Trabajar con reglas de AppLocker

 

Se aplica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="es-ES">Este tema describe los tipos de reglas de AppLocker y cómo trabajar con ellos para las directivas de control de la aplicación mediante Windows Server® 2012 y Windows® 8.ProcedimientosCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard En la siguiente tabla se describen los tres modos de cumplimiento de AppLocker. La configuración del modo de cumplimiento definida aquí puede sobrescribir la configuración derivada de un objeto de directiva de grupo (GPO) vinculado con una prioridad más alta.Modo de cumplimientoDescripciónNo configuradoSe trata de la configuración predeterminada, lo que significa que las reglas definidas aquí se aplicarán a menos que un GPO vinculado con una prioridad más alta tiene un valor diferente para esta opción.Aplicar reglasSe aplican las reglas.Solo auditoríaLas reglas se auditan pero no se aplican. Cuando un usuario ejecuta una aplicación que se ve afectada por una regla de AppLocker, puede ejecutar la aplicación y la información acerca de la aplicación se agrega al registro de eventos de AppLocker. El modo de cumplimiento de solo auditoría sirve para determinar cuáles son las aplicaciones que se verán afectadas por la directiva antes de que se aplique la directiva. Cuando se establece la directiva para una colección de reglas de AppLocker en Sólo auditoría, no se aplican las reglas para esa colección de reglasCuando se combinan directivas de AppLocker de distintos GPO, se combinan las reglas de todos los GPO y se aplica la configuración del modo de cumplimiento del GPO ganador.Para obtener información acerca de los objetos y la herencia de directiva de grupo, consulte la Guía de implementación y planeamiento de directivas de grupo https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Colecciones de reglasLa interfaz de usuario de AppLocker se tiene acceso a través de Microsoft Management Console (MMC), y se organiza en regla colecciones, que son archivos ejecutables, Scripts, archivos de Windows Installer, aplicaciones empaquetadas y empaqueta los instaladores de aplicaciones y archivos DLL. Estas colecciones permiten al administrador diferenciar fácilmente las reglas para los distintos tipos de aplicaciones. En la tabla siguiente se muestran los formatos de archivo que se incluyen en cada colección de reglas.Colección de reglasFormatos de archivo asociadosArchivos ejecutables.exe.comScripts.ps1.bat.cmd.vbs.jsArchivos de Windows Installer.msi.msp.mstAplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.appxArchivos DLL.dll.ocxSi usa reglas de DLL, debe crear una regla de permiso para cada DLL que usen todas las aplicaciones permitidas.Si se usan reglas de DLL, AppLocker debe comprobar cada DLL cargada por una aplicación. Por lo tanto, los usuarios pueden observar una reducción del rendimiento si se utilizan reglas de DLL.La colección de reglas de DLL no está habilitada de forma predeterminada. Para obtener información sobre cómo habilitar la colección de reglas DLL, consulte DLL rule collections.Condiciones de reglasLas condiciones de reglas son criterios que ayudan a AppLocker a identificar las aplicaciones a las cuales se aplica la regla. Las tres condiciones de reglas principales son el publicador, la ruta de acceso y el hash de archivo.Publisher: Identifica una aplicación basada en la firma digitalPath: Identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la redFile hash: Representa el hash criptográfico del archivo identificado que calcula el sistemaPublicadorEsta condición identifica una aplicación por su firma digital y sus atributos extendidos cuando está disponible. La firma digital contiene información sobre la compañía que creó la aplicación (el publicador). Aplicaciones empaquetan de archivos ejecutables, DLL, instaladores de Windows e instaladores de aplicaciones empaquetadas también tener atributos extendidos, que se obtienen del recurso binario. En el caso de archivos ejecutables, DLL e instaladores de Windows estos atributos contienen el nombre del producto que el archivo forma parte de, el nombre original del archivo tal como lo suministró el publicador y el número de versión del archivo. En el caso de aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas estos atributos extendidos contienen el nombre y la versión del paquete de aplicación.Crear reglas en las aplicaciones empaquetadas y colección de reglas de instaladores de aplicaciones empaquetadas sólo puede tener las condiciones de publicador, ya que Windows no es compatible con aplicaciones empaquetadas sin signo y empaqueta los instaladores de la aplicación.Utilice una condición de regla de publicador cuando sea posible porque pueden sobrevivir a las actualizaciones de aplicaciones, así como un cambio en la ubicación de archivos.Al seleccionar un archivo de referencia para una condición de publicador, el asistente crea una regla que especifica el publicador, el producto, el nombre de archivo y el número de versión. Para que la regla sea más genérica, mueva el control deslizante hacia arriba o use un carácter comodín (*) en los campos de producto, nombre de archivo o número de versión.Para especificar valores personalizados para cualquiera de los campos de una condición de regla de editor en el Asistente para crear reglas, active la casilla Usar valores personalizados. Cuando se selecciona esta casilla, no puede usar el control deslizante.Versión