Descripción de los tipos de condición de reglas de AppLocker
Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
En este tema para profesionales de TI se describen los tres tipos de condiciones de reglas de AppLocker.
Las condiciones de reglas son criterios en los que se basa la regla de AppLocker. Las condiciones principales son necesarias para crear una regla de AppLocker. Las tres condiciones de reglas principales son el publicador, la ruta de acceso y el hash de archivo.
Publicador
Para usar una condición de publicador, los archivos deben estar firmados digitalmente por el fabricante del software, o debe hacerlo mediante un certificado interno. Es posible que las reglas que se especifican en el nivel de versión tengan que actualizarse cuando se lance una nueva versión del archivo. Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de publicador de AppLocker.
Ruta
Esta condición de regla puede asignarse a cualquier archivo; sin embargo, dado que las reglas de ruta de acceso especifican ubicaciones dentro del sistema de archivos, cualquier subdirectorio también se verá afectado por la regla (a menos que se excluya explícitamente). Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de ruta de acceso de AppLocker.
Hash de archivo
Esta condición de regla puede asignarse a cualquier archivo; sin embargo, la regla debe actualizarse cada vez que se lance una nueva versión del archivo, porque el valor hash es único para esa versión del archivo. Para obtener más información acerca de esta condición de regla, consulte Descripción de la condición de regla de hash de archivo de AppLocker.
Consideraciones
Seleccionar la condición adecuada para cada regla depende de los objetivos de directivas de control de aplicaciones generales de la organización, los objetivos de mantenimiento de reglas de AppLocker y de la condición de la implementación de aplicaciones existentes (o planeadas). Las siguientes preguntas pueden ayudarle a decidir qué condición de regla usar.
¿Está el archivo firmado digitalmente por un editor de software?
Si el archivo está firmado por un editor de software, se recomienda crear reglas con condiciones de publicador. Todavía puede crear archivo condiciones de hash y de ruta de acceso para los archivos firmados. Sin embargo, si el archivo no está firmado digitalmente por un editor de software, puede:
Firmar el archivo con un certificado interno.
Crear una regla mediante una condición de hash de archivo.
Crear una regla mediante una condición de ruta de acceso.
Nota
Para determinar cuántas aplicaciones de un equipo de referencia están firmadas digitalmente, puede usar el cmdlet de Windows PowerShell Get-AppLockerFileInformation para un directorio de archivos. Por ejemplo, Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse muestra las propiedades de todos los archivos .exe y .com dentro del directorio de Windows.
¿Qué tipo de condición de regla prefiere su organización?
Si su organización ya está usando las directivas de restricción de software (SRP) para restringir qué archivos pueden ejecutar los usuarios, es posible que ya estén disponibles reglas con condiciones de ruta de acceso o hash de archivo.
Nota
Para obtener una lista de las versiones y ediciones del sistema operativo compatibles a las que se pueden aplicar reglas de SRP y AppLocker, consulte Requisitos para utilizar AppLocker.