Compartir a través de

Usar un dispositivo de referencia para crear y mantener directivas de AppLocker

En este artículo para el profesional de TI se describen los pasos para crear y mantener directivas de AppLocker mediante un equipo de referencia.

Antecedentes y requisitos previos

Un dispositivo de referencia de AppLocker es un dispositivo de línea base que puede usar para configurar directivas y, a continuación, se puede usar para mantener las directivas de AppLocker. Para ver el procedimiento para configurar un dispositivo de referencia, consulte Configuración del dispositivo de referencia de AppLocker.

Un dispositivo de referencia de AppLocker que se usa para crear y mantener directivas de AppLocker debe contener las aplicaciones correspondientes de cada unidad organizativa (OU) para imitar el entorno de producción.

Puede realizar pruebas de directivas de AppLocker en el dispositivo de referencia mediante la opción Auditar solo el modo de cumplimiento o Windows PowerShell cmdlets.

Paso 1: Generar automáticamente reglas en el dispositivo de referencia

Con AppLocker, puede generar automáticamente reglas para todos los archivos de una carpeta. AppLocker examina la carpeta especificada y crea los tipos de condición que elija para cada archivo de esa carpeta. Para obtener información sobre cómo generar automáticamente reglas, vea Ejecutar el Asistente para generar reglas automáticamente.

Nota

Si ejecuta este asistente para crear las primeras reglas para un objeto directiva de grupo (GPO), se le pedirá que cree las reglas predeterminadas que permiten la ejecución de archivos críticos del sistema. Puede editar las reglas predeterminadas en cualquier momento. Si su organización usa reglas personalizadas para permitir que se ejecuten los archivos del sistema de Windows, asegúrese de eliminar las reglas predeterminadas después de crear las reglas personalizadas.

Paso 2: Crear las reglas predeterminadas en el dispositivo de referencia

AppLocker incluye reglas predeterminadas para cada colección de reglas. Estas reglas están diseñadas para ayudar a garantizar que los archivos necesarios para que Windows funcione correctamente se permiten en una colección de reglas de AppLocker. Debe ejecutar las reglas predeterminadas para cada colección de reglas. Para obtener información sobre las reglas predeterminadas y las consideraciones para usarlas, consulta Descripción de las reglas predeterminadas de AppLocker. Para ver el procedimiento para crear reglas predeterminadas, consulte Creación de reglas predeterminadas de AppLocker.

Importante

Puede usar las reglas predeterminadas como plantilla al crear sus propias reglas. Esto permite la ejecución de archivos dentro del directorio de Windows. Sin embargo, estas reglas solo están diseñadas para funcionar como una directiva de inicio cuando se prueban por primera vez las reglas de AppLocker.

Paso 3: Modificar reglas y la colección de reglas en el dispositivo de referencia

Si las directivas de AppLocker se ejecutan actualmente en el entorno de producción, exporte las directivas de los GPO correspondientes y guárdelas en el dispositivo de referencia. Para obtener información sobre cómo exportar y guardar las directivas, consulte Exportación de una directiva de AppLocker desde un GPO. Si no se implementa ninguna directiva de AppLocker, cree las reglas y desarrolle las directivas mediante los procedimientos siguientes:

Paso 4: Probar y actualizar la directiva de AppLocker en el dispositivo de referencia

Debe probar cada conjunto de reglas para asegurarse de que funcionan según lo previsto. El cmdlet Test-AppLockerPolicy Windows PowerShell se puede usar para determinar si las reglas de las colecciones de reglas bloquean las aplicaciones del dispositivo de referencia. Realice los pasos en cada dispositivo de referencia que usó para definir la directiva de AppLocker. Asegúrese de que el dispositivo de referencia está unido al dominio y de que está recibiendo la directiva de AppLocker del GPO adecuado. Dado que las reglas de AppLocker se heredan de GPO vinculados, debe implementar todas las reglas para probar simultáneamente todos los GPO de prueba. Use los procedimientos siguientes para completar este paso:

Advertencia

Si ha establecido la configuración del modo de cumplimiento en la colección de reglas en Aplicar reglas o No configuradas, la directiva se aplicará al completar el paso siguiente. Establezca la configuración del modo de cumplimiento en la colección de reglas en Auditar solo si no está listo para bloquear la ejecución de ningún archivo.

Paso 5: Exportación e importación de la directiva en producción

Después de probar la directiva de AppLocker, puede importarla en el GPO (o importarla en equipos individuales no administrados por directiva de grupo) y comprobar su eficacia prevista. Para realizar estas tareas, realice los procedimientos siguientes:

Si la configuración de cumplimiento de directivas de AppLocker es Solo auditoría y está satisfecho de que la directiva está cumpliendo su intención, puede cambiarla a Aplicar reglas. Para obtener información sobre cómo cambiar la configuración de cumplimiento, consulta Configurar una directiva de AppLocker para aplicar reglas.

Paso 6: Supervisar el efecto de la directiva en producción

Si se necesitan más refinamientos o actualizaciones después de implementar una directiva, use los procedimientos siguientes adecuados para supervisar y actualizar la directiva:

Ver también