AppLocker

Se aplica a

  • Windows 10
  • WindowsServer

Este tema proporciona una descripción de AppLocker y puede ayudarte a decidir si tu organización puede beneficiarse de la implementación de las directivas de control de aplicaciones de AppLocker. Con AppLocker puedes controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Esto incluye archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.

Con AppLocker puedes hacer lo siguiente:

  • Definir reglas basadas en atributos de archivo que se mantengan a lo largo de las actualizaciones de la aplicación, como el editor (derivado de la firma digital), el nombre del producto, el nombre del archivo y la versión del archivo. También puedes crear reglas basadas en la ruta y el hash del archivo.
  • Asignar una regla a un grupo de seguridad o a un usuario individual.
  • Crear excepciones a ciertas reglas. Por ejemplo, puedes crear una regla que permita a todos los usuarios ejecutar todos los archivos binarios de Windows excepto el Editor del Registro (regedit.exe).
  • Usar el modo de solo auditoría para implementar la directiva y ver qué impacto tendría antes de aplicarla.
  • Crear reglas en un servidor de ensayo, probarlas y, luego, exportarlas al entorno de producción e importarlas a un objeto de directiva de grupo.
  • Simplificar la creación y la administración de reglas de AppLocker con Windows PowerShell.

AppLocker te permite reducir la sobrecarga administrativa y reducir los costos de la organización relativos a la administración de recursos informáticos disminuyendo la cantidad de llamadas que se hacen al servicio de asistencia como consecuencia de usuarios que ejecutan aplicaciones no aprobadas. AppLocker trata los siguientes escenarios de seguridad de las aplicaciones:

  • Inventario de aplicaciones

    AppLocker tiene la capacidad de aplicar su directiva en modo de solo auditoría, en el que toda la actividad relativa al acceso a las aplicaciones queda registrada en registros de eventos, los cuales se pueden recopilar para realizar análisis adicionales. Los cmdlets de Windows PowerShell también te pueden servir para analizar estos datos mediante programación.

  • Protección contra el software no deseado

    AppLocker tiene la posibilidad de impedir que se ejecuten ciertas aplicaciones cuando las excluyes de la lista de aplicaciones permitidas. Cuando se aplican las reglas de AppLocker en el entorno de producción, se bloquea la ejecución de toda aplicación que no conste en las reglas permitidas.

  • Conformidad con la concesión de licencias

    AppLocker te puede ayudar a crear reglas que impidan que se ejecute software sin licencia y que restrinjan el software con licencia a los usuarios autorizados.

  • Normalización del software

    Hay la posibilidad de configurar las directivas de AppLocker para que permitan la ejecución en equipos de un grupo profesional solo aquellas aplicaciones compatibles o aprobadas. Esto permite implementar las aplicaciones de un modo más uniforme.

  • Mejoras en la facilidad de uso

    AppLocker incluye una serie de mejoras en la facilidad de uso en comparación con sus predecesoras, las directivas de restricción de software. Entre estas mejoras cabe destacar la importación y exportación de directivas, la generación automática de reglas de varios archivos, la implementación de modo de solo auditoría y los cmdlets de Windows PowerShell.

Cuándo utilizar AppLocker

En muchas organizaciones, la información es el bien más preciado y garantizar que solo los usuarios autorizados puedan tener acceso a ella es algo fundamental. Las tecnologías de control de acceso, como Active Directory Rights Management Services (ADRMS) y las listas de control de acceso (ACL), ayudan a controlar los usuarios a los que se permite el acceso.

Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario. Como resultado, fácilmente podría eliminarse o transmitirse fuera de la organización información confidencial si un usuario, intencionadamente o no, ejecutara software malintencionado. AppLocker puede ayudar a mitigar estos tipos de infracciones de seguridad restringiendo los archivos que los usuarios o los grupos pueden ejecutar. Los editores de software empiezan a crear cada vez más aplicaciones que pueden ser instaladas por usuarios no administrativos. Esto podría poner en peligro la directiva de seguridad escrita de una organización y sortear las soluciones de control de aplicaciones tradicionales que dependen de la incapacidad de los usuarios de instalar aplicaciones. Al crear una lista de aplicaciones y archivos aprobados y permitidos, AppLocker ayuda a impedir la ejecución de esas aplicaciones por usuario. Como AppLocker puede controlar archivos .dll, también es útil para controlar quién puede instalar y ejecutar controles ActiveX.

AppLocker es ideal para aquellas organizaciones que actualmente usan la directiva de grupo para administrar sus equipos.

A continuación se enumeran varios ejemplos de escenarios en los que se puede usar AppLocker:

  • La directiva de seguridad de tu organización determina que solo se puede usar software con licencia, por lo que necesitas impedir que los usuarios ejecuten software sin licencia y, al mismo tiempo, restringir el uso de software con licencia a usuarios autorizados.
  • Una aplicación ya no es compatible con tu organización, por lo que necesitas impedir que todo el mundo la utilice.
  • La posibilidad de que se introduzca software no deseado en tu entorno es alta, por lo que necesitas reducir esta amenaza.
  • La licencia de una aplicación se ha revocado o ha caducado en tu organización, por lo que necesitas impedir que todo el mundo la use.
  • Se implementa una nueva aplicación o la nueva versión de una aplicación y debes impedir que los usuarios ejecuten la versión anterior.
  • No se permiten ciertas herramientas de software dentro de la organización, o solo determinados usuarios deben tener acceso a esas herramientas.
  • Un solo usuario o un pequeño grupo de usuarios necesitan usar una aplicación específica el acceso a la cual se ha denegado a todos los demás usuarios.
  • Algunos equipos de la organización los comparten usuarios que necesitan software distinto y necesitas proteger aplicaciones específicas.
  • Además de otras medidas, debes controlar el acceso a datos confidenciales a través del uso de aplicaciones.

