Extensiones de recopilación de reglas de AppLocker
En este artículo se describen las extensiones de colección de reglas agregadas en Windows 10 y versiones posteriores. Las extensiones de colección de reglas son características opcionales disponibles solo para las colecciones de reglas EXE y DLL. Configure las extensiones de colección de reglas mediante la edición directa del XML de directiva de AppLocker, como se muestra en el siguiente fragmento XML.
<RuleCollectionExtensions>
<ThresholdExtensions>
<Services EnforcementMode="Enabled"/>
</ThresholdExtensions>
<RedstoneExtensions>
<SystemApps Allow="Enabled"/>
</RedstoneExtensions>
</RuleCollectionExtensions>
Importante
Al agregar cualquier extensión de colección de reglas a la directiva de AppLocker, debe incluir ThresholdExtensions y RedstoneExtensions o la directiva provocará un comportamiento inesperado.
Cumplimiento de servicios
De forma predeterminada, la directiva de AppLocker solo se aplica al código que se ejecuta en el contexto de un usuario. En Windows 10, Windows 11 y Windows Server 2016 o posterior, puede aplicar la directiva de AppLocker a procesos que no son de usuario, incluidos los servicios que se ejecutan como SYSTEM. Debe habilitar la aplicación de servicios al usar AppLocker con la característica de instalador administrado de App Control for Business.
Para aplicar la directiva de AppLocker a procesos que no son de usuario, establezca <Services EnforcementMode="Enabled"/> en la <ThresholdExtensions> sección como se muestra en el fragmento XML anterior.
Aplicaciones del sistema
Al usar AppLocker para controlar procesos que no son de usuario, la directiva debe permitir que todo el código del sistema de Windows o el dispositivo se comporten de forma inesperada. Para permitir automáticamente todo el código del sistema que forma parte de Windows, establezca <SystemApps Allow="Enabled"/> en la <RedstoneExtensions> sección como se muestra en el fragmento XML anterior.