de archivo y Versión de paquete controlan si el usuario puede ejecutar una versión específica, versiones anteriores o versiones posteriores de la aplicación. Puede elegir un número de versión y, a continuación, configurar las siguientes opciones:Exacto. La regla solo se aplica a esta versión de la aplicación.Y superiores. La regla se aplica a esta versión y a todas las versiones posteriores.E inferiores. La regla se aplica a esta versión y a todas las versiones anteriores.En la tabla siguiente se describe cómo se aplica una condición de publicador.OpciónLa condición de publicador permite o deniega...Todos los archivos firmadosTodos los archivos que están firmados por cualquier editor.Solo editorTodos los archivos firmados por el publicador designado.Editor y nombre de productoTodos los archivos para el producto especificado que firma el publicador designado.Editor, nombre de producto y nombre de archivoCualquier versión del archivo o paquete designado para el producto designado firmado por el editor.Editor, nombre de producto, nombre de archivo y versión de archivoExactamenteLa versión especificada del archivo o paquete designado para el producto designado firmado por el editor.Editor, nombre de producto, nombre de archivo y versión de archivoY superioresLa versión especificada del archivo o paquete designado y cualquier versión nueva para el producto firmado por el editor.Editor, nombre de producto, nombre de archivo y versión de archivoE inferioresLa versión especificada del archivo o paquete designado y cualquier versión anterior para el producto firmado por el editor.PersonalizadoPuede editar la Publisher, nombre de producto, nombre de archivo, versiónnombre del paquete, y versión del paquete campos para crear una regla personalizada.RutaEsta condición de regla identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red.AppLocker usa variables de rutas de acceso personalizadas para rutas de acceso conocidas, como Archivos de programa y Windows.En la tabla siguiente se detallan estas variables de ruta de acceso.Disco o directorio de WindowsVariable de ruta de acceso de AppLockerVariable de entorno de WindowsWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Directorio de instalación de Windows%OSDRIVE%%SystemDrive%Archivos de programa%PROGRAMFILES%%ProgramFiles% y %ProgramFiles(x86)%Medios extraíbles (por ejemplo, un CD o DVD)%REMOVABLE%Dispositivo de almacenamiento extraíble (por ejemplo, una unidad flash USB)%HOT%Dado que las condiciones de reglas de ruta de acceso se pueden configurar para incluir un gran número de carpetas y archivos, es necesario planearlas detenidamente. Por ejemplo, si una regla de permiso con una condición de ruta de acceso incluye una ubicación de carpeta en la que los usuarios que no son administradores tienen permiso para escribir datos, un usuario puede copiar y ejecutar archivos no aprobados en dicha ubicación. Por este motivo, el procedimiento recomendado es no crear condiciones de ruta de acceso para ubicaciones de escritura de usuario estándar, como un perfil de usuario.Hash de archivoSi se elige la condición de regla de hash de archivo, el sistema calcula un hash criptográfico del archivo identificado. La ventaja de esta condición de regla es que, dado que cada archivo tiene un hash único, se aplica una condición de regla de hash de archivo a un archivo solamente. La desventaja es que cada vez que se carga un archivo (como una actualización de seguridad) cambiará el hash del archivo. Como resultado, debe actualizar las reglas de hash de archivo manualmente.Reglas predeterminadas de AppLockerAppLocker le permite generar reglas predeterminadas para cada colección de reglas.Los tipos de reglas predeterminadas de ejecutables incluyen:Permitir a los miembros del grupo Administradores local ejecutar todas las aplicaciones.Permitir a los miembros del grupo Todos ejecutar aplicaciones de la carpeta Windows.Permitir a los miembros del grupo Todos ejecutar aplicaciones de la carpeta Archivos de programa.Los tipos de reglas predeterminadas de script incluyen:Permitir a los miembros del grupo Administradores local ejecutar todos los scripts.Permitir a los miembros del grupo Todos ejecutar scripts de la carpeta Archivos de programa.Permitir a los miembros del grupo Todos ejecutar scripts de la carpeta Windows.Los tipos de reglas predeterminadas de Windows Installer incluyen:Permitir a los miembros del grupo Administradores local ejecutar todos los archivos de Windows Installer.Permitir a los miembros del grupo Todos ejecutar todos los archivos de Windows Installer firmados digitalmente.Permitir a los miembros del grupo Todos ejecutar todos los archivos de Windows Installer que están en la carpeta Windows\Installer.Tipos de reglas predeterminadas de DLL:Permitir a los miembros del grupo Administradores local ejecutar todas las DLL.Permitir a los miembros del grupo Todos ejecutar DLL de la carpeta Archivos de programa.Permitir a los miembros del grupo Todos ejecutar DLL de la carpeta Windows.Tipos de reglas de aplicaciones empaquetadas predeterminadas:Permitir a los miembros de la todos de grupo para instalar y ejecutar aplicaciones empaquetadas todos firmadas y empaqueta los instaladores de la aplicación.Comportamiento de las reglas de AppLockerSi no existe ninguna regla de AppLocker para una colección de reglas específica, se permite ejecutar todos los archivos con ese formato de archivo. Sin embargo, si se crea una regla de