Planear la administración de las directivas de AppLocker

En este artículo se describen las decisiones que debe tomar para establecer los procesos de administración y mantenimiento de directivas de AppLocker.

Administración de directivas

Antes de comenzar el proceso de implementación, considere la posibilidad de administrar las reglas de AppLocker con el tiempo. El desarrollo de un proceso para administrar las reglas de AppLocker ayuda a garantizar que AppLocker sigue controlando de forma eficaz cómo se permite que las aplicaciones se ejecuten en su organización.

Directiva de soporte técnico de aplicaciones y usuarios

El desarrollo de un proceso para administrar las reglas de AppLocker ayuda a garantizar que AppLocker sigue controlando de forma eficaz cómo se permite que las aplicaciones se ejecuten en su organización. Entre las consideraciones se incluyen:

  • ¿Qué tipo de soporte técnico del usuario final se proporciona para las aplicaciones bloqueadas?
  • ¿Cómo se agregan nuevas reglas a la directiva?
  • ¿Cómo se actualizan las reglas existentes?
  • ¿Los eventos se reenvía para su revisión?

Soporte técnico del departamento de soporte técnico

Si su organización tiene un departamento de soporte técnico establecido, tenga en cuenta los siguientes puntos al implementar directivas de AppLocker:

  • ¿Qué documentación requiere el departamento de soporte técnico para las nuevas implementaciones de directivas?
  • ¿Cuáles son los procesos críticos de cada grupo de negocios afectados por las directivas de control de aplicaciones y cómo podrían afectar a la carga de trabajo del departamento de soporte técnico?
  • ¿Quiénes son los contactos del departamento de soporte técnico?
  • ¿Cómo se resuelven los problemas de control de aplicaciones para el usuario final?

Compatibilidad con el usuario final

Dado que AppLocker impide que las aplicaciones no aprobadas se ejecuten, es importante que su organización planee cuidadosamente cómo proporcionar soporte técnico al usuario final. Entre las consideraciones se incluyen:

  • ¿Desea usar un sitio de intranet como primera línea de soporte técnico para los usuarios que encuentran aplicaciones bloqueadas?
  • ¿Cómo desea admitir excepciones a la directiva?

Uso de un sitio de intranet

AppLocker se puede configurar para mostrar el mensaje de bloque predeterminado, pero con una dirección URL personalizada. Puede usar esta dirección URL para redirigir a los usuarios a un sitio de soporte técnico que contenga información sobre por qué el usuario recibió el error y qué aplicaciones se permiten. Si no muestra una dirección URL personalizada para el mensaje cuando se bloquea una aplicación, se usa la dirección URL predeterminada.

En la imagen siguiente se muestra un ejemplo del mensaje de error de una aplicación bloqueada. Puede usar la configuración establecer una directiva de vínculo web de soporte técnico para personalizar el vínculo Más información .

applocker bloqueó el mensaje de error de la aplicación.

Para ver los pasos para mostrar una dirección URL personalizada para el mensaje, consulte Mostrar un mensaje de dirección URL personalizada cuando los usuarios intentan ejecutar una aplicación bloqueada.

Administración de eventos de AppLocker

Cada vez que un proceso intenta ejecutarse, AppLocker crea un evento en el registro de eventos de AppLocker. El evento incluye información sobre el archivo que intentó ejecutarse, el usuario que lo inició y el GUID de regla de AppLocker que bloqueó o permitió el archivo. El registro de eventos de AppLocker se encuentra en la ruta de acceso siguiente: Registros de aplicaciones y servicios\Microsoft\Windows\AppLocker. El registro de AppLocker incluye tres registros:

  1. EXE y DLL. Contiene eventos para todos los archivos afectados por las colecciones de reglas ejecutables y DLL (.exe, .com, .dll y .ocx).
  2. MSI y script. Contiene eventos para todos los archivos afectados por las colecciones de reglas de script y Windows Installer (.msi, .msp, .ps1, .bat, .cmd, .vbs y .js).
  3. La implementación de aplicaciones empaquetadas o la ejecución de aplicaciones empaquetadas contiene eventos para todas las aplicaciones universales de Windows afectadas por la aplicación empaquetada y la colección de reglas del instalador de aplicaciones empaquetadas (.appx).

