AppLocker

En este artículo se proporciona una descripción de AppLocker y puede ayudarle a decidir si su organización puede beneficiarse de la implementación de directivas de control de aplicaciones de AppLocker. Con AppLocker puedes controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Esto incluye archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas. AppLocker también se usa en algunas características de Windows Defender Control de aplicaciones.

Nota:

AppLocker es una característica de seguridad de defensa en profundidad y no se considera una característica de seguridad de Windows defendible. Windows Defender Application Control debe usarse cuando el objetivo es proporcionar una protección sólida contra una amenaza y se espera que no haya limitaciones por diseño que impidan que la característica de seguridad logre este objetivo.

Nota:

De forma predeterminada, la directiva de AppLocker solo se aplica al código iniciado en el contexto de un usuario. En Windows 10, Windows 11 y Windows Server 2016 o posterior, puede aplicar la directiva de AppLocker a procesos que no son de usuario, incluidos los que se ejecutan como SYSTEM. Para obtener más información, vea Extensiones de recopilación de reglas de AppLocker.

Con AppLocker puedes hacer lo siguiente:

  • Definir reglas basadas en atributos de archivo que se mantengan a lo largo de las actualizaciones de la aplicación, como el editor (derivado de la firma digital), el nombre del producto, el nombre del archivo y la versión del archivo. También puedes crear reglas basadas en la ruta y el hash del archivo.
  • Asignar una regla a un grupo de seguridad o a un usuario individual.
  • Crear excepciones a ciertas reglas. Por ejemplo, puedes crear una regla que permita a todos los usuarios ejecutar todos los archivos binarios de Windows excepto el Editor del Registro (regedit.exe).
  • Use el modo de solo auditoría para implementar la directiva y comprender su efecto antes de aplicarla.
  • Crear reglas en un servidor de ensayo, probarlas y, luego, exportarlas al entorno de producción e importarlas a un objeto de directiva de grupo.
  • Cree y administre reglas de AppLocker mediante Windows PowerShell.

AppLocker ayuda a evitar que los usuarios ejecuten aplicaciones no aprobadas. AppLocker aborda los siguientes escenarios de control de aplicaciones:

  • Inventario de aplicaciones: AppLocker tiene la capacidad de aplicar su directiva en un modo de solo auditoría en el que se permite toda la actividad de inicio de la aplicación pero se registra en los registros de eventos. los cuales se pueden recopilar para realizar análisis adicionales. Los cmdlets de Windows PowerShell también te pueden servir para analizar estos datos mediante programación.
  • Protección contra software no deseado: AppLocker tiene la capacidad de impedir que las aplicaciones se ejecuten al excluirlas de la lista de aplicaciones permitidas. Cuando se aplican reglas de AppLocker en el entorno de producción, se bloquea la ejecución de todas las aplicaciones que no se incluyen en las reglas permitidas.
  • Conformidad con las licencias: AppLocker puede ayudarle a crear reglas que impiden que el software sin licencia ejecute y restrinja el software con licencia a los usuarios autorizados.
  • Estandarización de software: las directivas de AppLocker se pueden configurar para permitir que solo las aplicaciones admitidas o aprobadas se ejecuten en equipos dentro de un grupo empresarial. Esta configuración permite una implementación de aplicaciones más uniforme.

Cuándo utilizar AppLocker

En muchas organizaciones, la información es el bien más preciado y garantizar que solo los usuarios autorizados puedan tener acceso a ella es algo fundamental. Las tecnologías de control de acceso, como Active Directory Rights Management Services (AD RMS) y las listas de control de acceso (ACL), ayudan a controlar a qué recursos pueden tener acceso los usuarios.

Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario. Como resultado, la información confidencial podría eliminarse o transmitirse fácilmente fuera de la organización si un usuario ejecuta software no autorizado, incluido el malware. AppLocker ayuda a mitigar estos tipos de problemas de seguridad mediante la restricción de los archivos que los usuarios o grupos pueden ejecutar. Dado que AppLocker puede controlar archivos DLL y scripts, también es útil controlar quién puede instalar y ejecutar controles ActiveX.

AppLocker es ideal para aquellas organizaciones que actualmente usan la directiva de grupo para administrar sus equipos.

A continuación se enumeran varios ejemplos de escenarios en los que se puede usar AppLocker:

  • La directiva de seguridad de tu organización determina que solo se puede usar software con licencia, por lo que necesitas impedir que los usuarios ejecuten software sin licencia y, al mismo tiempo, restringir el uso de software con licencia a usuarios autorizados.
  • Una aplicación ya no es compatible con tu organización, por lo que necesitas impedir que todo el mundo la utilice.
  • La posibilidad de que se introduzca software no deseado en tu entorno es alta, por lo que necesitas reducir esta amenaza.
  • La licencia de una aplicación se revoca o expira en su organización, por lo que debe evitar que todos los usuarios la usen.
  • Se implementa una nueva aplicación o la nueva versión de una aplicación y debes impedir que los usuarios ejecuten la versión anterior.
  • No se permiten herramientas de software específicas dentro de la organización, o solo los usuarios específicos deben tener acceso a esas herramientas.
  • Un solo usuario o un pequeño grupo de usuarios necesitan usar una aplicación específica el acceso a la cual se ha denegado a todos los demás usuarios.
  • Algunas personas de su organización que requieren software diferente comparten un equipo y necesita proteger aplicaciones específicas.
  • Además de otras medidas, debes controlar el acceso a datos confidenciales a través del uso de aplicaciones.

