Probar y actualizar una directiva de AppLocker
En este artículo se describen los pasos necesarios para probar una directiva de AppLocker antes de la implementación.
Debe probar cada conjunto de reglas para asegurarse de que las reglas funcionan según lo previsto. Si usa directiva de grupo para administrar directivas de AppLocker, complete los pasos siguientes para cada objeto directiva de grupo (GPO) que contenga reglas de AppLocker. Dado que las reglas de AppLocker se heredan de GPO vinculados, debe implementar todas las reglas para las pruebas simultáneas en todos los GPO de prueba.
Paso 1: Habilitar la configuración de cumplimiento solo de auditoría
Use la opción Audit only enforcement mode ( Auditar solo modo de cumplimiento) para comprobar que las reglas de AppLocker están configuradas correctamente para su organización sin bloquear ningún código. Esta configuración se puede habilitar en la pestaña Cumplimiento del cuadro de diálogo Propiedades de AppLocker . Para obtener información sobre el procedimiento para realizar esta configuración, vea Configurar una directiva de AppLocker solo para auditoría.
Paso 2: Configuración del servicio Application Identity para que se inicie automáticamente
Dado que AppLocker usa el servicio Application Identity para comprobar los atributos de un archivo, debe configurarlo para que se inicie automáticamente en cualquier GPO que aplique reglas de AppLocker. Para obtener más información, consulte Configuración del servicio de identidad de aplicaciones. Si no implementa las directivas de AppLocker mediante un GPO, debe asegurarse de que el servicio se ejecuta en cada equipo para que se apliquen las directivas.
Paso 3: Probar la directiva
Pruebe la directiva de AppLocker para determinar si es necesario modificar la colección de reglas. La directiva de AppLocker debe estar activa en modo de auditoría solo en todos los equipos cliente configurados para recibir la directiva de AppLocker.
El cmdlet Test-AppLockerPolicy Windows PowerShell se puede usar para determinar si alguna de las reglas de la colección de reglas bloquea cualquiera de las ejecuciones de código en los equipos de referencia. Para obtener información sobre el procedimiento para realizar esta prueba, consulte Prueba de una directiva de AppLocker mediante Test-AppLockerPolicy.
Paso 4: Analizar eventos de AppLocker
Puede analizar manualmente eventos de AppLocker o usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para automatizar el análisis.
Para analizar manualmente eventos de AppLocker
Use Visor de eventos o un editor de texto para ver y ordenar los eventos de AppLocker para su análisis. Puede buscar patrones en eventos de uso de aplicaciones, frecuencias de acceso o acceso por grupos de usuarios. Si no tiene configurada una suscripción de eventos, puede revisar los registros de un muestreo de equipos de la organización. Para obtener más información sobre el uso de Visor de eventos, consulte Supervisión del uso de aplicaciones con AppLocker.
Para analizar eventos de AppLocker mediante Get-AppLockerFileInformation
Puede usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para analizar eventos de AppLocker desde un equipo remoto. Si se bloquea una aplicación y se debe permitir, puede usar los cmdlets de AppLocker para ayudar a solucionar el problema.
Tanto para las suscripciones de eventos como para los eventos locales, puede usar el cmdlet Get-AppLockerFileInformation para determinar qué archivos no se permitían en la directiva y cuántas veces se produjo el evento para cada archivo. Para obtener información sobre el procedimiento para realizar esta supervisión, consulte Supervisión del uso de aplicaciones con AppLocker.
A continuación, debe revisar la lista de reglas para determinar si se debe crear una nueva regla para el archivo bloqueado o si una regla existente está demasiado definida. Asegúrese de comprobar qué GPO impide actualmente la ejecución del archivo. Para determinar este GPO de bloqueador, puede usar el Asistente para resultados de directiva de grupo para ver los nombres de regla.
Paso 5: Modificar la directiva de AppLocker
Una vez que sepa qué reglas desea editar o agregar a la directiva, use la consola de administración de directiva de grupo para modificar las reglas de AppLocker en los GPO pertinentes. Si no administra las directivas de AppLocker mediante un GPO, puede usar el complemento Directiva de seguridad local (secpol.msc). Para obtener información sobre cómo modificar una directiva de AppLocker, consulta Editar una directiva de AppLocker.
Paso 6: Repetir las pruebas, el análisis y la modificación de directivas
Repita los pasos anteriores del 3 al 5 hasta que todas las reglas funcionen según lo previsto antes de aplicar la aplicación.
Otros recursos
- Para ver los pasos necesarios para realizar otras tareas de directiva de AppLocker, consulta Administrar AppLocker.