Implementar las directivas de AppLocker mediante la configuración de aplicación de reglas
En este artículo para profesionales de TI se describen los pasos para implementar directivas de AppLocker mediante el método de configuración de cumplimiento.
Antecedentes y requisitos previos
Estos procedimientos suponen que las directivas de AppLocker se implementan con el modo de cumplimiento establecido en Solo auditoría y que ha estado recopilando datos a través de los registros de eventos de AppLocker y otros canales para determinar qué efecto tienen estas directivas en el entorno y la adhesión de la directiva al diseño del control de aplicaciones.
Para obtener información sobre la configuración de cumplimiento de directivas de AppLocker, consulta Descripción de la configuración de cumplimiento de AppLocker.
Para obtener información sobre cómo planear una implementación de directivas de AppLocker, consulta La Guía de diseño de AppLocker.
Paso 1: Recuperar la directiva de AppLocker
La actualización de una directiva de AppLocker que se aplica actualmente en el entorno de producción puede provocar resultados no deseados. Con directiva de grupo, puede exportar la directiva desde el objeto de directiva de grupo (GPO) y, a continuación, actualizar la regla o las reglas mediante AppLocker en un equipo de referencia o prueba. Para ver el procedimiento para realizar estas tareas, consulte Exportación de una directiva de AppLocker desde un GPO e Importación de una directiva de AppLocker en un GPO. Para las directivas locales de AppLocker, puede actualizar la regla o las reglas mediante el complemento Directiva de seguridad local (secpol.msc) en el equipo de prueba o referencia de AppLocker. Para ver los procedimientos para realizar esta tarea, consulta Exportar una directiva de AppLocker a un archivo XML e Importar una directiva de AppLocker desde otro equipo.
Paso 2: Modificar la configuración de cumplimiento
La aplicación de reglas se aplica a todas las reglas de una colección de reglas, no a reglas individuales. AppLocker divide las reglas en colecciones: archivos ejecutables, archivos de Windows Installer, aplicaciones empaquetadas, scripts y archivos DLL. Para obtener información sobre la configuración del modo de cumplimiento, consulte Descripción de la configuración de cumplimiento de AppLocker. Para ver el procedimiento para modificar la configuración del modo de cumplimiento, consulte Configuración de una directiva de AppLocker solo para auditoría.
Paso 3: Actualizar la directiva
Puede editar una directiva de AppLocker agregando, cambiando o quitando reglas. Sin embargo, no puede especificar una versión para la directiva de AppLocker mediante la importación de más reglas. Para garantizar el control de versiones al modificar una directiva de AppLocker, use directiva de grupo software de administración que le permite crear versiones de GPO. Un ejemplo de este tipo de software es la característica Administración avanzada de directiva de grupo del paquete de optimización de escritorio de Microsoft.
Precaución
No debe editar una colección de reglas de AppLocker mientras se aplica en directiva de grupo. Dado que AppLocker controla qué archivos pueden ejecutarse, realizar cambios en una directiva activa puede provocar un comportamiento inesperado.
Para ver el procedimiento para actualizar el GPO, consulte Importación de una directiva de AppLocker en un GPO.
Para conocer los procedimientos para distribuir directivas para equipos locales mediante el complemento Directiva de seguridad local (secpol.msc), consulte Exportación de una directiva de AppLocker a un archivo XML e Importación de una directiva de AppLocker desde otro equipo.
Paso 4: Supervisar el efecto de la directiva
Cuando se implementa una directiva, es importante supervisar la implementación real de esa directiva mediante la supervisión de la actividad de solicitud de acceso a aplicaciones de la organización de soporte técnico y la revisión de los registros de eventos de AppLocker. Para supervisar el efecto de la directiva, consulte Supervisión del uso de aplicaciones con AppLocker.
Otros recursos
- Para ver los pasos necesarios para realizar otras tareas de directiva de AppLocker, consulta Administrar AppLocker.