AppLocker para una colección de reglas específica, solo se permite ejecutar los archivos permitidos explícitamente en una regla. Por ejemplo, si crea una regla de ejecutable que permite ejecutar los archivos .exe de %SystemDrive%\FilePath, solo se permite la ejecución de los archivos ejecutables de dicha ruta de acceso.Se puede configurar una regla para usar acciones de permiso o denegación:Permitir. Puede especificar qué archivos se pueden ejecutar en el entorno y para qué usuarios o grupos de usuarios. Además, puede configurar excepciones para identificar los archivos excluidos de la regla.Denegar. Puede especificar qué archivos son no pueden ejecutar en su entorno y para qué usuarios o grupos de usuarios. Además, puede configurar excepciones para identificar los archivos excluidos de la regla.Una práctica recomendada, utilice acciones de permiso con excepciones. Puede utilizar una combinación de permitir y denegar acciones pero comprender que denegar acciones reemplaza permitir acciones en todos los casos y puede evitarse.Si se une a un equipo que ejecuta Windows Server 2012 o Windows 8 a un dominio que ya se aplica las reglas de AppLocker para archivos ejecutables, los usuarios no podrán ejecutar las aplicaciones empaquetadas a menos que también cree reglas para aplicaciones empaquetadas. Si desea permitir que las aplicaciones empaquetadas en su entorno Continuando el control de los archivos ejecutables, debe crear las reglas predeterminadas para aplicaciones empaquetadas y establecer el modo de cumplimiento en solo auditoría para las aplicaciones empaquetadas colección de reglas.Excepciones de reglasPuede aplicar reglas de AppLocker a usuarios individuales o a un grupo de usuarios. Si aplica una regla a un grupo de usuarios, todos los usuarios de ese grupo se verán afectados por dicha regla. Si necesita que un subconjunto de un grupo de usuarios utilice una aplicación, puede crear una regla especial para dicho subconjunto. Por ejemplo, la regla "Permitir a todos ejecutar Windows excepto al Editor del Registro" permite a todos los usuarios de la organización ejecutar el sistema operativo de Windows, pero no permite a ningún usuario ejecutar el Editor del Registro.El efecto de esta regla impide que los usuarios, como el personal del departamento de soporte técnico, ejecuten un programa necesario para sus tareas de soporte técnico. Para resolver este problema, cree una segunda regla que se aplique al grupo de usuarios de Soporte técnico: "Permitir a soporte técnico ejecutar el Editor de registro". Si crea una regla de denegación que no permite a los usuarios ejecutar el Editor del Registro, la regla de denegación invalida la segunda regla que permite al grupo de usuarios del departamento de soporte técnico ejecutar el Editor del Registro.Colección de reglas DLLPuesto que la colección de reglas de DLL no está habilitada de forma predeterminada, debe seguir el procedimiento que se indica a continuación para poder crear y aplicar reglas de DLL.Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.Para habilitar la colección de reglas de DLLEn la pantalla Inicio, escribasecpol.msc en el Buscar programas y archivos cuadro y, a continuación, presione ENTRAR.Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.En el árbol de consola, haga doble clic en Directivas de control de aplicaciones, haga clic con el botón secundario en AppLocker y, a continuación, haga clic en Propiedades.Haga clic en la pestaña Opciones avanzadas, active la casilla Habilitar la colección de reglas de DLL y, a continuación, haga clic en Aceptar.Antes de aplicar reglas de DLL, asegúrese de que haya reglas de permiso para cada archivo DLL utilizado por cualquiera de las aplicaciones permitidas.Asistentes de AppLockerPuede crear reglas al usar los dos asistentes de AppLocker:El Asistente para crear reglas permite crear una regla cada vez.El Asistente para generar reglas automáticamente le permite crear varias reglas al mismo tiempo. Puede seleccionar una carpeta y dejar que el Asistente para crear reglas para los archivos correspondientes dentro de la carpeta o en el caso de aplicaciones empaquetadas dejar que el Asistente para crear reglas para todas las aplicaciones empaquetadas instaladas en el equipo. También puede especificar el usuario o el grupo a los cuales aplicar las reglas. Este asistente genera automáticamente solo reglas de permiso.Consideraciones adicionalesDe forma predeterminada, las reglas de AppLocker no permiten a los usuarios abrir o ejecutar ningún archivo que no se permita específicamente. Los administradores deben mantener una lista actualizada de aplicaciones permitidas.Hay dos tipos de condiciones de AppLocker que no se mantienen después de la actualización de una aplicación: Condición de hash de archivo. Las condiciones de hash de archivo se pueden utilizar con cualquier aplicación porque se genera un valor de hash criptográfico de la aplicación cuando se crea la regla. Sin embargo, el valor hash es específico de dicha versión exacta de la aplicación. Si hay varias versiones de la aplicación en uso en la organización, debe crear condiciones de hash de archivo para cada versión en uso y para cualquier versión nueva que se publique.Establece una condición de publicador con una versión específica del producto. Si crea una condición de regla de publicador que emplea la opción de versión Exactamente, la regla no podrá sobrevivir a la instalación de una nueva versión de la