Share via

Descripción de la condición de regla de ruta en AppLocker

En este artículo se explica cómo aplicar la condición de regla de ruta de acceso de AppLocker y sus ventajas y desventajas.

La condición de ruta de acceso identifica una aplicación por su ubicación en el sistema de archivos del equipo o en la red.

Las reglas de ruta de acceso que usan la acción denegar son menos eficaces que otros tipos de reglas, ya que un usuario (o malware que actúa como usuario) puede copiar fácilmente el archivo en otra ubicación para ejecutarlo. Dado que las reglas de ruta de acceso especifican ubicaciones dentro del sistema de archivos, debe asegurarse de que no hay subdirectorios que puedan escribir los no administradores. Por ejemplo, si crea una regla de ruta de acceso mediante la acción allow para C:\, se puede ejecutar cualquier archivo en esa ubicación, incluido el archivo dentro de los perfiles de los usuarios. En la tabla siguiente se describen las ventajas y desventajas de la condición de ruta de acceso.

Ventajas de la condición de ruta de acceso Desventajas de la condición de ruta de acceso
  • Puede controlar fácilmente muchas carpetas o un solo archivo.
  • Puede usar el asterisco (*) como carácter comodín dentro de las reglas de ruta de acceso.
    		•
  • Puede ser menos seguro si una regla que está configurada para usar una ruta de acceso de carpeta contiene subcarpetas que los no administradores pueden escribir.
  • Debe especificar la ruta de acceso completa a un archivo o carpeta al crear reglas de ruta de acceso para que la regla se aplique correctamente.
    		•

    AppLocker no aplica reglas que especifican rutas de acceso con nombres cortos. Siempre debe especificar la ruta de acceso completa a un archivo o carpeta al crear reglas de ruta de acceso para que la regla se aplique correctamente.

    El carácter comodín asterisco (*) se puede usar en el campo Ruta de acceso . El carácter asterisco (*) utilizado por sí mismo representa cualquier ruta de acceso. Cuando se combina con cualquier valor de cadena, la regla se limita a la ruta de acceso del archivo y a todos los archivos de esa ruta de acceso. Por ejemplo, %ProgramFiles%\Internet Explorer\* indica que la regla afecta a todos los archivos y subcarpetas de la carpeta Internet Explorer.

    AppLocker usa variables de ruta de acceso para directorios conocidos en Windows. Las variables de ruta de acceso no son variables de entorno. El motor de AppLocker solo puede interpretar las variables de ruta de acceso de AppLocker. En la tabla siguiente se detallan estas variables de ruta de acceso.

    Directorio o unidad de Windows Variable de ruta de acceso de AppLocker Variable de entorno de Windows
    Windows %WINDIR% %SystemRoot%
    System32 y sysWOW64 %SYSTEM32% %SystemDirectory%
    Directorio de instalación de Windows %OSDRIVE% %SystemDrive%
    Archivos de programa %PROGRAMFILES% %ProgramFiles% y %ProgramFiles(x86)%
    Medios extraíbles (por ejemplo, CD o DVD) %REMOVABLE%
    Dispositivo de almacenamiento extraíble (por ejemplo, unidad flash USB) %HOT%

    Para obtener información general sobre los tres tipos de condiciones de regla de AppLocker y sus ventajas y desventajas de cada una, consulte Descripción de los tipos de condición de regla de AppLocker.