Administración de las directivas de restricción de software

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

En este tema para profesionales de TI se explican procedimientos sobre cómo administrar directivas de control de aplicaciones mediante directivas de restricción de software (SRP) a partir de Windows Server 2008 y Windows Vista.

Introducción

Las directivas de restricción de software (SRP) son una característica basada en directivas de grupo que identifica los programas de software que se ejecutan en los equipos de un dominio y controla la capacidad de ejecución de dichos programas. Puede usar las directivas de restricción de software para crear una configuración muy restringida para los equipos, en los que solamente pueden ejecutarse aquellas aplicaciones específicamente identificadas. Se integran con Active Directory Domain Services y directiva de grupo, pero también se pueden configurar en equipos independientes. Para obtener más información sobre SRP, consulte las Directivas de restricción de software.

A partir de Windows Server 2008 R2 y Windows 7, Windows AppLocker se puede usar en lugar de o en concierto con SRP para una parte de la estrategia de control de aplicaciones.

Este tema contiene:

• Abrir directivas de restricción de software

• Crear nuevas directivas de restricción de software

• Agregar o eliminar un tipo de archivo designado

• Impedir la aplicación de las directivas de restricción de software a los administradores locales

• Cambiar el nivel de seguridad predeterminado de las directivas de restricción de software

• Aplicar las directivas de restricción de software a archivos DLL

Para obtener información sobre cómo realizar tareas específicas mediante SRP, consulte lo siguiente:

• Determinar la lista de permisos y denegaciones y el inventario de aplicaciones para directivas de restricción de software

• Trabajo con reglas de directivas de restricción de software

• Usar directivas de restricción de software para ayudar a proteger equipos frente a virus de correo electrónico

Abrir directivas de restricción de software

• Para el equipo local

• Para un dominio, sitio o unidad organizativa si se encuentra en un servidor miembro o una estación de trabajo que se ha unido a un dominio

• Para un dominio o unidad organizativa si se encuentra en un controlador de dominio o en una estación de trabajo que tenga instaladas las Herramientas de administración remota del servidor

• Para un sitio si se encuentra en un controlador de dominio o en una estación de trabajo que tenga instaladas las Herramientas de administración remota del servidor

Para el equipo local

1. Abra Configuración de seguridad local

2. En el árbol de consola, haga clic en Directivas de restricción de software.

   ¿Dónde?

   • Configuración de seguridad / Directivas de restricción de software

Nota

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores del equipo local o tener delegada la autoridad adecuada.

Para un dominio, sitio o unidad organizativa si se encuentra en un servidor miembro o una estación de trabajo que se ha unido a un dominio

1. Abra Microsoft Management Console (MMC).

2. En el menú Archivo, haga clic enAgregar / quitar complemento y después haga clic en Agregar.

3. Haga clic en Editor de directivas de grupo local y, a continuación, haga clic en Agregar.

4. En Seleccionar un objeto de directiva de grupo, haga clic en Examinar.

5. En Buscar objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa apropiados (o bien cree unos nuevos) y haga clic en Finalizar.

6. Haga clic en Cerrar y después, en Aceptar.

7. En el árbol de consola, haga clic en Directivas de restricción de software.

   ¿Dónde?

   • Objeto de directiva de grupo [NombreDelEquipo] Directiva / Configuración del equipo o

     Configuración de usuario / Configuración de Windows / Configuración de seguridad / Directivas de restricción de software

Nota

Para realizar este procedimiento debe ser miembro del grupo de administradores del dominio.

Para un dominio o unidad organizativa si se encuentra en un controlador de dominio o en una estación de trabajo que tenga instaladas las Herramientas de administración remota del servidor

1. Abra la Consola de administración de directivas de grupo.

2. En el árbol de consola, haga clic con el botón derecho en el objeto de directiva de grupo (GPO) para el que desea abrir las directivas de restricción de software.

