que se encuentran en la carpeta Archivos de programa.
- Permitir que los miembros del grupo Todos ejecuten scripts que se encuentran en la carpeta Windows.
Los tipos de regla predeterminados de Windows Installer incluyen:
- Permitir que los miembros del grupo administradores locales ejecuten todos los archivos de Windows Installer.
- Permitir que los miembros del grupo Todos ejecuten todos los archivos de Windows Installer firmados digitalmente.
- Permitir que los miembros del grupo Todos ejecuten todos los archivos de Windows Installer que se encuentran en la carpeta Windows\Installer.
Tipos de regla predeterminados de DLL:
- Permitir que los miembros del grupo administradores locales ejecuten todos los archivos DLL.
- Permitir que los miembros del grupo Todos ejecuten archivos DLL que se encuentran en la carpeta Archivos de programa.
- Permitir que los miembros del grupo Todos ejecuten archivos DLL que se encuentran en la carpeta Windows.
Tipos de reglas predeterminadas de aplicaciones empaquetadas:
- Permitir que los miembros del grupo Todos instalen y ejecuten todas las aplicaciones empaquetadas firmadas y los instaladores de aplicaciones empaquetadas.
Comportamiento de la regla de AppLocker
Si no se define ninguna regla de AppLocker para una colección de reglas específica, todos los archivos cubiertos por esa colección de reglas pueden ejecutarse. Sin embargo, si existe alguna regla para una colección de reglas específica, solo se ejecutan los archivos que coincidan con al menos una regla permitida y no coincidan con ninguna regla de denegación. Por ejemplo, si crea una regla ejecutable que permite ejecutar .exe archivos en %SystemDrive%\FilePath , solo se pueden ejecutar los archivos ejecutables ubicados en esa ruta de acceso.
Se puede configurar una regla para usar acciones de permitir o denegar:
- Permitir. Puede especificar qué archivos se pueden ejecutar en su entorno y para qué usuarios o grupos de usuarios. También puede configurar excepciones para identificar los archivos que se excluyen de la regla.
- Negar. Puede especificar qué archivos no se pueden ejecutar en su entorno y para qué usuarios o grupos de usuarios. También puede configurar excepciones para identificar los archivos que se excluyen de la regla.
Para obtener un procedimiento recomendado, use permitir acciones con excepciones. Aunque puede usar una combinación de acciones permitir y denegar, las acciones de denegación siempre ganan. No puede usar ninguna otra regla para permitir un archivo que coincida con una regla de denegación.
Excepciones de regla
Puede aplicar reglas de AppLocker a usuarios individuales o a un grupo de usuarios. Si aplica una regla a un grupo de usuarios, la regla afecta a todos los usuarios de ese grupo. Si necesita permitir que un subconjunto de un grupo de usuarios use una aplicación, puede crear una regla especial para ese subconjunto. Por ejemplo, la regla "Permitir que todos ejecuten Windows excepto el Registro Editor" permite que todos los usuarios de la organización ejecuten el sistema operativo Windows, pero no permite que nadie ejecute Editor del Registro.
El efecto de esta regla impediría que usuarios como el personal del departamento de soporte técnico ejecuten un programa necesario para sus tareas de soporte técnico. Para resolver este problema, cree una segunda regla que se aplique al grupo de usuarios del Departamento de soporte técnico: "Permitir que el departamento de soporte técnico ejecute Editor del Registro". Si en su lugar usó una regla de denegación que impide que todos los usuarios ejecuten Editor del Registro, la segunda regla no permitirá realmente que los usuarios del departamento de soporte técnico ejecuten Editor del Registro.
Colección de reglas DLL
Dado que la colección de reglas DLL no está habilitada de forma predeterminada, debe realizar el procedimiento siguiente para poder crear y aplicar reglas DLL.
La pertenencia al grupo administradores local, o equivalente, es el mínimo necesario para completar este procedimiento.
Para habilitar la colección de reglas DLL
- Seleccione Inicio, escriba secpol.msc y, a continuación, seleccione ENTRAR.
- Si aparece el cuadro de diálogo Control de cuentas de usuario , confirme que la acción que muestra es la que quiere y, a continuación, seleccione Sí.
- En el árbol de consola, haga doble clic en Directivas de control de aplicaciones, haga clic con el botón derecho en AppLocker y, a continuación, seleccione Propiedades.
- Seleccione la pestaña Avanzadas , active la casilla Habilitar la colección de reglas DLL y, a continuación, seleccione Aceptar.