La recopilación de estos eventos en una ubicación central puede ayudarle a mantener la directiva de AppLocker y a solucionar problemas de configuración de reglas.

Mantenimiento de directivas

A medida que se implementan, actualizan o retiran las aplicaciones, debe mantener actualizadas las reglas de directiva.

Puede editar una directiva de AppLocker agregando, cambiando o quitando reglas. Sin embargo, no se puede especificar una versión para la directiva mediante la importación de más reglas. Para garantizar el control de versiones al modificar una directiva de AppLocker, use directiva de grupo software de administración que le permite crear versiones de objetos de directiva de grupo (GPO). Un ejemplo de este tipo de software es la característica Administración avanzada de directiva de grupo del paquete de optimización de escritorio de Microsoft. Para obtener más información, consulte Advanced directiva de grupo Management Overview(Introducción a advanced directiva de grupo Management).

Importante

No debe editar una colección de reglas de AppLocker mientras se aplica en directiva de grupo. Dado que AppLocker controla qué archivos pueden ejecutarse, realizar cambios en una directiva activa puede crear un comportamiento inesperado.

Nueva versión de una aplicación compatible

Cuando se implementa una nueva versión de una aplicación en la organización, debe determinar si desea seguir admitiendo la versión anterior de esa aplicación. Para agregar la nueva versión, es posible que solo tenga que crear una nueva regla para cada archivo asociado a la aplicación. Si usa condiciones de publicador y no se especifica la versión, es posible que la regla o las reglas existentes sean suficientes para permitir que se ejecute el archivo actualizado. Sin embargo, debe comprobar si hay nombres de archivo que cambien o se agreguen nuevos archivos. Si es así, debe modificar las reglas existentes o crear nuevas reglas. Es posible que tenga que actualizar las reglas basadas en publicador para los archivos cuyos cambios de firma digital.

Para determinar si un archivo cambió durante una actualización de la aplicación, revise los detalles de versión del publicador proporcionados con el paquete de actualización. También puede revisar la página web del publicador para recuperar esta información. Cada archivo también se puede inspeccionar para determinar la versión.

Para los archivos permitidos o denegados con condiciones de hash de archivo, debe recuperar el nuevo hash de archivo y asegurarse de que las reglas incluyen ese nuevo hash.

En el caso de los archivos con condiciones de ruta de acceso, debe comprobar que la ruta de instalación es la misma. Si la ruta de acceso ha cambiado, debe agregar una regla para la nueva ruta de acceso antes de instalar la nueva versión de la aplicación.

Aplicación implementada recientemente

Para admitir una nueva aplicación, debe agregar una o varias reglas a la directiva de AppLocker existente.

Ya no se admite la aplicación

Si su organización ya no admite una aplicación que tenga reglas de AppLocker asociadas, puede eliminar las reglas para bloquear la aplicación.

La aplicación está bloqueada, pero debe permitirse

Un archivo podría bloquearse por tres motivos:

  • La razón más común es que no existe ninguna regla para permitir la ejecución de la aplicación.
  • Puede haber una regla existente que se haya creado para el archivo que sea demasiado restrictiva.
  • Una regla de denegación, que no se puede invalidar, bloquea explícitamente el archivo.

Antes de editar la colección de reglas, determine primero qué regla impide que se ejecute el archivo. Puede solucionar el problema mediante el cmdlet Test-AppLockerPolicy Windows PowerShell. Para obtener más información sobre cómo solucionar problemas de una directiva de AppLocker, consulta Probar y actualizar una directiva de AppLocker.

Registro de los resultados

Para completar este documento de planeamiento de AppLocker, primero debe completar los pasos siguientes:

  1. Determinar los objetivos de control de la aplicación
  2. Crear una lista de aplicaciones implementadas en cada grupo de negocios
  3. Seleccionar los tipos de reglas que se crearán
  4. Determinar la estructura de directivas de grupo y la aplicación de reglas
  5. Planear la administración de las directivas de AppLocker

Las tres áreas clave que se deben determinar para la administración de directivas de AppLocker son:

  1. Directiva de soporte

    Documente el proceso para controlar las llamadas de los usuarios que intentaron ejecutar una aplicación bloqueada y asegúrese de que el personal de soporte técnico conozca los pasos de solución de problemas recomendados y los puntos de escalado de la directiva.

