AppLockerAppLocker

Se aplica aApplies to

  • Windows 10Windows10
  • WindowsServerWindows Server

Este tema proporciona una descripción de AppLocker y puede ayudarte a decidir si tu organización puede beneficiarse de la implementación de las directivas de control de aplicaciones de AppLocker.This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. Con AppLocker puedes controlar qué aplicaciones y archivos pueden ejecutar los usuarios.AppLocker helps you control which apps and files users can run. Esto incluye archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (archivos .dll), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas.These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

Nota

AppLocker no puede controlar los procesos que se ejecutan en la cuenta del sistema en cualquier sistema operativo.AppLocker is unable to control processes running under the system account on any operating system.

Con AppLocker puedes hacer lo siguiente:AppLocker can help you:

  • Definir reglas basadas en atributos de archivo que se mantengan a lo largo de las actualizaciones de la aplicación, como el editor (derivado de la firma digital), el nombre del producto, el nombre del archivo y la versión del archivo.Define rules based on file attributes that persist across app updates, such as the publisher name (derived from the digital signature), product name, file name, and file version. También puedes crear reglas basadas en la ruta y el hash del archivo.You can also create rules based on the file path and hash.
  • Asignar una regla a un grupo de seguridad o a un usuario individual.Assign a rule to a security group or an individual user.
  • Crear excepciones a ciertas reglas.Create exceptions to rules. Por ejemplo, puedes crear una regla que permita a todos los usuarios ejecutar todos los archivos binarios de Windows excepto el Editor del Registro (regedit.exe).For example, you can create a rule that allows all users to run all Windows binaries, except the Registry Editor (regedit.exe).
  • Usar el modo de solo auditoría para implementar la directiva y ver qué impacto tendría antes de aplicarla.Use audit-only mode to deploy the policy and understand its impact before enforcing it.
  • Crear reglas en un servidor de ensayo, probarlas y, luego, exportarlas al entorno de producción e importarlas a un objeto de directiva de grupo.Create rules on a staging server, test them, then export them to your production environment and import them into a Group Policy Object.
  • Simplificar la creación y la administración de reglas de AppLocker con Windows PowerShell.Simplify creating and managing AppLocker rules by using Windows PowerShell.

AppLocker te permite reducir la sobrecarga administrativa y reducir los costos de la organización relativos a la administración de recursos informáticos disminuyendo la cantidad de llamadas que se hacen al servicio de asistencia como consecuencia de usuarios que ejecutan aplicaciones no aprobadas.AppLocker helps reduce administrative overhead and helps reduce the organization's cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker trata los siguientes escenarios de seguridad de las aplicaciones:AppLocker addresses the following app security scenarios:

  • Inventario de aplicacionesApplication inventory

    AppLocker tiene la capacidad de aplicar su directiva en modo de solo auditoría, en el que toda la actividad relativa al acceso a las aplicaciones queda registrada en registros de eventos,AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. los cuales se pueden recopilar para realizar análisis adicionales.These events can be collected for further analysis. Los cmdlets de Windows PowerShell también te pueden servir para analizar estos datos mediante programación.Windows PowerShell cmdlets also help you analyze this data programmatically.

  • Protección contra el software no deseadoProtection against unwanted software

    AppLocker tiene la posibilidad de impedir que se ejecuten ciertas aplicaciones cuando las excluyes de la lista de aplicaciones permitidas.AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. Cuando se aplican las reglas de AppLocker en el entorno de producción, se bloquea la ejecución de toda aplicación que no conste en las reglas permitidas.When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

  • Conformidad con la concesión de licenciasLicensing conformance

    AppLocker te puede ayudar a crear reglas que impidan que se ejecute software sin licencia y que restrinjan el software con licencia a los usuarios autorizados.AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

  • Normalización del softwareSoftware standardization

    Hay la posibilidad de configurar las directivas de AppLocker para que permitan la ejecución en equipos de un grupo profesional solo aquellas aplicaciones compatibles o aprobadas.AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. Esto permite implementar las aplicaciones de un modo más uniforme.This permits a more uniform app deployment.

  • Mejoras en la facilidad de usoManageability improvement

    AppLocker incluye una serie de mejoras en la facilidad de uso en comparación con sus predecesoras, las directivas de restricción de software.AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. Entre estas mejoras cabe destacar la importación y exportación de directivas, la generación automática de reglas de varios archivos, la implementación de modo de solo auditoría y los cmdlets de Windows PowerShell.Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

Cuándo utilizar AppLockerWhen to use AppLocker

En muchas organizaciones, la información es el bien más preciado y garantizar que solo los usuarios autorizados puedan tener acceso a ella es algo fundamental.In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Las tecnologías de control de acceso, como Active Directory Rights Management Services (ADRMS) y las listas de control de acceso (ACL), ayudan a controlar los usuarios a los que se permite el acceso.Access control technologies, such as Active Directory Rights Management Services (ADRMS) and access control lists (ACLs), help control what users are allowed to access.