Importante
Antes de aplicar las reglas DLL, asegúrese de que hay reglas de permiso para cada archivo DLL que necesitan todas las aplicaciones permitidas.
Asistentes de AppLocker
Puede crear reglas mediante dos asistentes de AppLocker:
- El Asistente para crear reglas le permite crear una regla a la vez.
- El Asistente para generar reglas automáticamente permite crear varias reglas a la vez. Puede seleccionar una carpeta y permitir que el asistente cree reglas para los archivos pertinentes encontrados. O bien, para las aplicaciones empaquetadas, deje que el asistente cree reglas para todas las aplicaciones empaquetadas instaladas en el equipo. También puede especificar el usuario o grupo al que aplicar las reglas. Este asistente genera automáticamente solo reglas de permiso.
Otras consideraciones
- De forma predeterminada, las reglas de AppLocker no permiten a los usuarios abrir ni ejecutar archivos que no estén permitidos. Los administradores deben mantener una lista actualizada de las aplicaciones permitidas.
- Hay dos tipos de condiciones de AppLocker que no persisten después de una actualización de una aplicación:
- Una condición hash de archivo Las condiciones de regla hash de archivo se pueden usar con cualquier aplicación porque se genera un valor hash criptográfico del archivo de aplicación en el momento en que se crea la regla. Sin embargo, el valor hash es específico de esa versión exacta del archivo. Si necesita permitir varias versiones del archivo, necesita condiciones hash de archivo individuales para cada versión del archivo.
- Una condición de publicador con un conjunto de versiones de producto específico Si crea una condición de regla de publicador que usa la opción Versión exacta , la regla no puede conservarse si se instala una nueva versión de la aplicación. Se debe crear una nueva condición de publicador o la versión debe editarse en la regla para que sea menos específica.
- Si una aplicación no está firmada digitalmente, no puede usar una condición de regla de publicador para esa aplicación.
- Si se aplican reglas para la colección de reglas EXE, debe crear reglas en las aplicaciones empaquetadas y en la colección de reglas de instaladores de aplicaciones empaquetadas. De lo contrario, se bloquean todas las aplicaciones empaquetadas y los instaladores de aplicaciones empaquetadas.
- Se puede incluir una dirección URL configurada personalizada en el mensaje que se muestra cuando se bloquea una aplicación.
- Espere un aumento en el número de llamadas del Departamento de soporte técnico cuando los usuarios encuentren aplicaciones que no están permitidas.
En esta sección
Artículo | Descripción |
---|---|
Crear una regla que use una condición hash de archivo | En este artículo para profesionales de TI se muestra cómo crear una regla de AppLocker con una condición hash de archivo. |
Crear una regla que use una condición de ruta de acceso | En este artículo para profesionales de TI se muestra cómo crear una regla de AppLocker con una condición de ruta de acceso. |
Crear una regla que use una condición del editor | En este artículo para profesionales de TI se muestra cómo crear una regla de AppLocker con una condición de publicador. |
Crear reglas predeterminadas de AppLocker | En este artículo para profesionales de TI se describen los pasos para crear un conjunto estándar de reglas de AppLocker que permiten la ejecución de archivos del sistema de Windows. |
Agregar excepciones a una regla de AppLocker | En este artículo para profesionales de TI se describen los pasos para especificar qué aplicaciones pueden o no ejecutarse como excepciones a una regla de AppLocker. |
Crear una regla para aplicaciones empaquetadas | En este artículo para profesionales de TI se muestra cómo crear una regla de AppLocker para aplicaciones empaquetadas con una condición de publicador. |
Eliminar una regla de AppLocker | En este artículo para profesionales de TI se describen los pasos para eliminar una regla de AppLocker. |
Editar reglas de AppLocker | En este artículo para profesionales de TI se describen los pasos para editar una regla de publicador, una regla de ruta de acceso y una regla hash de archivo en AppLocker. |
Habilitar la colección de reglas de DLL | En este artículo para profesionales de TI se describen los pasos para habilitar la característica de recopilación de reglas DLL para AppLocker. |
Aplicar reglas de AppLocker | En este artículo para profesionales de TI se describe cómo aplicar reglas de control de aplicaciones mediante AppLocker. |
Ejecutar el Asistente para generar reglas automáticamente | En este artículo para profesionales de TI se describen los pasos para ejecutar el asistente para crear reglas de AppLocker en un dispositivo de referencia. |