aplicación. Se debe crear una nueva condición de editor o se debe editar la versión de la regla para que sea menos específica.Si una aplicación no está firmada digitalmente, no se puede usar una condición de regla de editor para esa aplicación.Las reglas de AppLocker no se puede usar para administrar equipos que ejecutan un sistema operativo Windows anterior a Windows Server 2008 R2 o Windows 7. Se deben usar en su lugar las directivas de restricción de software. Si las reglas de AppLocker se definen en un objeto de directiva de grupo (GPO), solo se aplican dichas reglas. Para garantizar la interoperabilidad entre las directivas de restricción de software y las reglas de AppLocker, defina las reglas de las directivas de restricción de software y las reglas de AppLocker en diferentes GPO.Las aplicaciones empaquetadas y aplicaciones empaquetadas está disponible únicamente en la colección de reglas de instalador Windows Server 2012 y Windows 8.Cuando se aplican las reglas para la colección de reglas ejecutables y las aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas de la colección de reglas no contiene ninguna regla, no hay aplicaciones empaquetadas y se pueden ejecutar instaladores de aplicaciones empaquetadas. Para permitir que las aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas, debe crear reglas para las aplicaciones empaquetadas y empaqueta los instaladores de aplicación de colección de reglas.Si una regla de se establece en Solo auditoría, no se aplican la reglas. Cuando un usuario ejecuta una aplicación incluida en la regla, la aplicación se abre y se ejecuta con normalidad, y la información sobre dicha aplicación se agrega al registro de eventos de AppLocker.Se puede incluir una dirección URL configurada personalizada en el mensaje que se muestra al bloquearse una aplicación.Espere un aumento en la cantidad de llamadas a soporte técnico inicialmente debido a aplicaciones bloqueadas hasta que los usuarios comprendan que no pueden ejecutar aplicaciones que no están permitidas.Introducción a AppLocker [Cliente]<_caps3a_sxssource locale="en-US">This topic describes AppLocker rule types and how to work with them for your application control policies using Windows Server® 2012 and Windows® 8.ProceduresCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard The three AppLocker enforcement modes are described in the following table. The enforcement mode setting defined here can be overwritten by the setting derived from a linked Group Policy Object (GPO) with a higher precedence.Enforcement modeDescriptionNot configuredThis is the default setting which means that the rules defined here will be enforced unless a linked GPO with a higher precedence has a different value for this setting.Enforce rulesRules are enforced.Audit onlyRules are audited but not enforced. When a user runs an application that is affected by an AppLocker rule, the application is allowed to run and the information about the application is added to the AppLocker event log. The Audit-only enforcement mode helps you determine which applications will be affected by the policy before the policy is enforced. When the AppLocker policy for a rule collection is set to Audit only, rules for that rule collection are not enforcedWhen AppLocker policies from various GPOs are merged, the rules from all the GPOs are merged and the enforcement mode setting of the winning GPO is applied.For information about GPOs and Group Policy inheritance, see the Group Policy Planning and Deployment Guide https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Rule collectionsThe AppLocker user interface is accessed through the Microsoft Management Console (MMC), and it is organized into rule collections, which are Executable files, Scripts, Windows Installer files, Packaged apps and packaged app installers, and DLL files. These collections give the administrator an easy way to differentiate the rules for different types of applications. The following table lists the file formats that are included in each rule collection.Rule collectionAssociated file formatsExecutable files.exe.comScripts.ps1.bat.cmd.vbs.jsWindows Installer files.msi.msp.mstPackaged apps and packaged app installers.appxDLL files.dll.ocxIf you use DLL rules, you need to create an allow rule for each DLL that is used by all of the allowed applications.When DLL rules are used, AppLocker must check each DLL that an application loads. Therefore, users may experience a reduction in performance if DLL rules are used.The DLL rule collection is not enabled by default. To learn how to enable the DLL rule collection, see DLL rule collections.Rule conditionsRule conditions are criteria that help AppLocker identify the applications to which the rule applies. The three primary rule conditions are publisher, path, and file hash.Publisher: Identifies an application based on its digital signaturePath: Identifies an application by its location in the file system of the computer or on the networkFile hash: Represents the system computed cryptographic hash of the identified filePublisherThis condition identifies an application based on its digital signature and extended attributes when available. The digital signature contains information about the company that created the application (the publisher). Executable files, Dlls, Windows installers, packaged apps and packaged app installers also have extended attributes, which are obtained from the binary resource. In