Sin embargo, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario.However, when a user runs a process, that process has the same level of access to data that the user has. Como resultado, fácilmente podría eliminarse o transmitirse fuera de la organización información confidencial si un usuario, intencionadamente o no, ejecutara software malintencionado.As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker puede ayudar a mitigar estos tipos de infracciones de seguridad restringiendo los archivos que los usuarios o los grupos pueden ejecutar.AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. Los editores de software empiezan a crear cada vez más aplicaciones que pueden ser instaladas por usuarios no administrativos.Software publishers are beginning to create more apps that can be installed by non-administrative users. Esto podría poner en peligro la directiva de seguridad escrita de una organización y sortear las soluciones de control de aplicaciones tradicionales que dependen de la incapacidad de los usuarios de instalar aplicaciones.This could jeopardize an organization's written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. Al crear una lista de aplicaciones y archivos aprobados y permitidos, AppLocker ayuda a impedir la ejecución de esas aplicaciones por usuario.By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. Como AppLocker puede controlar archivos .dll, también es útil para controlar quién puede instalar y ejecutar controles ActiveX.Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

AppLocker es ideal para aquellas organizaciones que actualmente usan la directiva de grupo para administrar sus equipos.AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

A continuación se enumeran varios ejemplos de escenarios en los que se puede usar AppLocker:The following are examples of scenarios in which AppLocker can be used:

  • La directiva de seguridad de tu organización determina que solo se puede usar software con licencia, por lo que necesitas impedir que los usuarios ejecuten software sin licencia y, al mismo tiempo, restringir el uso de software con licencia a usuarios autorizados.Your organization's security policy dictates the use of only licensed software, so you need to prevent users from running unlicensed software and also restrict the use of licensed software to authorized users.
  • Una aplicación ya no es compatible con tu organización, por lo que necesitas impedir que todo el mundo la utilice.An app is no longer supported by your organization, so you need to prevent it from being used by everyone.
  • La posibilidad de que se introduzca software no deseado en tu entorno es alta, por lo que necesitas reducir esta amenaza.The potential that unwanted software can be introduced in your environment is high, so you need to reduce this threat.
  • La licencia de una aplicación se ha revocado o ha caducado en tu organización, por lo que necesitas impedir que todo el mundo la use.The license to an app has been revoked or it is expired in your organization, so you need to prevent it from being used by everyone.
  • Se implementa una nueva aplicación o la nueva versión de una aplicación y debes impedir que los usuarios ejecuten la versión anterior.A new app or a new version of an app is deployed, and you need to prevent users from running the old version.
  • No se permiten ciertas herramientas de software dentro de la organización, o solo determinados usuarios deben tener acceso a esas herramientas.Specific software tools are not allowed within the organization, or only specific users should have access to those tools.
  • Un solo usuario o un pequeño grupo de usuarios necesitan usar una aplicación específica el acceso a la cual se ha denegado a todos los demás usuarios.A single user or small group of users needs to use a specific app that is denied for all others.
  • Algunos equipos de la organización los comparten usuarios que necesitan software distinto y necesitas proteger aplicaciones específicas.Some computers in your organization are shared by people who have different software usage needs, and you need to protect specific apps.
  • Además de otras medidas, debes controlar el acceso a datos confidenciales a través del uso de aplicaciones.In addition to other measures, you need to control the access to sensitive data through app usage.

Nota

AppLocker es una característica de seguridad de defensa en profundidad y no un límite de seguridad.AppLocker is a defense-in-depth security feature and not a security boundary. El control de aplicaciones de Windows Defender debe usarse cuando el objetivo es proporcionar una protección robusta contra una amenaza y se espera que no haya limitaciones de diseño que impidan que la característica de seguridad logre este objetivo.Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker puede ayudarte a proteger los recursos digitales de la organización, reducir las amenazas de software malintencionado que entran en tu entorno y mejorar la administración del control de las aplicaciones y el mantenimiento de directivas de control de aplicaciones.AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Instalar AppLockerInstalling AppLocker

AppLocker viene incluido en las ediciones empresariales de Windows.AppLocker is included with enterprise-level editions of Windows. Puedes crear reglas de AppLocker para un solo equipo o para un grupo de equipos.You can author AppLocker rules for a single computer or for a group of computers. Para un solo equipo, puedes crear las reglas mediante la Directiva de seguridad local (secpol.msc).For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). Para un grupo de equipos, puedes crear las reglas en un objeto de directiva de grupo usando la Consola de administración de directivas de grupo (GPMC).For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

Nota

La consola GPMC solo está disponible en equipos cliente con Windows instalando las herramientas de administración remota del servidor.The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. Si un equipo funciona con Windows Server, debes instalar la característica Administración de directivas de grupo.On computer running Windows Server, you must install the Group Policy Management feature.

Usar AppLocker en Server CoreUsing AppLocker on Server Core

No se admiten las instalaciones de AppLocker en Server Core.AppLocker on Server Core installations is not supported.