AppLocker puede ayudarte a proteger los recursos digitales de la organización, reducir las amenazas de software malintencionado que entran en tu entorno y mejorar la administración del control de las aplicaciones y el mantenimiento de directivas de control de aplicaciones.

Instalar AppLocker

AppLocker se incluye con todas las ediciones de Windows excepto Windows 10 versión 1809 o anterior. Puedes crear reglas de AppLocker para un solo equipo o para un grupo de equipos. Para un solo equipo, puedes crear las reglas mediante la Directiva de seguridad local (secpol.msc). Para un grupo de equipos, puedes crear las reglas en un objeto de directiva de grupo usando la Consola de administración de directivas de grupo (GPMC).

Nota:

GPMC está disponible en equipos cliente que ejecutan Windows solo mediante la instalación de las Herramientas de administración remota del servidor. Si un equipo funciona con Windows Server, debes instalar la característica Administración de directivas de grupo.

Usar AppLocker en Server Core

No se admite AppLocker en instalaciones de Server Core.

Consideraciones sobre la virtualización

Puedes administrar las directivas de AppLocker utilizando una instancia virtualizada de Windows, siempre y cuando cumpla todos los requisitos del sistema enumerados anteriormente. También puedes ejecutar la directiva de grupo en una instancia virtualizada. Sin embargo, corre el riesgo de perder las directivas que cree y mantenga si la instancia virtualizada se quita o produce un error.

Consideraciones sobre seguridad

Las directivas de control de aplicaciones especifican qué aplicaciones se pueden ejecutar en el equipo local. La variedad de formas que puede adoptar el software malintencionado hace que los usuarios lo tengan difícil para saber qué es seguro ejecutar. Cuando se activa, el software malintencionado puede dañar el contenido de una unidad de disco duro, inundar una red con solicitudes para provocar un ataque por denegación de servicio (DoS), enviar información confidencial a Internet o comprometer la seguridad de un equipo.

La contramedidas consiste en crear un diseño sólido para las directivas de control de aplicaciones en equipos de la organización. AppLocker puede formar parte de tu estrategia de control de aplicaciones porque así puedes controlar el software que se puede ejecutar en tus equipos.

La implementación de una directiva de control de aplicaciones defectuosa puede deshabilitar aplicaciones necesarias o permitir la ejecución de software malintencionado o no deseado. Debe probar exhaustivamente las directivas en un entorno de laboratorio antes de implementarlas en producción. También es importante que las organizaciones dediquen recursos suficientes para administrar y solucionar problemas de implementación de dichas directivas.

Para obtener más información sobre problemas de seguridad específicos, consulte Consideraciones de seguridad para AppLocker. Al usar AppLocker para crear directivas de control de aplicaciones, debes tener en cuenta las siguientes consideraciones de seguridad:

  • ¿Quién tiene derecho a establecer directivas de AppLocker?
  • ¿Cómo se valida que se cumplen las directivas?
  • ¿Qué eventos hay que auditar?

Como referencia para cuando elabores tu plan de seguridad, puedes consultar la siguiente tabla, donde se identifican las configuraciones de línea base de un equipo con AppLocker instalado:

Configuración Valor predeterminado
Cuentas creadas Ninguno
Método de autenticación No corresponde
Interfaces de administración AppLocker puede administrarse mediante el uso de un complemento de la Microsoft Management Console, la Administración de directivas de grupo y Windows PowerShell
Puertos abiertos Ninguno
Privilegios mínimos necesarios Administrador en el equipo local, Administrador de dominio o cualquier conjunto de derechos que te permitan crear, editar y distribuir objetos de directiva de grupo
Protocolos utilizados No corresponde
Tareas programadas Appidpolicyconverter.exe se coloca en una tarea programada para ejecutarse a petición
Directivas de seguridad No se necesita ninguno; AppLocker ya crea las directivas de seguridad.
Servicios del sistema necesarios El servicio de identidad de aplicación (appidsvc) se ejecuta en LocalServiceAndNoImpersonation
Almacenamiento de credenciales Ninguno

En esta sección

Artículo Description
Administrar AppLocker En este artículo para profesionales de TI se proporcionan vínculos a procedimientos específicos que se deben usar al administrar directivas de AppLocker.
Guía de diseño de AppLocker En este artículo para el profesional de TI se presentan los pasos de diseño y planeamiento necesarios para implementar directivas de control de aplicaciones mediante AppLocker.
Guía de implementación de AppLocker En este artículo para profesionales de TI se presentan los conceptos y se describen los pasos necesarios para implementar directivas de AppLocker.
Referencia técnica de AppLocker En este artículo de información general para profesionales de TI se proporcionan vínculos a los artículos de la referencia técnica.