  2. Procesamiento de eventos

    Documente dónde se recopilan los eventos, con qué frecuencia se archivan y cómo se procesan los eventos para su análisis.

  3. Mantenimiento de directivas

    Detalle de los planes de mantenimiento y ciclo de vida de las directivas.

La tabla siguiente contiene los datos de ejemplo agregados que se recopilaron al determinar cómo mantener y administrar directivas de AppLocker.

Grupo de negocios Unidad organizativa ¿Implementar AppLocker? Aplicaciones Ruta de instalación Uso de una regla predeterminada o definición de una nueva condición de regla Permitir o denegar Nombre de GPO Directiva de soporte
Cajeros bancarios Teller-East y Teller-West Teller Software C:\Program Files\Woodgrove\Teller.exe El archivo está firmado; creación de una condición de publicador Permitir Tellers-AppLockerTellerRules Ayuda web
Archivos de Windows C:\windows Crear una excepción de ruta de acceso a la regla predeterminada para excluir \Windows\Temp Permitir Departamento de soporte técnico
Recursos humanos HR-All Comprobación del pago C:\Program Files\Woodgrove\HR\Checkcut.exe El archivo está firmado; creación de una condición de publicador Permitir HR-AppLockerHRRules Ayuda web
Organizador de hoja de horas C:\Program Files\Woodgrove\HR\Timesheet.exe El archivo no está firmado; crear una condición hash de archivo Permitir Ayuda web
Internet Explorer 7 C:\Archivos de programa\Internet Explorer

El archivo está firmado; creación de una condición de publicador Denegar Ayuda web
Archivos de Windows C:\windows Uso de la regla predeterminada para la ruta de acceso de Windows Permitir Departamento de soporte técnico

En las dos tablas siguientes se muestran ejemplos de consideraciones de documentación para mantener y administrar directivas de AppLocker.

Directiva de procesamiento de eventos

Un método de detección para el uso de aplicaciones consiste en establecer el modo de cumplimiento de AppLocker en Solo auditoría. Este modo de cumplimiento escribe eventos en los registros de AppLocker, que se pueden administrar y analizar como otros registros de Windows. Una vez identificadas las aplicaciones, puede empezar a desarrollar directivas relacionadas con el procesamiento y el acceso a eventos de AppLocker.

La tabla siguiente es un ejemplo de lo que se debe tener en cuenta y registrar.

Grupo de negocios Ubicación de la colección de eventos de AppLocker Directiva de archivo ¿Analizado? Directiva de seguridad
Cajeros bancarios Reenviado a: Repositorio de eventos de AppLocker en srvBT093 Standard Ninguna Standard
Recursos humanos NO AVANCE. srvHR004 60 meses Sí, informes de resumen mensuales a los administradores Standard

Directiva de mantenimiento de directivas

Empiece a documentar cómo piensa actualizar las directivas de control de aplicaciones.

La tabla siguiente es un ejemplo de lo que se debe tener en cuenta y registrar.

Grupo de negocios Directiva de actualización de reglas Directiva de retirada de aplicaciones Directiva de versión de la aplicación Directiva de implementación de aplicaciones
Cajeros bancarios Planeado: mes a través de la evaluación de la oficina empresarial

Emergencia: solicitar a través del departamento de soporte técnico

A través de la evaluación de la evaluación de la oficina empresarial

Se requiere un aviso de 30 días

Directiva general: Mantener versiones anteriores durante 12 meses

Enumerar directivas para cada aplicación

Coordinada a través de la oficina empresarial

Se requiere un aviso de 30 días

Recursos humanos Planeado: evaluación mensual a través de la evaluación de recursos humanos

Emergencia: solicitar a través del departamento de soporte técnico

A través de la evaluación de prioridades de RR. HH.

Se requiere un aviso de 30 días

Directiva general: Mantener versiones anteriores durante 60 meses

Enumerar directivas para cada aplicación

Coordinada a través de RR. HH.

Se requiere un aviso de 30 días