case of Executable files, Dlls and Windows installers these attributes contain the name of the product that the file is a part of, the original name of the file as supplied by the publisher and the version number of the file. In case of packaged apps and packaged app installers these extended attributes contain the name and the version of the application package.Rules created in the packaged apps and packaged app installers rule collection can only have publisher conditions since Windows does not support unsigned packaged apps and packaged app installers.Use a publisher rule condition when possible because they can survive application updates as well as a change in the location of files.When you select a reference file for a publisher condition, the wizard creates a rule that specifies the publisher, product, file name, and version number. You can make the rule more generic by moving the slider up or by using a wildcard character (*) in the product, file name, or version number fields.To enter custom values for any of the fields of a publisher rule condition in the Create Rules Wizard, you must select the Use custom values check box. When this check box is selected, you cannot use the slider.The File version and Package version control whether a user can run a specific version, earlier versions, or later versions of the application. You can choose a version number and then configure the following options:Exactly. The rule applies only to this version of the application.And above. The rule applies to this version and all later versions.And below. The rule applies to this version and all earlier versions.The following table describes how a publisher condition is applied.OptionThe publisher condition allows or denies…All signed filesAll files that are signed by any publisher.Publisher onlyAll files that are signed by the named publisher.Publisher and product nameAll files for the specified product that are signed by the named publisher.Publisher and product name, and file nameAny version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionExactlyThe specified version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionAnd aboveThe specified version of the named file or package and any new releases for the product that are signed by the publisher.Publisher, product name, file name, and file versionAnd belowThe specified version of the named file or package and any earlier versions for the product that are signed by the publisher.CustomYou can edit the Publisher, Product name, File name, VersionPackage name, and Package version fields to create a custom rule.PathThis rule condition identifies an application by its location in the file system of the computer or on the network.AppLocker uses custom path variables for well-known paths, such as Program Files and Windows.The following table details these path variables.Windows directory or diskAppLocker path variableWindows environment variableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows installation directory%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% and %ProgramFiles(x86)%Removable media (for example, a CD or DVD)%REMOVABLE%Removable storage device (for example, a USB flash drive)%HOT%Because a path rule condition can be configured to include a large number of folders and files, path conditions should be carefully planned. For example, if an allow rule with a path condition includes a folder location that non-administrators are allowed to write data into, a user can copy unapproved files into that location and run the files. For this reason, it is a best practice to not create path conditions for standard user writable locations, such as a user profile.File hashWhen you choose the file hash rule condition, the system computes a cryptographic hash of the identified file. The advantage of this rule condition is that because each file has a unique hash, a file hash rule condition applies to only one file. The disadvantage is that each time the file is updated (such as a security update or upgrade) the file's hash will change. As a result, you must manually update file hash rules.AppLocker default rulesAppLocker allows you to generate default rules for each rule collection.Executable default rule types include:Allow members of the local Administrators group to run all applications.Allow members of the Everyone group to run applications that are located in the Windows folder.Allow members of the Everyone group to run applications that are located in the Program Files folder.Script default rule types include:Allow members of the local Administrators group to run all scripts.Allow members of the Everyone group to run scripts that are located in the Program Files folder.Allow members of the Everyone group to run scripts that are located in the Windows folder.Windows Installer default rule types include:Allow members of the local Administrators group to run all Windows Installer files.Allow members of the Everyone group to run all digitally signed Windows Installer files.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.DLL default rule types:Allow members of the local Administrators group to run all DLLs.