Administrar aplicaciones empaquetadas con AppLocker
En este artículo para profesionales de TI se describen los conceptos y se enumeran los procedimientos para ayudarle a administrar aplicaciones empaquetadas con AppLocker como parte de la estrategia general de control de aplicaciones.
Descripción de las aplicaciones empaquetadas y los instaladores de aplicaciones empaquetadas para AppLocker
Las aplicaciones empaquetadas se basan en un modelo que garantiza que todos los archivos de un paquete de aplicación compartan la misma identidad. Con las aplicaciones clásicas de Windows, cada archivo dentro de la aplicación podría tener una identidad única. Con las aplicaciones empaquetadas, es posible controlar toda la aplicación mediante una sola regla de AppLocker.
Nota
AppLocker solo admite reglas de publicador para aplicaciones empaquetadas. Todas las aplicaciones empaquetadas deben estar firmadas por el editor de software porque Windows no admite aplicaciones empaquetadas sin firmar.
Normalmente, una aplicación consta de varios componentes: el instalador que se usa para instalar la aplicación y uno o varios archivos exe, dll o scripts. Con las aplicaciones clásicas de Windows, no todos estos componentes siempre comparten atributos comunes, como el nombre del publicador del software, el nombre del producto y la versión del producto. Por lo tanto, AppLocker controla cada uno de estos componentes por separado a través de diferentes colecciones de reglas, como exe, dll, script y reglas de Windows Installer. Por el contrario, todos los componentes de una aplicación empaquetada comparten el mismo nombre de publicador, el nombre del paquete y los atributos de versión del paquete. Por lo tanto, puede controlar una aplicación completa con una sola regla.
Comparación de aplicaciones clásicas de Windows y aplicaciones empaquetadas
Las reglas de las aplicaciones clásicas de Windows y las aplicaciones empaquetadas se pueden aplicar en tándem. Las diferencias entre las aplicaciones empaquetadas y las aplicaciones clásicas de Windows que debe considerar incluyen:
- Instalación de las aplicaciones : un usuario estándar puede instalar todas las aplicaciones empaquetadas, mientras que muchas aplicaciones clásicas de Windows requieren privilegios administrativos para instalarlas. En un entorno donde la mayoría de los usuarios son usuarios estándar, es posible que necesite menos reglas exe (porque las aplicaciones clásicas de Windows requieren privilegios administrativos para instalar), pero es posible que necesite más reglas para las aplicaciones empaquetadas.
- Cambio del estado del sistema : las aplicaciones clásicas de Windows se pueden escribir para cambiar el estado del sistema si se ejecutan con privilegios administrativos. La mayoría de las aplicaciones empaquetadas no pueden cambiar el estado del sistema porque se ejecutan con privilegios limitados. Al diseñar las directivas de AppLocker, es importante saber si una aplicación que permite puede realizar cambios en todo el sistema.
AppLocker usa diferentes colecciones de reglas para controlar aplicaciones empaquetadas y aplicaciones clásicas de Windows. Tiene la opción de controlar un tipo, el otro tipo o ambos.
Para obtener información sobre cómo controlar aplicaciones clásicas de Windows, consulta Administrar AppLocker.
Para obtener más información sobre las aplicaciones empaquetadas, consulta Aplicaciones empaquetadas y reglas de instalador de aplicaciones empaquetadas en AppLocker.
Decisiones de diseño e implementación
Puede usar dos métodos para crear un inventario de aplicaciones empaquetadas en un equipo: la consola de AppLocker o el cmdlet Get-AppxPackage Windows PowerShell.
Nota
No todas las aplicaciones empaquetadas aparecen en el Asistente para inventario de aplicaciones de AppLocker. Algunos paquetes de aplicaciones son paquetes de marcos que aprovechan otras aplicaciones. Por sí mismos, estos paquetes no pueden hacer nada, pero el bloqueo de estos paquetes puede provocar involuntariamente un error en las aplicaciones que desea permitir. En su lugar, puede crear reglas Permitir o Denegar para las aplicaciones empaquetadas que usan estos paquetes de marco. La interfaz de usuario de AppLocker filtra deliberadamente todos los paquetes registrados como paquetes de marco. Para obtener información sobre cómo crear una lista de inventario, consulte Creación de una lista de aplicaciones implementadas en cada grupo de negocios.
Para obtener información sobre cómo usar el cmdlet Get-AppxPackage Windows PowerShell, consulta la Referencia de comandos de PowerShell de AppLocker.
Para obtener información sobre cómo crear reglas para aplicaciones empaquetadas, consulte Creación de una regla para aplicaciones empaquetadas.
Tenga en cuenta la siguiente información al diseñar e implementar aplicaciones:
- Dado que AppLocker solo admite reglas de publicador para aplicaciones empaquetadas, no es necesario recopilar la información de la ruta de instalación de las aplicaciones empaquetadas.
- No es necesario crear reglas basadas en hash o ruta de acceso para aplicaciones empaquetadas porque el editor de software debe firmar todas las aplicaciones empaquetadas y los instaladores de aplicaciones empaquetadas. Las aplicaciones clásicas de Windows no siempre se firmaron de forma coherente; Por lo tanto, AppLocker tiene que admitir reglas basadas en hash o ruta de acceso.
- De forma predeterminada, si no hay ninguna regla en una colección de reglas determinada, AppLocker permite todos los archivos que se incluyen en esa colección de reglas. Por ejemplo, si no hay reglas de Windows Installer, AppLocker permite ejecutar todos los archivos .msi, .msp y .mst.
Nota
De forma predeterminada, AppLocker bloquea todas las aplicaciones empaquetadas si la directiva de dominio existente tiene reglas configuradas en la colección de reglas exe. Debe realizar una acción explícita para permitir aplicaciones empaquetadas en la empresa. Solo puede permitir un conjunto selecto de aplicaciones empaquetadas. O bien, si desea permitir todas las aplicaciones empaquetadas, puede crear una regla predeterminada para la colección de aplicaciones empaquetadas.
Uso de AppLocker para administrar aplicaciones empaquetadas
Al igual que hay diferencias en la administración de cada colección de reglas, debe administrar las aplicaciones empaquetadas con la siguiente estrategia:
Recopile información sobre qué aplicaciones empaquetadas se ejecutan en su entorno. Para obtener información sobre cómo recopilar esta información, consulte Creación de una lista de aplicaciones implementadas en cada grupo de negocios.
Cree reglas de AppLocker para aplicaciones empaquetadas específicas en función de las estrategias de directiva. Para obtener más información, consulte Creación de una regla para aplicaciones empaquetadas y Descripción de las reglas predeterminadas de AppLocker.
Continúe actualizando las directivas de AppLocker a medida que se introducen nuevas aplicaciones de paquete en su entorno. Para realizar esta actualización, consulte Agregar reglas para aplicaciones empaquetadas al conjunto de reglas de AppLocker existente.
Continúe supervisando el entorno para comprobar la eficacia de las reglas que se implementan en las directivas de AppLocker. Para realizar esta supervisión, consulte Supervisión del uso de aplicaciones con AppLocker.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de