Consideraciones sobre la virtualizaciónVirtualization considerations

Puedes administrar las directivas de AppLocker utilizando una instancia virtualizada de Windows, siempre y cuando cumpla todos los requisitos del sistema enumerados anteriormente.You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. También puedes ejecutar la directiva de grupo en una instancia virtualizada.You can also run Group Policy in a virtualized instance. Sin embargo, corres el riesgo de perder las directivas que hayas creado y mantenido si la instancia virtualizada se quita o tiene algún error.However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

Consideraciones sobre seguridadSecurity considerations

Las directivas de control de aplicaciones especifican qué aplicaciones se pueden ejecutar en el equipo local.Application control policies specify which apps are allowed to run on the local computer.

La variedad de formas que puede adoptar el software malintencionado hace que los usuarios lo tengan difícil para saber qué es seguro ejecutar.The variety of forms that malicious software can take make it difficult for users to know what is safe to run. Cuando se activa, el software malintencionado puede dañar el contenido de una unidad de disco duro, inundar una red con solicitudes para provocar un ataque por denegación de servicio (DoS), enviar información confidencial a Internet o comprometer la seguridad de un equipo.When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

La medida que hay que adoptar como respuesta es crear un diseño seguro para tus directivas de control de aplicaciones en los equipos de la organización y, luego, probar a fondo las directivas en un entorno de laboratorio antes de implementarlas en un entorno de producción.The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. AppLocker puede formar parte de tu estrategia de control de aplicaciones porque así puedes controlar el software que se puede ejecutar en tus equipos.AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

La implementación de una directiva de control de aplicaciones defectuosa puede deshabilitar aplicaciones necesarias o permitir la ejecución de software malintencionado o no deseado.A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. Por lo tanto, es importante que las organizaciones dediquen recursos suficientes para administrar la implementación de estas directivas y los problemas que puedan derivarse.Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

Para obtener más información acerca de problemas de seguridad específicos, consulta Consideraciones de seguridad para AppLocker.For additional information about specific security issues, see Security considerations for AppLocker.

Al usar AppLocker para crear directivas de control de aplicaciones, debes tener en cuenta las siguientes consideraciones de seguridad:When you use AppLocker to create application control policies, you should be aware of the following security considerations:

  • ¿Quién tiene derecho a establecer directivas de AppLocker?Who has the rights to set AppLocker policies?
  • ¿Cómo se valida que se cumplen las directivas?How do you validate that the policies are enforced?
  • ¿Qué eventos hay que auditar?What events should you audit?

Como referencia para cuando elabores tu plan de seguridad, puedes consultar la siguiente tabla, donde se identifican las configuraciones de línea base de un equipo con AppLocker instalado:For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

ConfiguraciónSetting Valor predeterminadoDefault value
Cuentas creadasAccounts created NingunoNone
Método de autenticaciónAuthentication method No correspondeNot applicable
Interfaces de administraciónManagement interfaces AppLocker puede administrarse mediante el uso de un complemento de la Microsoft Management Console, la Administración de directivas de grupo y Windows PowerShellAppLocker can be managed by using a Microsoft Management Console snap-in, Group Policy Management, and Windows PowerShell
Puertos abiertosPorts opened NingunoNone
Privilegios mínimos necesariosMinimum privileges required Administrador en el equipo local, Administrador de dominio o cualquier conjunto de derechos que te permitan crear, editar y distribuir objetos de directiva de grupoAdministrator on the local computer; Domain Admin, or any set of rights that allow you to create, edit and distribute Group Policy Objects.
Protocolos utilizadosProtocols used No correspondeNot applicable
Tareas programadasScheduled Tasks Appidpolicyconverter.exe se coloca en una tarea programada para ejecutarse a peticiónAppidpolicyconverter.exe is put in a scheduled task to be run on demand.
Directivas de seguridadSecurity Policies No se necesita ninguno;None required. AppLocker ya crea las directivas de seguridad.AppLocker creates security policies.
Servicios del sistema necesariosSystem Services required El servicio de identidad de aplicación (appidsvc) se ejecuta en LocalServiceAndNoImpersonationApplication Identity service (appidsvc) runs under LocalServiceAndNoImpersonation.
Almacenamiento de credencialesStorage of credentials NingunoNone

En esta secciónIn this section

TemaTopic DescripciónDescription
Administrar AppLockerAdminister AppLocker En este tema para profesionales de TI se facilita una serie de vínculos a procedimientos específicos que se pueden usar a la hora de administrar las directivas de AppLocker.This topic for IT professionals provides links to specific procedures to use when administering AppLocker policies.
Guía de diseño de AppLockerAppLocker design guide En este tema para profesionales de TI encontrarás una introducción al diseño y la planeación de los pasos necesarios para implementar directivas de control de aplicaciones con AppLocker.This topic for the IT professional introduces the design and planning steps required to deploy application control policies by using AppLocker.
Guía de implementación de AppLockerAppLocker deployment guide En este tema para profesionales de TI se introducen los conceptos y se describen los pasos necesarios para implementar las directivas de AppLocker.This topic for IT professionals introduces the concepts and describes the steps required to deploy AppLocker policies.
Referencia técnica de AppLockerAppLocker technical reference En este tema de introducción para profesionales de TI se presenta una serie de vínculos a los temas de la referencia técnica.This overview topic for IT professionals provides links to the topics in the technical reference.