Supervisar el uso de aplicaciones con AppLocker
En este artículo para profesionales de TI se describe cómo supervisar el uso de aplicaciones cuando se aplican directivas de AppLocker.
Después de implementar directivas de AppLocker, supervise su efecto en los dispositivos para asegurarse de que los resultados son los esperados.
Detectar el efecto de una directiva de AppLocker
Puede evaluar cómo se implementa actualmente la directiva de AppLocker con fines de documentación o auditoría, o antes de modificar la directiva. La actualización del documento de planeación de la implementación de directivas de AppLocker le ayuda a realizar un seguimiento de los resultados. Puede realizar uno o varios de los pasos siguientes para comprender qué controles de aplicación se aplican actualmente mediante reglas de AppLocker.
Analizar los registros de AppLocker en Visor de eventos
Cuando la aplicación de directivas de AppLocker se establece en Aplicar reglas, se bloquean los archivos que no están permitidos por la directiva. En ese caso, se genera un evento en el registro de eventos de AppLocker para la colección de reglas. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, las reglas no se aplican, pero se siguen evaluándose para generar datos de eventos de auditoría que se escriben en los registros de AppLocker.
Para obtener más información sobre el procedimiento para acceder al registro, vea Ver el inicio de sesión de AppLocker en Visor de eventos.
Habilitación de la opción Auditar solo el cumplimiento de AppLocker
Al usar la opción Auditar solo la aplicación, puede asegurarse de que las reglas de AppLocker están configuradas correctamente para su organización. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, solo se evalúan las reglas, pero todos los eventos generados a partir de esa evaluación se escriben en el registro de AppLocker.
Para obtener más información sobre el procedimiento para realizar esta configuración, vea Configurar una directiva de AppLocker solo para auditoría.
Revisión de eventos de AppLocker con Get-AppLockerFileInformation
Para las suscripciones de eventos y los eventos locales, puede usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar qué archivos se bloquearon o se bloquearían (si usa el modo de cumplimiento de solo auditoría) y cuántas veces se produjo el evento de bloque para cada archivo.
Para obtener más información sobre el procedimiento para realizar esta comprobación, vea Revisar eventos de AppLocker con Get-AppLockerFileInformation.
Revisión de eventos de AppLocker con Test-AppLockerPolicy
Puede usar el cmdlet Test-AppLockerPolicy Windows PowerShell para determinar si alguna de las reglas de las colecciones de reglas afecta a los archivos que se ejecutan en el dispositivo de referencia o al dispositivo en el que se mantienen las directivas.
Para obtener más información sobre el procedimiento para realizar esta prueba, vea Probar una directiva de AppLocker mediante Test-AppLockerPolicy.
Revise los eventos de AppLocker con Get-AppLockerFileInformation
Tanto para las suscripciones de eventos como para los eventos locales, puede usar el cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar qué archivos se bloquearon o se bloquearían (si se aplica la opción Audit only enforcement) y cuántas veces se produjo el evento de bloque para cada archivo.
La pertenencia al grupo administradores local, o equivalente, es el mínimo necesario para completar este procedimiento.
Nota
Si los registros de AppLocker no están en el dispositivo local, necesitará permiso para ver los registros. Si la salida se guarda en un archivo, necesitará permiso para leer ese archivo.
Para revisar los eventos de AppLocker con Get-AppLockerFileInformation
En el símbolo del sistema, escriba PowerShell y, a continuación, seleccione ENTRAR.
Ejecute el siguiente comando para revisar cuántas veces la directiva de AppLocker no permitió un archivo:
Get-AppLockerFileInformation -EventLog -EventType Audited -StatisticsEjecute el siguiente comando para revisar cuántas veces se permitió que un archivo se ejecutara o no se pudiera ejecutar:
Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
Ver el Visor de eventos de inicio de sesión de AppLocker
Cuando la aplicación de directivas de AppLocker se establece en Aplicar reglas, se bloquean los archivos que no están permitidos por la directiva. En ese caso, se genera un evento en el registro de eventos de AppLocker para la colección de reglas. Cuando la aplicación de directivas de AppLocker se establece en Solo auditoría, las reglas no se aplican, pero se siguen evaluándose para generar datos de eventos de auditoría que se escriben en los registros de AppLocker.
La pertenencia al grupo administradores local, o equivalente, es el mínimo necesario para completar este procedimiento.
Para ver eventos en el registro de AppLocker mediante Visor de eventos
- Para abrir Visor de eventos, vaya al menú Inicio, escriba eventvwr.msc y, a continuación, seleccione ENTRAR.
- En el árbol de consola en Registros de aplicaciones y servicios\Microsoft\Windows, haga doble clic en AppLocker.
Los eventos de AppLocker aparecen en el registro EXE y DLL , el registro msi y script , o en el registro empaquetado de implementación de aplicaciones o ejecución de aplicaciones empaquetadas . La información del evento incluye la configuración de cumplimiento, el nombre de archivo, la fecha y hora y el nombre de usuario. Los registros se pueden exportar a otros formatos de archivo para su posterior análisis.
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de