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.Allow members of the Everyone group to run DLLs that are located in the Windows folder.Packaged apps default rule types:Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.AppLocker rule behaviorIf no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For example, if you create an executable rule that allows .exe files in %SystemDrive%\FilePath to run, only executable files located in that path are allowed to run.A rule can be configured to use allow or deny actions:Allow. You can specify which files are allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.Deny. You can specify which files are not allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.For a best practice, use allow actions with exceptions. You can use a combination of allow and deny actions but understand that deny actions override allow actions in all cases, and can be circumvented.If you join a computer running Windows Server 2012 or Windows 8 to a domain that already enforces AppLocker rules for Executables, users will not be able to run any packaged apps unless you also create rules for packaged apps. If you want to allow any packaged apps in your environment while continuing to control Executables, you should create the default rules for packaged apps and set the enforcement mode to Audit-only for the packaged apps rule collection.Rule exceptionsYou can apply AppLocker rules to individual users or to a group of users. If you apply a rule to a group of users, all users in that group are affected by that rule. If you need to allow a subset of a user group to use an application, you can create a special rule for that subset. For example, the rule "Allow Everyone to run Windows except Registry Editor" allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. To resolve this problem, create a second rule that applies to the Help Desk user group: "Allow Help Desk to run Registry Editor." If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.DLL rule collectionBecause the DLL rule collection is not enabled by default, you must perform the following procedure before you can create and enforce DLL rules.Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.To enable the DLL rule collectionEn la pantalla Inicio, escribasecpol.msc in the Search programs and files box, and then press ENTER.Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.In the console tree, double-click Application Control Policies, right-click AppLocker, and then click Properties.Click the Advanced tab, select the Enable the DLL rule collection check box, and then click OK.Before you enforce DLL rules, make sure that there are allow rules for each DLL that is used by any of the allowed applications.AppLocker wizardsYou can create rules by using two AppLocker wizards:The Create Rules Wizard enables you to create one rule at a time.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. You can also specify the user or group to which to apply the rules. This wizard automatically generates allow rules only.Additional considerationsBy default, AppLocker rules do not allow users to open or run any files that are not specifically allowed. Administrators should maintain an up-to-date list of allowed applications.There are two types of AppLocker conditions that do not persist following an update of an application: File hash condition. File hash rule conditions can be used with any application because a cryptographic hash value of the application is generated at the time the rule is created. However, the hash value is specific to that exact version of the application. If there are several versions of the application in use within the organization, you need to create file hash conditions for each version in use and for any new versions that are released.A publisher condition with a specific product version set. If you create a publisher rule condition that uses the Exactly version option, the rule cannot persist if a new version of the application is installed. A new publisher condition must be created, or the version must be edited in the rule to be made less specific.If an application is not digitally signed, you cannot use a publisher rule condition for that application.AppLocker rules cannot be used to manage computers running a Windows operating system earlier than Windows Server 2008 R2 or Windows 7. Software Restriction Policies must be used instead. If AppLocker rules are defined in a Group Policy Object (GPO), only those rules are applied. To ensure interoperability between Software Restriction Policies rules and AppLocker rules, define Software Restriction Policies rules and AppLocker rules in different GPOs.The packaged apps and packaged apps installer rule collection is available only on Windows Server 2012 and Windows 8.When the rules for the Executable rule collection are enforced and the packaged apps and packaged app installers rule collection does not contain any rules, no packaged apps and packaged app installers are allowed to run. In order to allow any packaged apps and packaged app installers you must create rules for the packaged apps and packaged app installers rule collection.When an AppLocker rule collection is set to Audit only, the rules are not enforced. When a user runs an application that is included in the rule, the application is opened and runs normally, and information about that application is added to the AppLocker event log.A custom configured URL can be included in the message that is displayed when an application is blocked.Expect an increase in the number of Help Desk calls initially because of blocked applications until users understand that they cannot run applications that are not allowed.AppLocker Overview [Client]