Compartir a través de

Implementación de directivas de App Control para empresas mediante directiva de grupo

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

Importante

Debido a un problema conocido, siempre debe activar nuevas directivas firmadas de App Control Base con un reinicio en sistemas con integridad de memoria habilitada. En lugar de directiva de grupo, implemente nuevas directivas firmadas de App Control Base mediante script y active la directiva con un reinicio del sistema.

Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.

Las directivas de App Control for Business con formato de directiva única (esquema de directiva anterior a 1903) se pueden implementar y administrar fácilmente con directiva de grupo.

Importante

la implementación basada en directiva de grupo de directivas de App Control para empresas solo admite directivas de app control de formato de directiva única. Para usar App Control en dispositivos que ejecutan Windows 10 1903 y versiones posteriores, o Windows 11, se recomienda usar un método alternativo para la implementación de directivas.

Ahora debería tener una directiva de Control de aplicaciones convertida en formato binario. Si no es así, siga los pasos descritos en Implementación de directivas de App Control para empresas.

El siguiente procedimiento le guía por cómo implementar una directiva de Control de aplicaciones denominada SiPolicy.p7b en una unidad organizativa de prueba denominada Equipos habilitados para el control de aplicaciones mediante un GPO denominado Contoso GPO Test.

Para implementar y administrar una directiva de App Control para empresas con directiva de grupo:

  1. En un equipo cliente en el que esté instalado RSAT, ejecute GPMC.MSC para abrir el GPMC.

  2. Crear un nuevo GPO: haga clic con el botón derecho en una unidad organizativa y, a continuación , seleccione Crear un GPO en este dominio y Vincularlo aquí.

    Nota

    Puede usar cualquier nombre de unidad organizativa. Además, el filtrado de grupos de seguridad es una opción cuando se tienen en cuenta diferentes formas de combinar directivas de Control de aplicaciones (o mantenerlas separadas), como se describe en Planeamiento de la administración de directivas de ciclo de vida de App Control para empresas.

    directiva de grupo Management, cree un GPO.

  3. Otorga un nombre al nuevo GPO. Puedes elegir cualquier nombre.

  4. Abra el Editor administración de directiva de grupo: haga clic con el botón derecho en el nuevo GPO y, a continuación, seleccione Editar.

  5. En el GPO seleccionado, vaya a Configuración del equipo\Plantillas administrativas\Sistema\Device Guard. Haga clic con el botón derecho en Implementar App Control para empresas y, a continuación, seleccione Editar.

    Edite el directiva de grupo para App Control para empresas.

  6. En el cuadro de diálogo Implementar Control de aplicaciones para empresas , seleccione la opción Habilitado y, a continuación, especifique la ruta de implementación de la directiva de App Control.

    En esta configuración de directiva, especifique la ruta de acceso local donde existirá la directiva en cada equipo cliente o una ruta de acceso de convención de nomenclatura universal (UNC) que buscarán los equipos cliente para recuperar la versión más reciente de la directiva. Por ejemplo, la ruta de acceso a SiPolicy.p7b mediante los pasos descritos en Implementación de directivas de App Control para empresas sería %USERPROFILE%\Desktop\SiPolicy.p7b.

    Nota

    No es necesario copiar este archivo de directiva en todos los equipos. En su lugar, puede copiar las directivas de App Control en un recurso compartido de archivos al que tengan acceso todas las cuentas de equipo. Cualquier directiva seleccionada aquí se convierte en SIPolicy.p7b al implementarse en los equipos cliente individuales.

    directiva de grupo denominado Implementar App Control para empresas.

    Nota

    Es posible que haya observado que la configuración de GPO hace referencia a un archivo .p7b, pero la extensión de archivo y el nombre del binario de directiva no son importantes. Independientemente del nombre binario de la directiva, todos se convierten en SIPolicy.p7b cuando se aplican a los equipos cliente que ejecutan Windows 10. Si va a implementar diferentes directivas de App Control en diferentes conjuntos de dispositivos, es posible que desee asignar un nombre descriptivo a cada una de las directivas de App Control y permitir que el sistema convierta los nombres de directiva para asegurarse de que las directivas se pueden distinguir fácilmente cuando se ven en un recurso compartido o en cualquier otro repositorio central.

  7. Cierre el Editor administración de directiva de grupo y reinicie el equipo de prueba de Windows. Al reiniciar el equipo, se actualiza la directiva de App Control.