Seleccionar los tipos de reglas que se crearán
En este artículo se enumeran los recursos que se usarán al crear las reglas de directiva de control de aplicaciones mediante AppLocker.
Al determinar qué tipos de reglas se van a crear para cada uno de los grupos, también debe determinar qué configuración de cumplimiento se va a usar para cada grupo. Los distintos tipos de reglas son más aplicables para algunas aplicaciones, en función de la forma en que se implementen las aplicaciones en un grupo de negocios específico.
En los artículos siguientes se proporciona información adicional sobre las reglas de AppLocker que pueden ayudarle a decidir qué reglas usar para las aplicaciones:
- Descripción del comportamiento de las reglas de AppLocker
- Descripción de las excepciones de reglas de AppLocker
- Descripción de las colecciones de reglas de AppLocker
- Descripción de las acciones de denegación y permiso de AppLocker en reglas
- Descripción de los tipos de condición de reglas de AppLocker
- Descripción de las reglas predeterminadas de AppLocker
Selección de la colección de reglas
Las colecciones de reglas que use dependen de los tipos de archivos que desea controlar, entre los que se incluyen:
- Archivos ejecutables: .exe y .com
- Archivos de Windows Installer: .msi, .msp y .mst
- Scripts: .ps1, .bat, .cmd, .vbs y .js
- Aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas: .appx
- ARCHIVOS DLL: .dll y .ocx
De forma predeterminada, las reglas permiten que un archivo se ejecute en función de los privilegios de usuario o grupo. Si usa reglas DLL, se debe crear una regla de permiso DLL para cada archivo DLL que usen todas las aplicaciones permitidas. La colección de reglas DLL no está habilitada de forma predeterminada.
En el ejemplo de Woodgrove Bank, la aplicación de línea de negocio para el grupo de negocios Bank Tellers es C:\Program Files\Woodgrove\Teller.exe y esta aplicación debe incluirse en una regla. Además, dado que esta regla forma parte de una lista de aplicaciones permitidas, también deben incluirse todos los archivos de Windows en C:\Windows.
Determinación de la condición de regla
Una condición de regla es criterios en los que se basa una regla de AppLocker y solo puede ser una de las condiciones de regla de la tabla siguiente.
| Condición de regla | Escenario de uso | Recursos |
|---|---|---|
| Publicador | Para usar una condición de publicador, el publicador de software debe firmar digitalmente sus archivos o debe hacerlo mediante un certificado organizativo. Es posible que las reglas especificadas en el nivel de versión tengan que actualizarse cuando se publique una nueva versión del archivo. | Para obtener más información sobre esta condición de regla, consulta Descripción de la condición de regla del publicador en AppLocker. |
| Ruta de acceso | A cualquier archivo se le puede asignar esta condición de regla. Sin embargo, dado que las reglas de ruta de acceso especifican ubicaciones dentro del sistema de archivos, la regla se aplica a cualquier subdirectorio (a menos que se exime explícitamente). | Para obtener más información sobre esta condición de regla, consulta Descripción de la condición de regla de ruta de acceso en AppLocker. |
| Hash de archivo | A cualquier archivo se le puede asignar esta condición de regla. Sin embargo, la regla debe actualizarse cada vez que se publique una nueva versión del archivo porque cambia el valor hash. | Para obtener más información sobre esta condición de regla, consulta Descripción de la condición de regla hash de archivo en AppLocker. |
En el ejemplo de Woodgrove Bank, la aplicación de línea de negocio para el grupo de negocios Bank Tellers está firmada y se encuentra en C:\Program Files\Woodgrove\Teller.exe. Por lo tanto, la regla se puede definir con una condición de publicador.
Determinación de cómo permitir la ejecución de archivos del sistema
Dado que las reglas de AppLocker crean una lista de aplicaciones permitidas, se deben crear reglas para permitir que se ejecuten todos los archivos de Windows. Puede generar las reglas predeterminadas de AppLocker para cada colección de reglas con el fin de garantizar que se ejecuten las aplicaciones del sistema. Puede usar estas reglas predeterminadas (enumeradas en reglas predeterminadas de AppLocker) como plantilla al crear sus propias reglas. Sin embargo, estas reglas solo están diseñadas para funcionar como una directiva de inicio cuando se prueban por primera vez las reglas de AppLocker para que se ejecuten los archivos del sistema de las carpetas de Windows. Cuando se crea una regla predeterminada, su nombre comienza por "(Regla predeterminada)" en la colección de reglas.
También puede crear una regla para los archivos del sistema en función de la condición de ruta de acceso. En el ejemplo anterior, para el grupo Cajeros bancarios, todos los archivos de Windows residen en C:\Windows y se pueden definir con el tipo de condición de regla de ruta de acceso. Esta regla permite el acceso a estos archivos cada vez que se aplican actualizaciones y cambian los archivos. Si necesita más seguridad de la aplicación, es posible que tenga que modificar las reglas creadas a partir de la colección de reglas predeterminada integrada. Por ejemplo, la regla predeterminada para permitir que todos los usuarios ejecuten .exe archivos en la carpeta de Windows se basa en una condición de ruta de acceso que permite ejecutar todos los archivos de la carpeta de Windows. La carpeta Windows contiene una subcarpeta Temp a la que se conceden los permisos siguientes al grupo Usuarios:
- Carpeta de recorrido/Archivo de ejecución
- Creación de archivos y escritura de datos
- Crear carpetas o anexar datos
Esta configuración de permisos se aplica a esta carpeta para la compatibilidad de aplicaciones. Sin embargo, dado que cualquier usuario puede crear archivos en esta ubicación, permitir que las aplicaciones se ejecuten desde esta ubicación podría entrar en conflicto con la directiva de seguridad de la organización.
Pasos siguientes
Después de seleccionar los tipos de reglas que se van a crear, registre los resultados como se explica en Document your AppLocker rules (Document your AppLocker rules).
Después de registrar los resultados de las reglas de AppLocker que se van a crear, deberá considerar cómo aplicar las reglas. Para obtener información sobre cómo realizar esta aplicación, vea Determinar directiva de grupo estructura y aplicación de reglas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de