3. Haga clic en Editar para abrir el GPO que desee editar. También puede hacer clic en Nuevo para crear un nuevo GPO y, a continuación, haga clic en Editar.

4. En el árbol de consola, haga clic en Directivas de restricción de software.

   ¿Dónde?

   • Objeto de directiva de grupo [NombreDelEquipo] Directiva / Configuración del equipo o

     Configuración de usuario / Configuración de Windows / Configuración de seguridad / Directivas de restricción de software

Nota

Para realizar este procedimiento debe ser miembro del grupo de administradores del dominio.

Para un sitio si se encuentra en un controlador de dominio o en una estación de trabajo que tenga instaladas las Herramientas de administración remota del servidor

1. Abra la Consola de administración de directivas de grupo.

2. En el árbol de consola, haga clic con el botón derecho en el sitio para el que desea establecer una directiva de grupo.

   ¿Dónde?

   • Sitios y servicios de Active Directory [Nombre_del_controlador_de_dominio.Nombre_del_Dominio] / Sitios / Sitio

3. Haga clic en una entrada de Vínculos de objeto de directiva de grupo para seleccionar un objeto de directiva de grupo existente (GPO) y, a continuación, haga clic en Editar. También puede hacer clic en Nuevo para crear un nuevo GPO y, a continuación, haga clic en Editar.

4. En el árbol de consola, haga clic en Directivas de restricción de software.

   Where

   • Objeto de directiva de grupo [NombreDelEquipo] Directiva / Configuración del equipo o

     Configuración de usuario / Configuración de Windows / Configuración de seguridad / Directivas de restricción de software

Nota

• Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores del equipo local o tener delegada la autoridad adecuada. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.
• Para establecer la configuración de directiva que se aplicará a los equipos, independientemente de los usuarios que inicien sesión en ellos, haga clic en Configuración del equipo.
• Para establecer la configuración de directiva que se aplicará a los usuarios, independientemente del equipo en el que inicien sesión, haga clic en Configuración de usuario.

Crear nuevas directivas de restricción de software

1. Abra Directivas de restricción de software.

2. En el menú Acción, haga clic en Nuevas directivas de restricción de software.

Advertencia

• Dependiendo de su entorno, se requieren diferentes credenciales administrativas para realizar este procedimiento:

  • Si crea nuevas directivas de restricción de software para el equipo local: Se requiere como mínimo la pertenencia al grupo de Administradores local o equivalente para completar este procedimiento.
  • Si crea nuevas directivas de restricción de software para un equipo unido a un dominio, los miembros del grupo de Administradores de dominio pueden llevar a cabo este procedimiento.

• Si ya se han creado directivas de restricción de software para un objeto de directiva de grupo (GPO), el comando Nuevas directivas de restricción de software no aparece en el menú Acción. Para eliminar las directivas de restricción de software aplicadas a un GPO, en el árbol de consola, haga clic con el botón secundario en Directivas de restricción de software y, luego, en Eliminar directivas de restricción de software. Cuando elimine las directivas de restricción de software de un GPO, también eliminará todas las reglas de las directivas de restricción de software de ese GPO. Después de eliminar las directivas de restricción de software, puede crear nuevas directivas de restricción de software para ese GPO.

Agregar o eliminar un tipo de archivo designado

1. Abra Directivas de restricción de software.

2. En el panel de detalles, haga doble clic en Tipos de archivo designados.

3. Realice una de las siguientes acciones:

   • Para agregar un tipo de archivo, en Extensión de nombre de archivo, escriba la extensión de nombre de archivo y, a continuación, haga clic en Agregar.

   • Para eliminar un tipo de archivo, en Tipos de archivo designados, haga clic en el tipo de archivo y, a continuación, haga clic en Quitar.

Nota

• Dependiendo del entorno en el que agregue o elimine un tipo de archivo designado, se requieren diferentes credenciales administrativas para realizar este procedimiento:

  • Si agrega o elimina un tipo de archivo designado para el equipo local: Se requiere como mínimo la pertenencia al grupo de Administradores local o equivalente para completar este procedimiento.
  • Si crea nuevas directivas de restricción de software para un equipo unido a un dominio, los miembros del grupo de Administradores de dominio pueden llevar a cabo este procedimiento.

