Compartir a través de


Información general sobre App Control para empresas y AppLocker

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

Windows 10 y Windows 11 incluyen dos tecnologías que se pueden usar para el control de aplicaciones, en función de los escenarios y requisitos específicos de la organización: App Control para empresas y AppLocker.

Control de aplicaciones para empresas

App Control se introdujo con Windows 10 y permite a las organizaciones controlar qué controladores y aplicaciones pueden ejecutarse en sus clientes windows. Se diseñó como una característica de seguridad bajo los criterios de mantenimiento, definidos por el Centro de respuesta de seguridad de Microsoft (MSRC).

Las directivas de Control de aplicaciones se aplican al equipo administrado en su conjunto y afectan a todos los usuarios del dispositivo. Las reglas de Control de aplicaciones se pueden definir en función de:

  • Atributos de los certificados de firma de código que se usan para firmar una aplicación y sus archivos binarios
  • Atributos de los archivos binarios de la aplicación que proceden de los metadatos firmados de los archivos, como nombre de archivo original y versión, o el hash del archivo
  • La reputación de la aplicación según lo determinado por Intelligent Security Graph de Microsoft
  • Identidad del proceso que inició la instalación de la aplicación y sus archivos binarios (instalador administrado)
  • Ruta de acceso desde la que se inicia la aplicación o el archivo (a partir de Windows 10 versión 1903)
  • Proceso que inició la aplicación o binario

Nota

App Control se publicó originalmente como parte de Device Guard y se llamó integridad de código configurable. Device Guard y la integridad de código configurable ya no se usan excepto para buscar dónde implementar la directiva de Control de aplicaciones a través de directiva de grupo.

Requisitos del sistema de Control de aplicaciones

Las directivas de Control de aplicaciones se pueden crear y aplicar en cualquier edición de cliente de Windows 10 o Windows 11, o en Windows Server 2016 y versiones posteriores. Las directivas de Control de aplicaciones se pueden implementar a través de una solución de mobile Administración de dispositivos (MDM), por ejemplo, Intune; una interfaz de administración como Configuration Manager o un host de script como PowerShell. directiva de grupo también se puede usar para implementar directivas de Control de aplicaciones, pero se limita a las directivas de formato de directiva única que funcionan en Windows Server 2016 y 2019.

Para obtener más información sobre qué características individuales de App Control están disponibles en compilaciones específicas de App Control, consulte Disponibilidad de características de App Control.

AppLocker

AppLocker se introdujo con Windows 7 y permite a las organizaciones controlar qué aplicaciones pueden ejecutarse en sus clientes de Windows. AppLocker ayuda a evitar que los usuarios finales ejecuten software no aprobado en sus equipos, pero no cumple los criterios de mantenimiento para ser una característica de seguridad.

Las directivas de AppLocker se pueden aplicar a todos los usuarios de un equipo o a usuarios y grupos individuales. Las reglas de AppLocker se pueden definir en función de:

  • Atributos de los certificados de firma de código que se usan para firmar una aplicación y sus archivos binarios.
  • Atributos de los archivos binarios de la aplicación que proceden de los metadatos firmados de los archivos, como nombre de archivo original y versión, o el hash del archivo.
  • Ruta de acceso desde la que se inicia la aplicación o el archivo.

AppLocker también lo usan algunas características de App Control, como el instalador administrado y Intelligent Security Graph.

Requisitos del sistema de AppLocker

Las directivas de AppLocker solo se pueden configurar y aplicar a dispositivos que se ejecutan en las versiones y ediciones compatibles del sistema operativo Windows. Para obtener más información, consulta Requisitos para usar AppLocker. Las directivas de AppLocker se pueden implementar mediante directiva de grupo o MDM.

Elegir cuándo usar App Control o AppLocker

Por lo general, los clientes que puedan implementar el control de aplicaciones mediante App Control, en lugar de AppLocker, deben hacerlo. App Control está experimentando mejoras continuas y está recibiendo soporte técnico adicional de las plataformas de administración de Microsoft. Aunque AppLocker sigue recibiendo correcciones de seguridad, no recibe nuevas mejoras de características.

Sin embargo, en algunos casos, AppLocker podría ser la tecnología más adecuada para su organización. AppLocker es mejor cuando:

  • Tiene un entorno de sistema operativo Windows (SO) mixto y debe aplicar los mismos controles de directiva a Windows 10 y versiones anteriores del sistema operativo.
  • Debe aplicar directivas diferentes para distintos usuarios o grupos en equipos compartidos.
  • No quiere aplicar el control de aplicaciones en archivos de aplicación, como archivos DLL o controladores.

AppLocker también se puede implementar como complemento de App Control para agregar reglas específicas de usuario o grupo para escenarios de dispositivos compartidos, donde es importante evitar que algunos usuarios ejecuten aplicaciones específicas. Como procedimiento recomendado, debes aplicar El control de aplicaciones en el nivel más restrictivo posible para tu organización y, a continuación, puedes usar AppLocker para ajustar aún más las restricciones.