AppLocker

Se aplica a

  • Windows 10
  • Windows 11
  • Windows Server 2016 y superior

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Este tema proporciona una descripción de AppLocker y puede ayudarte a decidir si tu organización puede beneficiarse de la implementación de las directivas de control de aplicaciones de AppLocker. Con AppLocker puedes controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Esto incluye archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.

Nota

AppLocker no puede controlar los procesos que se ejecutan en la cuenta del sistema en cualquier sistema operativo.

Con AppLocker puedes hacer lo siguiente:

  • Definir reglas basadas en atributos de archivo que se mantengan a lo largo de las actualizaciones de la aplicación, como el editor (derivado de la firma digital), el nombre del producto, el nombre del archivo y la versión del archivo. También puedes crear reglas basadas en la ruta y el hash del archivo.
  • Asignar una regla a un grupo de seguridad o a un usuario individual.
  • Crear excepciones a ciertas reglas. Por ejemplo, puedes crear una regla que permita a todos los usuarios ejecutar todos los archivos binarios de Windows excepto el Editor del Registro (regedit.exe).
  • Usar el modo de solo auditoría para implementar la directiva y ver qué impacto tendría antes de aplicarla.
  • Crear reglas en un servidor de ensayo, probarlas y, luego, exportarlas al entorno de producción e importarlas a un objeto de directiva de grupo.
  • Simplificar la creación y la administración de reglas de AppLocker con Windows PowerShell.

AppLocker te permite reducir la sobrecarga administrativa y reducir los costos de la organización relativos a la administración de recursos informáticos disminuyendo la cantidad de llamadas que se hacen al servicio de asistencia como consecuencia de usuarios que ejecutan aplicaciones no aprobadas. AppLocker trata los siguientes escenarios de seguridad de las aplicaciones:

  • Inventario de aplicaciones

    AppLocker tiene la capacidad de aplicar su directiva en modo de solo auditoría, en el que toda la actividad relativa al acceso a las aplicaciones queda registrada en registros de eventos, los cuales se pueden recopilar para realizar análisis adicionales. Los cmdlets de Windows PowerShell también te pueden servir para analizar estos datos mediante programación.

  • Protección contra el software no deseado

    AppLocker tiene la posibilidad de impedir que se ejecuten ciertas aplicaciones cuando las excluyes de la lista de aplicaciones permitidas. Cuando se aplican reglas de AppLocker en el entorno de producción, se bloquea la ejecución de todas las aplicaciones que no están incluidas en las reglas permitidas.

  • Conformidad con la concesión de licencias

    AppLocker te puede ayudar a crear reglas que impidan que se ejecute software sin licencia y que restrinjan el software con licencia a los usuarios autorizados.

  • Normalización del software

    Hay la posibilidad de configurar las directivas de AppLocker para que permitan la ejecución en equipos de un grupo profesional solo aquellas aplicaciones compatibles o aprobadas. Esta configuración permite una implementación de aplicaciones más uniforme.

  • Mejoras en la facilidad de uso

    AppLocker incluye muchas mejoras en la capacidad de administración en comparación con sus directivas de restricción de software predecesoras. Entre estas mejoras cabe destacar la importación y exportación de directivas, la generación automática de reglas de varios archivos, la implementación de modo de solo auditoría y los cmdlets de Windows PowerShell.

Cuándo utilizar AppLocker

En muchas organizaciones, la información es el bien más preciado y garantizar que solo los usuarios autorizados puedan tener acceso a ella es algo fundamental. Las tecnologías de control de acceso, como Active Directory Rights Management Services (AD RMS) y las listas de control de acceso (ACL), ayudan a controlar a qué recursos pueden tener acceso los usuarios.

Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario. Como resultado, fácilmente podría eliminarse o transmitirse fuera de la organización información confidencial si un usuario, intencionadamente o no, ejecutara software malintencionado. AppLocker puede ayudar a mitigar estos tipos de infracciones de seguridad restringiendo los archivos que los usuarios o los grupos pueden ejecutar. Los editores de software empiezan a crear cada vez más aplicaciones que pueden ser instaladas por usuarios no administrativos. Este privilegio podría poner en peligro la directiva de seguridad escrita de una organización y eludir las soluciones tradicionales de control de aplicaciones que dependen de la incapacidad de los usuarios para instalar aplicaciones. AppLocker crea una lista permitida de archivos y aplicaciones aprobados para ayudar a evitar que se ejecuten estas aplicaciones por usuario. Dado que AppLocker puede controlar archivos DLL, también es útil controlar quién puede instalar y ejecutar controles ActiveX.

AppLocker es ideal para aquellas organizaciones que actualmente usan la directiva de grupo para administrar sus equipos.

A continuación se enumeran varios ejemplos de escenarios en los que se puede usar AppLocker:

  • La directiva de seguridad de tu organización determina que solo se puede usar software con licencia, por lo que necesitas impedir que los usuarios ejecuten software sin licencia y, al mismo tiempo, restringir el uso de software con licencia a usuarios autorizados.
  • Una aplicación ya no es compatible con tu organización, por lo que necesitas impedir que todo el mundo la utilice.
  • La posibilidad de que se introduzca software no deseado en tu entorno es alta, por lo que necesitas reducir esta amenaza.
  • La licencia de una aplicación se ha revocado o ha expirado en su organización, por lo que debe evitar que todos los usuarios la usen.
  • Se implementa una nueva aplicación o la nueva versión de una aplicación y debes impedir que los usuarios ejecuten la versión anterior.
  • No se permiten herramientas de software específicas dentro de la organización, o solo los usuarios específicos deben tener acceso a esas herramientas.
  • Un solo usuario o un pequeño grupo de usuarios necesitan usar una aplicación específica el acceso a la cual se ha denegado a todos los demás usuarios.
  • Algunos equipos de la organización los comparten usuarios que necesitan software distinto y necesitas proteger aplicaciones específicas.
  • Además de otras medidas, debes controlar el acceso a datos confidenciales a través del uso de aplicaciones.