AppLocker puede ayudarte a proteger los recursos digitales de la organización, reducir las amenazas de software malintencionado que entran en tu entorno y mejorar la administración del control de las aplicaciones y el mantenimiento de directivas de control de aplicaciones.

Instalar AppLocker

AppLocker viene incluido en las ediciones empresariales de Windows. Puedes crear reglas de AppLocker para un solo equipo o para un grupo de equipos. Para un solo equipo, puedes crear las reglas mediante la Directiva de seguridad local (secpol.msc). Para un grupo de equipos, puedes crear las reglas en un objeto de directiva de grupo usando la Consola de administración de directivas de grupo (GPMC).

Nota

La consola GPMC solo está disponible en equipos cliente con Windows instalando las herramientas de administración remota del servidor. Si un equipo funciona con Windows Server, debes instalar la característica Administración de directivas de grupo.

Usar AppLocker en Server Core

No se admiten las instalaciones de AppLocker en Server Core.

Consideraciones sobre la virtualización

Puedes administrar las directivas de AppLocker utilizando una instancia virtualizada de Windows, siempre y cuando cumpla todos los requisitos del sistema enumerados anteriormente. También puedes ejecutar la directiva de grupo en una instancia virtualizada. Sin embargo, corres el riesgo de perder las directivas que hayas creado y mantenido si la instancia virtualizada se quita o tiene algún error.

Consideraciones sobre seguridad

Las directivas de control de aplicaciones especifican qué aplicaciones se pueden ejecutar en el equipo local.

La variedad de formas que puede adoptar el software malintencionado hace que los usuarios lo tengan difícil para saber qué es seguro ejecutar. Cuando se activa, el software malintencionado puede dañar el contenido de una unidad de disco duro, inundar una red con solicitudes para provocar un ataque por denegación de servicio (DoS), enviar información confidencial a Internet o comprometer la seguridad de un equipo.

La medida que hay que adoptar como respuesta es crear un diseño seguro para tus directivas de control de aplicaciones en los equipos de la organización y, luego, probar a fondo las directivas en un entorno de laboratorio antes de implementarlas en un entorno de producción. AppLocker puede formar parte de tu estrategia de control de aplicaciones porque así puedes controlar el software que se puede ejecutar en tus equipos.

La implementación de una directiva de control de aplicaciones defectuosa puede deshabilitar aplicaciones necesarias o permitir la ejecución de software malintencionado o no deseado. Por lo tanto, es importante que las organizaciones dediquen recursos suficientes para administrar la implementación de estas directivas y los problemas que puedan derivarse.

Para obtener más información acerca de problemas de seguridad específicos, consulta Consideraciones de seguridad para AppLocker.

Al usar AppLocker para crear directivas de control de aplicaciones, debes tener en cuenta las siguientes consideraciones de seguridad:

  • ¿Quién tiene derecho a establecer directivas de AppLocker?
  • ¿Cómo se valida que se cumplen las directivas?
  • ¿Qué eventos hay que auditar?

Como referencia para cuando elabores tu plan de seguridad, puedes consultar la siguiente tabla, donde se identifican las configuraciones de línea base de un equipo con AppLocker instalado:

Configuración Valor predeterminado
Cuentas creadas Ninguno
Método de autenticación No corresponde
Interfaces de administración AppLocker puede administrarse mediante el uso de un complemento de la Microsoft Management Console, la Administración de directivas de grupo y Windows PowerShell
Puertos abiertos Ninguno
Privilegios mínimos necesarios Administrador en el equipo local, Administrador de dominio o cualquier conjunto de derechos que te permitan crear, editar y distribuir objetos de directiva de grupo
Protocolos utilizados No corresponde
Tareas programadas Appidpolicyconverter.exe se coloca en una tarea programada para ejecutarse a petición
Directivas de seguridad No se necesita ninguno; AppLocker ya crea las directivas de seguridad.
Servicios del sistema necesarios El servicio de identidad de aplicación (appidsvc) se ejecuta en LocalServiceAndNoImpersonation
Almacenamiento de credenciales Ninguno

En esta sección

Tema Descripción
Administrar AppLocker En este tema para profesionales de TI se facilita una serie de vínculos a procedimientos específicos que se pueden usar a la hora de administrar las directivas de AppLocker.
Guía de diseño de AppLocker En este tema para profesionales de TI encontrarás una introducción al diseño y la planeación de los pasos necesarios para implementar directivas de control de aplicaciones con AppLocker.
Guía de implementación de AppLocker En este tema para profesionales de TI se introducen los conceptos y se describen los pasos necesarios para implementar las directivas de AppLocker.
Referencia técnica de AppLocker En este tema de introducción para profesionales de TI se presenta una serie de vínculos a los temas de la referencia técnica.