Se recomienda utilizar el modo de solo auditoría para implementar la directiva y comprender cuál es su impacto antes de aplicarla de forma definitiva en toda la organización.
AppLocker, puede crear reglas para permitir o denegar la ejecución de aplicaciones. Esta herramienta permite a los administradores establecer determinadas reglas para controlar los archivos ejecutables (.exe y .com), scripts (.js, .ps1, .vbs, .cmd y .bat), archivos de windows installer (.msi y .msp) y archivos DLL (.dll y .ocx).
Al crear reglas de DLL, se debe tomar en cuenta que en necesario crear una regla de permiso de DLL para cada DLL usada por todas las aplicaciones permitidas. Si se usan reglas de DLL, AppLocker debe comprobar cada DLL cargada por una aplicación. Por lo tanto, los usuarios pueden observar una reducción del rendimiento en caso de usar reglas de DLL.
Las reglas están disponibles en windows Server 2008 R2 y en windows 7 ultimate y enterprise. Es posible usar Windows 7 Professional para crear las reglas, pero las reglas no se pueden aplicar en equipos con Windows 7 Professional.
Iniciar servicio de identidad de aplicación
Para utilizar AppLocker primero debemos debe iniciar el Servicio de “identidad de aplicación”. Para iniciar este servicio ir a Inicio, Panel de control, Herramientas administrativas y elegir Servicios.
Buscar el servicio llamado “identidad de aplicación” abrir sus propiedades y marcar en tipo de inicio “Automático”, iniciar el servicio y aceptar.
Creación de reglas
Para crear reglas ir a Inicio, Panel de control, Herramientas administrativas y elegir Directiva de seguridad local.
Nota: Si se despliega el cuadro de Control de cuentas de usuario, confirme si la acción que aparece es la deseada.
En el árbol de consola, haga doble clic en Directivas de control de aplicaciones, a continuación, haga doble clic en AppLocker.
Seleccione “Crear regas” . Es posible generar reglas para archivos ejecutables, windows installer y scripts.
En la ventana “Permisos” elegir negar o permitir, a continuación agregar el usuario o grupo donde se aplicará la regla. En la siguiente ventana elegir como se identificará la aplicación.
Posterior a la definición de la aplicación se desplegará el mensaje siguiente:
Elegir “Sí” nos permitirá bloquear únicamente la aplicación desea.
