Procesos e interacciones de AppLocker

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

En este artículo para el profesional de TI se describen las dependencias e interacciones del proceso cuando AppLocker evalúa y aplica reglas.

Cómo aplica AppLocker las directivas

Las directivas de AppLocker son colecciones de reglas que pueden contener cualquiera de las opciones de modo de cumplimiento configuradas. Cuando se aplica, cada regla se evalúa dentro de la directiva y la colección de reglas se aplica según la configuración de cumplimiento y según la estructura de directiva de grupo.

La directiva de AppLocker se aplica en un equipo a través del servicio application identity (appid.sys), que es el motor que evalúa las directivas y se ejecuta dentro del kernel de Windows. Si el servicio no se está ejecutando, no se aplican las directivas. El servicio Application Identity devuelve la información del binario (incluso si los nombres de producto o binario están vacíos) en el panel de resultados del complemento Directiva de seguridad local.

Las directivas de AppLocker se almacenan en un formato de descriptor de seguridad según los requisitos del servicio Application Identity. Usa atributos de ruta de acceso de archivo, hash o nombre binario completo para formar acciones de permitir o denegar en una regla. Cada regla se almacena como una entrada de control de acceso (ACE) en el descriptor de seguridad y contiene la siguiente información:

• Ya sea una ACE de permitir o denegar ("XA" o "XD" en el formulario del lenguaje de definición de descriptor de seguridad (SDDL).
• Identificador de seguridad de usuario (SID) al que se aplica esta regla. (El valor predeterminado es el SID de usuario autenticado en SDDL).
• Condición de regla que contiene los atributos appid .

Por ejemplo, un SDDL para una regla que permite ejecutar todos los archivos del directorio %windir% usa el formato siguiente: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys lee y almacena en caché la directiva efectiva de AppLocker para archivos DLL y archivos ejecutables. Cada vez que se aplica una nueva directiva, una tarea de convertidor de directivas notifica a appid.sys. Para otros tipos de archivo, la directiva de AppLocker se lee cada vez que se realiza una llamada a SaferIdentifyLevel .

Descripción de las reglas de AppLocker

Una regla de AppLocker es un control colocado en un archivo que controla si se ejecuta para un usuario o grupo específico. Crea reglas de AppLocker para cinco tipos diferentes de archivos o colecciones:

• Una regla ejecutable controla si un usuario o grupo puede ejecutar un archivo ejecutable. Los archivos ejecutables suelen tener las extensiones de nombre de archivo .exe o .com y se aplican a las aplicaciones.
• Una regla de script controla si un usuario o grupo puede ejecutar scripts con una extensión de nombre de archivo de .ps1, .bat, .cmd, .vbs y .js.
• Una regla de Windows Installer controla si un usuario o grupo puede ejecutar archivos con una extensión de nombre de archivo de .msi, .mst y .msp (revisión de Windows Installer).
• Una regla DLL controla si un usuario o grupo puede ejecutar archivos con una extensión de nombre de archivo de .dll y .ocx.
• Una aplicación empaquetada y una regla de instalador de aplicación empaquetada controlan si un usuario o grupo puede ejecutar o instalar una aplicación empaquetada. Un instalador de aplicación empaquetada tiene la extensión .appx.

Hay tres tipos diferentes de condiciones que se pueden aplicar a las reglas:

• Una condición de publicador en una regla controla si un usuario o grupo puede ejecutar archivos desde un publicador de software específico. El archivo debe estar firmado.

• Una condición de ruta de acceso en una regla controla si un usuario o grupo puede ejecutar archivos desde un directorio específico o sus subdirectorios.

• Una condición hash de archivo en una regla controla si un usuario o grupo puede ejecutar archivos con hashes cifrados coincidentes.

• Descripción de las colecciones de reglas de AppLocker

  Una colección de reglas de AppLocker es un conjunto de reglas que se aplican a uno de los tipos siguientes: archivos ejecutables, archivos de Windows Installer, scripts, archivos DLL y aplicaciones empaquetadas.

• Descripción de los tipos de condición de reglas de AppLocker

  Las condiciones de regla son criterios en los que se basa la regla de AppLocker. Las condiciones principales son necesarias para crear una regla de AppLocker. Las tres condiciones de regla principales son el publicador, la ruta de acceso y el hash de archivo.

  • Descripción de la condición de regla de editor en AppLocker
  • Descripción de la condición de regla de ruta en AppLocker
  • Descripción de la condición de regla hash de archivo en AppLocker

• Descripción de las reglas predeterminadas de AppLocker

  AppLocker incluye reglas predeterminadas para cada colección de reglas. Estas reglas están diseñadas para ayudar a garantizar que los archivos necesarios para que Windows funcione correctamente se permiten en una colección de reglas de AppLocker.

  • Reglas de archivo ejecutable en AppLocker
  • Reglas de Windows Installer en AppLocker
  • Reglas de script en AppLocker
  • Reglas de DLL en AppLocker
  • Reglas de aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas en AppLocker

• Descripción de las excepciones de reglas de AppLocker

  Puede aplicar reglas de AppLocker a usuarios individuales o a un grupo de usuarios. Si aplica una regla a un grupo de usuarios, la regla afecta a todos los usuarios de ese grupo. Si necesita permitir que solo un subconjunto de un grupo de usuarios use una aplicación, puede crear una regla especial para ese subconjunto.

• Descripción del comportamiento de las reglas de AppLocker y descripción de las acciones de permitir y denegar de AppLocker en reglas

  Cada colección de reglas de AppLocker funciona como una lista permitida de archivos.

Descripción de las directivas de AppLocker

Una directiva de AppLocker es un conjunto de colecciones de reglas y sus correspondientes configuraciones de modo de cumplimiento configuradas aplicadas a uno o varios equipos.

• Descripción de la configuración de aplicación de AppLocker

  La aplicación de reglas solo se aplica a colecciones de reglas, no a reglas individuales. AppLocker divide las reglas en cuatro colecciones: archivos ejecutables, archivos de Windows Installer, scripts y archivos DLL. Las opciones para la aplicación de reglas son No configuradas, Aplicar reglas o Solo auditoría. Juntos, todas las colecciones de reglas de AppLocker componen la directiva de control de aplicaciones o la directiva de AppLocker. De forma predeterminada, si no se configura la aplicación y las reglas están presentes en una colección de reglas, se aplican esas reglas.

Descripción de AppLocker y directiva de grupo

directiva de grupo se pueden usar para crear, modificar y distribuir directivas de AppLocker en objetos independientes o en combinación con otras directivas.

• Descripción de las reglas de AppLocker y la herencia de la configuración de aplicación de la directiva de grupo

  Cuando se usa directiva de grupo para distribuir directivas de AppLocker, se aplican colecciones de reglas que contienen una o varias reglas a menos que el modo de cumplimiento esté establecido en Solo auditoría. directiva de grupo no sobrescribe ni reemplaza las reglas que ya están presentes en un objeto de directiva de grupo vinculado (GPO) y aplica las reglas de AppLocker además de las reglas existentes. AppLocker procesa reglas de denegación explícitas antes de las reglas permitidas y, para la aplicación de reglas, se aplica la última escritura en el GPO.

Artículos relacionados

• Referencia técnica de AppLocker