• Es posible que sea necesario crear una nueva configuración de directiva de restricción de software para el objeto de directiva de grupo (GPO), si aun no lo ha hecho.

• La lista de tipos de archivo designados se comparte por todas las reglas para la configuración del equipo y la configuración de usuario para un GPO.

Impedir la aplicación de las directivas de restricción de software a los administradores locales

1. Abra Directivas de restricción de software.

2. En el panel de detalles, haga doble clic en Cumplimiento.

3. En Aplicar directivas de restricción de software a los siguientes usuarios, haga clic en Todos los usuarios salvo administradores locales.

Advertencia

• Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.
• Es posible que sea necesario crear una nueva configuración de directiva de restricción de software para el objeto de directiva de grupo (GPO), si aun no lo ha hecho.
• Si es común que los usuarios sean miembros del grupo local de Administradores en los equipos de su organización, es posible que no quiera habilitar esta opción.
• Si define una configuración de directiva de restricción de software para el equipo local, use este procedimiento para impedir que las directivas de restricción de software se apliquen a los administradores locales. Si define una configuración de directiva de restricción de software para la red, filtre la configuración de directiva de usuario en función de la pertenencia a los grupos de seguridad a través de la directiva de grupo.

Cambiar el nivel de seguridad predeterminado de las directivas de restricción de software

1. Abra Directivas de restricción de software.

2. En el panel de detalles, haga doble clic en Niveles de seguridad.

3. Haga clic con el botón secundario en el nivel de seguridad que quiera establecer como predeterminado y, a continuación, haga clic en Establecer como predeterminado.

Precaución

En algunos directorios, establecer el nivel de seguridad predeterminado como No permitido puede afectar negativamente a su sistema operativo.

Nota

• Dependiendo del entorno para el que cambie el nivel de seguridad predeterminado de las directivas de restricción de software, se requieren diferentes credenciales administrativas para realizar este procedimiento:
• Es posible que sea necesario crear una nueva configuración de directiva de restricción de software para este objeto de directiva de grupo (GPO), si aun no lo ha hecho.
• En el panel de detalles, el nivel de seguridad predeterminado actual se indica con un círculo negro con una marca de verificación. Si hace clic con el botón secundario en el nivel de seguridad predeterminado actual, el comando Establecer como predeterminado no aparece en el menú.
• Las reglas de directivas de restricción de software se crean para especificar las excepciones al nivel de seguridad predeterminado. Cuando el nivel de seguridad predeterminado se establece en Sin restricción, las reglas pueden especificar el software que no tiene permiso para ejecutarse. Cuando el nivel de seguridad predeterminado se establece en No permitido, las reglas pueden especificar el software que tiene permiso para ejecutarse.
• Durante la instalación, el nivel de seguridad predeterminado de las directivas de restricción de software en todos los archivos del sistema se establece en Sin restricción.

Aplicar las directivas de restricción de software a archivos DLL

1. Abra Directivas de restricción de software.

2. En el panel de detalles, haga doble clic en Cumplimiento.

3. En Aplicar directivas de restricción de software al siguiente, haga clic en Todos los archivos de software.

Nota

• Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores del equipo local o tener delegada la autoridad adecuada. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.
• De manera predeterminada, las directivas de restricción de software no comprueban las bibliotecas de vínculos dinámicos (DLL). Comprobar las DLL puede reducir el rendimiento del sistema, porque las directivas de restricción de software deben ser evaluadas cada vez que se carga una DLL. Sin embargo, puede elegir comprobar las DLL si le preocupa recibir un virus que ataque las DLL. Si su nivel de seguridad predeterminado está establecido en No permitido y habilita la comprobación de DLL, debe crear reglas de directiva de restricción de software que permitan la ejecución de cada DLL.