Mantener directivas de AppLocker
En este artículo se describe cómo mantener reglas dentro de las directivas de AppLocker.
Entre los escenarios comunes de mantenimiento de AppLocker se incluyen:
- Se implementa una nueva aplicación y debe actualizar una directiva de AppLocker.
- Se implementa una nueva versión de una aplicación y debe actualizar una directiva de AppLocker o crear una nueva regla para actualizar la directiva.
- Su organización ya no admite una aplicación, por lo que debe evitar que se use.
- Parece que una aplicación está bloqueada, pero debe permitirse.
- Parece que se permite una aplicación, pero debe bloquearse.
- Un único usuario o subconjunto pequeño de usuarios debe usar una aplicación específica que esté bloqueada.
Hay tres métodos que puede usar para mantener las directivas de AppLocker:
- Mantenimiento de directivas de AppLocker mediante mobile Administración de dispositivos (MDM)
- Mantenimiento de directivas de AppLocker mediante directiva de grupo
- Mantenimiento de directivas de AppLocker en el equipo local
Mantenimiento de directivas de AppLocker mediante mobile Administración de dispositivos (MDM)
Con el proveedor de servicios de configuración de AppLocker, puede seleccionar qué aplicaciones están permitidas o bloqueadas para que no se ejecuten. Con el CSP, puede configurar restricciones de aplicaciones basadas en la agrupación (como EXE, MSI, DLL, aplicaciones de la Tienda, etc.) y, a continuación, elegir cómo aplicar directivas diferentes para diferentes aplicaciones.
Para obtener más información, consulte CSP de AppLocker.
Mantenimiento de directivas de AppLocker mediante directiva de grupo
Para cada escenario, los pasos para mantener una directiva de AppLocker distribuida por directiva de grupo incluyen las siguientes tareas.
A medida que se implementan nuevas aplicaciones y las aplicaciones existentes se actualizan o se retiran, es posible que tenga que actualizar las reglas del objeto directiva de grupo (GPO) para mantener la directiva actualizada.
Puede editar una directiva de AppLocker agregando, cambiando o quitando reglas. Sin embargo, no puede especificar una versión para la directiva de AppLocker mediante la importación de más reglas. Para garantizar el control de versiones al modificar una directiva de AppLocker, use directiva de grupo software de administración que le permite crear versiones de GPO.
Importante
Debe evitar editar una colección de reglas de AppLocker mientras se aplica en directiva de grupo. Dado que AppLocker controla qué archivos pueden ejecutarse, realizar cambios en una directiva activa puede provocar un comportamiento inesperado.
Paso 1: Comprender el comportamiento actual de la directiva desde el GPO
Antes de modificar una directiva, evalúe cómo se implementa actualmente la directiva. Por ejemplo, si se implementa una nueva versión de la aplicación, puede usar Test-AppLockerPolicy para comprobar la eficacia de la directiva actual para esa aplicación.
Paso 2: Exportación de la directiva de AppLocker desde el GPO
La actualización de una directiva de AppLocker que se aplica actualmente en el entorno de producción puede tener resultados no deseados. Por lo tanto, exporte la directiva desde el GPO y actualice la regla o las reglas mediante AppLocker en el equipo de prueba o referencia de AppLocker. Para preparar una directiva de AppLocker para su modificación, consulte Exportación de una directiva de AppLocker desde un GPO.
Paso 3: Actualización de la directiva de AppLocker mediante la edición de la regla de AppLocker adecuada
Después de exportar la directiva de AppLocker desde el GPO al equipo de prueba o referencia de AppLocker, o tener acceso a la directiva en el equipo local, las reglas se pueden modificar según sea necesario.
Para modificar las reglas de AppLocker, consulte los artículos siguientes:
- Editar reglas de AppLocker
- Combinar directivas de AppLocker mediante Set-ApplockerPolicy o Combinar directivas de AppLocker manualmente
- Eliminar una regla de AppLocker
- Aplicar reglas de AppLocker
Paso 4: Probar la directiva de AppLocker
Debe probar cada colección de reglas para asegurarse de que las reglas funcionan según lo previsto. (Dado que las reglas de AppLocker se heredan de gpo vinculados, debe implementar todas las reglas para las pruebas simultáneas en todos los GPO de prueba). Para ver los pasos para realizar esta prueba, consulte Prueba y actualización de una directiva de AppLocker.
Paso 5: Importar la directiva de AppLocker en el GPO
Después de las pruebas, vuelva a importar la directiva de AppLocker en el GPO para su implementación. Para actualizar el GPO con una directiva de AppLocker modificada, consulte Importación de una directiva de AppLocker en un GPO.
Paso 6: Supervisión del comportamiento de la directiva resultante
Después de implementar una directiva, evalúe la eficacia de la directiva.
Mantenimiento de directivas de AppLocker mediante el complemento Directiva de seguridad local
Para cada escenario, los pasos para mantener una directiva de AppLocker mediante la directiva de grupo Editor local o el complemento Directiva de seguridad local incluyen las siguientes tareas.
Paso 1: Comprender el comportamiento actual de la directiva
Antes de modificar una directiva, evalúe cómo se implementa actualmente la directiva.
Paso 2: Actualizar la directiva de AppLocker modificando la regla de AppLocker adecuada
Las reglas se agrupan en una colección, que puede tener aplicada la configuración de cumplimiento de directivas. De forma predeterminada, las reglas de AppLocker no permiten a los usuarios abrir ni ejecutar archivos que no estén permitidos.
Para modificar las reglas de AppLocker, consulte el artículo correspondiente que aparece en Administrar AppLocker.
Paso 3: Probar la directiva de AppLocker
Debe probar cada colección de reglas para asegurarse de que las reglas funcionan según lo previsto. Para ver los pasos para realizar esta prueba, consulte Prueba y actualización de una directiva de AppLocker.
Paso 4: Implementación de la directiva con la regla modificada
Puede exportar e importar directivas de AppLocker para implementar la directiva en otros equipos que ejecutan Windows 8 o posterior. Para realizar esta tarea, consulta Exportar una directiva de AppLocker a un archivo XML e Importar una directiva de AppLocker desde otro equipo.
Paso 5: Supervisión del comportamiento de la directiva resultante
Después de implementar una directiva, evalúe la eficacia de la directiva.
Otros recursos
- Para ver los pasos necesarios para realizar otras tareas de directiva de AppLocker, consulta Administrar AppLocker.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de