Windows Defender Introducción al Control de aplicaciones y AppLocker

Se aplica a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 y superior

Nota

Algunas funcionalidades de Windows Defender control de aplicaciones solo están disponibles en versiones Windows específicas. Obtenga más información sobre la disponibilidad de la característica defender App Guard.

Windows 10 y Windows 11 incluyen dos tecnologías que se pueden usar para el control de aplicaciones, según los escenarios y requisitos específicos de la organización: Windows Defender Application Control (WDAC) y AppLocker.

Control de aplicaciones de Windows Defender

WDAC se introdujo con Windows 10 y permite a las organizaciones controlar qué controladores y aplicaciones pueden ejecutarse en sus Windows cliente. Se diseñó como una característica de seguridad bajo los criterios demantenimiento , definidos por el Centro de respuesta de seguridad de Microsoft (MSRC).

Las directivas WDAC se aplican al equipo administrado en su conjunto y afectan a todos los usuarios del dispositivo. Las reglas WDAC se pueden definir en función de:

  • Atributos de los certificados de firma de código usados para firmar una aplicación y sus archivos binarios
  • Atributos de los archivos binarios de la aplicación que provienen de los metadatos firmados para los archivos, como Nombre de archivo original y versión, o el hash del archivo
  • La reputación de la aplicación según lo determinado por el servicio de seguridad inteligente de Microsoft Graph
  • La identidad del proceso que inició la instalación de la aplicación y sus archivos binarios (instalador administrado)
  • Ruta de acceso desde la que se inicia la aplicación o el archivo (a partir Windows 10 versión 1903)
  • El proceso que inició la aplicación o binario

Tenga en cuenta que antes Windows 10 versión 1709, Windows Defender control de aplicaciones se conocía como integridad de código configurable (CCI). WDAC también era una de las características que comprendía el término ahora desaparecido "Device Guard".

Requisitos del sistema WDAC

Las directivas WDAC se pueden crear en cualquier edición de cliente de Windows 10 compilación 1903+, o Windows 11, o en Windows Server 2016 y superior.

Las directivas WDAC se pueden aplicar a dispositivos que ejecutan cualquier edición de Windows 10, Windows 11 o Windows Server 2016 y posteriores, a través de una solución de administración de dispositivos móviles (MDM), por ejemplo, Intune; una interfaz de administración como Configuration Manager; o un host de script como PowerShell. La directiva de grupo también se puede usar para implementar directivas WDAC en Windows 10 y Windows edición 11 Enterprise, o Windows Server 2016 y superior, pero no puede implementar directivas en dispositivos que ejecutan SKU de Enterprise de Windows 10.

Para obtener más información sobre qué características WDAC individuales están disponibles en compilaciones WDAC específicas, vea WDAC feature availability.

AppLocker

AppLocker se introdujo con Windows 7 y permite a las organizaciones controlar qué aplicaciones se pueden ejecutar en sus Windows cliente. AppLocker ayuda a evitar que los usuarios finales ejecuten software no aprobado en sus equipos, pero no cumple los criterios de mantenimiento para ser una característica de seguridad.

Las directivas de AppLocker se pueden aplicar a todos los usuarios de un equipo o a usuarios y grupos individuales. Las reglas de AppLocker se pueden definir en función de:

  • Atributos de los certificados de firma de código usados para firmar una aplicación y sus archivos binarios
  • Atributos de los archivos binarios de la aplicación que provienen de los metadatos firmados para los archivos, como Nombre de archivo original y versión, o el hash del archivo
  • La ruta de acceso desde la que se inicia la aplicación o el archivo

Requisitos del sistema de AppLocker

Las directivas de AppLocker solo se pueden configurar y aplicar a dispositivos que se ejecutan en las versiones y ediciones admitidas del Windows operativo. Para obtener más información, consulta Requisitos para usar AppLocker. Las directivas de AppLocker se pueden implementar con la directiva de grupo o MDM.

Elegir cuándo usar WDAC o AppLocker

Por lo general, se recomienda que los clientes, que pueden implementar el control de aplicaciones con WDAC en lugar de AppLocker, lo hagan. WDAC está experimentando mejoras continuas y recibirá soporte agregado de las plataformas de administración de Microsoft. Aunque AppLocker seguirá recibiendo correcciones de seguridad, no experimentará nuevas mejoras en las características.

Sin embargo, en algunos casos, AppLocker puede ser la tecnología más adecuada para su organización. AppLocker es mejor cuando:

  • Tiene un entorno Windows sistema operativo (SO) mixto y necesita aplicar los mismos controles de directiva a Windows 10 versiones anteriores del sistema operativo.
  • Debe aplicar diferentes directivas para distintos usuarios o grupos en equipos compartidos.
  • No desea aplicar el control de aplicaciones en archivos de aplicación como dll o controladores.

AppLocker también se puede implementar como complemento de WDAC para agregar reglas específicas de grupo o usuario para escenarios de dispositivos compartidos, donde es importante evitar que algunos usuarios ejecuten aplicaciones específicas. Como práctica recomendada, debes aplicar WDAC en el nivel más restrictivo posible para tu organización y, a continuación, puedes usar AppLocker para ajustar aún más las restricciones.