Control de aplicaciones para Windows

Se aplica a:

  • Windows10
  • Windows11
  • Windows Server2016 y superior

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Teniendo en cuenta que cada día se crean miles de archivos malintencionados nuevos, el uso de métodos tradicionales, como las soluciones antivirus (la detección basada en firmas para luchar contra el malware), proporciona una defensa inadecuada ante ataques nuevos.

En la mayoría de las organizaciones, la información es el recurso más valioso y es imperativo asegurarse de que solo los usuarios aprobados tengan acceso a esa información. Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario. Como resultado, fácilmente podría eliminarse o transmitirse fuera de la organización información confidencial si un usuario, intencionadamente o no, ejecutara software malintencionado.

El control de aplicaciones puede ayudar a mitigar estos tipos de amenazas de seguridad mediante la restricción de las aplicaciones que los usuarios pueden ejecutar y el código que se ejecuta en System Core (kernel). Las directivas de control de aplicaciones también pueden bloquear scripts sin firmar y MSI, y restringir Windows PowerShell para que se ejecuten en modo de lenguaje restringido.

El control de aplicaciones es una línea de defensa crucial para proteger a las empresas en función del panorama de amenazas actual y tiene una ventaja inherente sobre las soluciones antivirus tradicionales. En concreto, el control de aplicaciones se aleja de un modelo de confianza de aplicaciones en el que todas las aplicaciones se asumen de confianza a una en la que las aplicaciones deben ganar confianza para poder ejecutarse. Muchas organizaciones, como la Dirección australiana de señales, entienden la importancia del control de aplicaciones y citan con frecuencia el control de aplicaciones como uno de los medios más eficaces para abordar la amenaza del malware ejecutable basado en archivos (.exe, .dll, etc.).

Nota

Aunque el control de aplicaciones puede proteger considerablemente los equipos frente a código malintencionado, se recomienda seguir manteniendo una solución antivirus empresarial para una cartera de seguridad empresarial completa.

Windows 10 y Windows 11 incluyen dos tecnologías que se pueden usar para el control de aplicaciones en función de los escenarios y requisitos específicos de la organización:

  • Windows Defender Control de aplicaciones (WDAC); y
  • AppLocker

WDAC y Smart App Control

A partir de Windows 11 versión 22H2, Smart App Control proporciona control de aplicaciones para los consumidores. Smart App Control se basa en WDAC, lo que permite a los clientes empresariales crear una directiva que ofrezca la misma seguridad y compatibilidad con la capacidad de personalizarlo para ejecutar aplicaciones de línea de negocio (LOB). Para facilitar la implementación de esta directiva, se proporciona una directiva de ejemplo . La directiva de ejemplo incluye la regla Enabled:Conditional Windows Lockdown Policy (Directiva de bloqueo condicional de Windows ) que no se admite para las directivas empresariales WDAC. Esta regla debe quitarse antes de usar la directiva de ejemplo. Para usar esta directiva de ejemplo como punto de partida para crear su propia directiva, consulte Creación de una directiva base personalizada mediante una directiva base WDAC de ejemplo.

Smart App Control solo está disponible en la instalación limpia de Windows 11 versión 22H2 o posterior y se inicia en modo de evaluación. Smart App Control se desactivará automáticamente para los dispositivos administrados por la empresa a menos que el usuario lo haya activado primero. Para activar o desactivar Smart App Control en los puntos de conexión de la organización, puede establecer el valor del Registro VerifiedAndReputablePolicyState (DWORD) en HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy uno de los valores que se enumeran a continuación. Después de cambiar el valor del Registro, debe reiniciar el dispositivo o ejecutar RefreshPolicy.exe para que el cambio surta efecto.

Valor Descripción
0 Desactivado
1 Hacer cumplir
2 Evaluación

Importante

Una vez que desactivas Smart App Control, no se puede activar sin restablecer o volver a instalar Windows.

Bloques aplicados de Smart App Control

Smart App Control aplica las reglas de bloque de controladores recomendados de Microsoft y las reglas de bloque recomendadas por Microsoft, con algunas excepciones para las consideraciones de compatibilidad. Smart App Control no bloquea lo siguiente:

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

Artículos relacionados