Nota

AppLocker es una característica de seguridad de defensa en profundidad y no un límite de seguridad. Windows Defender Application Control debe usarse cuando el objetivo es proporcionar una protección sólida contra una amenaza y se espera que no haya limitaciones por diseño que impidan que la característica de seguridad logre este objetivo.

AppLocker puede ayudarte a proteger los recursos digitales de la organización, reducir las amenazas de software malintencionado que entran en tu entorno y mejorar la administración del control de las aplicaciones y el mantenimiento de directivas de control de aplicaciones.

Instalar AppLocker

AppLocker viene incluido en las ediciones empresariales de Windows. Puedes crear reglas de AppLocker para un solo equipo o para un grupo de equipos. Para un solo equipo, puedes crear las reglas mediante la Directiva de seguridad local (secpol.msc). Para un grupo de equipos, puedes crear las reglas en un objeto de directiva de grupo usando la Consola de administración de directivas de grupo (GPMC).

Nota

GPMC está disponible en equipos cliente que ejecutan Windows solo mediante la instalación de las Herramientas de administración remota del servidor. Si un equipo funciona con Windows Server, debes instalar la característica Administración de directivas de grupo.

Usar AppLocker en Server Core

No se admite AppLocker en instalaciones de Server Core.

Consideraciones sobre la virtualización

Puedes administrar las directivas de AppLocker utilizando una instancia virtualizada de Windows, siempre y cuando cumpla todos los requisitos del sistema enumerados anteriormente. También puedes ejecutar la directiva de grupo en una instancia virtualizada. Sin embargo, corres el riesgo de perder las directivas que hayas creado y mantenido si la instancia virtualizada se quita o tiene algún error.

Consideraciones sobre seguridad

Las directivas de control de aplicaciones especifican qué aplicaciones se pueden ejecutar en el equipo local.

La variedad de formas que puede adoptar el software malintencionado hace que los usuarios lo tengan difícil para saber qué es seguro ejecutar. Cuando se activa, el software malintencionado puede dañar el contenido de una unidad de disco duro, inundar una red con solicitudes para provocar un ataque por denegación de servicio (DoS), enviar información confidencial a Internet o comprometer la seguridad de un equipo.

La medida que hay que adoptar como respuesta es crear un diseño seguro para tus directivas de control de aplicaciones en los equipos de la organización y, luego, probar a fondo las directivas en un entorno de laboratorio antes de implementarlas en un entorno de producción. AppLocker puede formar parte de tu estrategia de control de aplicaciones porque así puedes controlar el software que se puede ejecutar en tus equipos.

La implementación de una directiva de control de aplicaciones defectuosa puede deshabilitar aplicaciones necesarias o permitir la ejecución de software malintencionado o no deseado. Por lo tanto, es importante que las organizaciones dediquen recursos suficientes para administrar y solucionar problemas de implementación de dichas directivas.

Para obtener más información sobre problemas de seguridad específicos, consulte Consideraciones de seguridad para AppLocker.

Al usar AppLocker para crear directivas de control de aplicaciones, debes tener en cuenta las siguientes consideraciones de seguridad:

  • ¿Quién tiene derecho a establecer directivas de AppLocker?
  • ¿Cómo se valida que se cumplen las directivas?
  • ¿Qué eventos hay que auditar?

Como referencia para cuando elabores tu plan de seguridad, puedes consultar la siguiente tabla, donde se identifican las configuraciones de línea base de un equipo con AppLocker instalado:

Configuración Valor predeterminado
Cuentas creadas Ninguno
Método de autenticación No corresponde
Interfaces de administración AppLocker puede administrarse mediante el uso de un complemento de la Microsoft Management Console, la Administración de directivas de grupo y Windows PowerShell
Puertos abiertos Ninguno
Privilegios mínimos necesarios Administrador en el equipo local, Administrador de dominio o cualquier conjunto de derechos que te permitan crear, editar y distribuir objetos de directiva de grupo
Protocolos utilizados No corresponde
Tareas programadas Appidpolicyconverter.exe se coloca en una tarea programada para ejecutarse a petición
Directivas de seguridad No se necesita ninguno; AppLocker ya crea las directivas de seguridad.
Servicios del sistema necesarios El servicio de identidad de aplicación (appidsvc) se ejecuta en LocalServiceAndNoImpersonation
Almacenamiento de credenciales Ninguno

En esta sección

Tema Descripción
Administrar AppLocker En este tema para profesionales de TI se facilita una serie de vínculos a procedimientos específicos que se pueden usar a la hora de administrar las directivas de AppLocker.
Guía de diseño de AppLocker En este tema para profesionales de TI encontrarás una introducción al diseño y la planeación de los pasos necesarios para implementar directivas de control de aplicaciones con AppLocker.
Guía de implementación de AppLocker En este tema para profesionales de TI se introducen los conceptos y se describen los pasos necesarios para implementar las directivas de AppLocker.
Referencia técnica de AppLocker En este tema de introducción para profesionales de TI se presenta una serie de vínculos a los temas de la referencia técnica.