Lista blanca de aplicaciones en Windows 7 y Windows Server 2008 R2

AppLocker de Microsoft, la función de control de aplicaciones incluida en Windows 7 y Windows Server 2008 R2, es una mejora en las Políticas de restricción de software (SRP) introducidas con Windows XP Professional. AppLocker permite que las reglas de ejecución de la aplicación y las excepciones se definan en función de los atributos del archivo, como la ruta, el editor, el nombre del producto, el nombre del archivo, la versión del archivo, etc. Luego, las políticas se pueden asignar a equipos, usuarios, grupos de seguridad y unidades organizativas a través de Active Directory.

Los informes se limitan a lo que se puede extraer de los archivos de registro, y la creación de reglas para tipos de archivos no definidos en AppLocker puede resultar difícil. Pero el mayor inconveniente de AppLocker es que está limitado a los clientes de Windows 7 Enterprise, Windows 7 Ultimate y Windows Server 2008 R2. Windows 7 Professional se puede usar para crear políticas, pero no puede usar AppLocker para hacer cumplir las reglas por sí mismo. AppLocker no se puede usar para administrar versiones anteriores de Windows, aunque tanto SRP como AppLocker de Windows XP Pro se pueden configurar de manera similar para afectar una política de toda la empresa.

[Lea la revisión del Centro de pruebas sobre las soluciones de listas blancas de aplicaciones de Bit9, CoreTrace, Lumension, McAfee, SignaCert y Microsoft. Compare estas soluciones de listas blancas de aplicaciones según las características. ]  

AppLocker se puede configurar localmente mediante el objeto de directiva de equipo local (gpedit.msc) o mediante Active Directory y objetos de directiva de grupo (GPO). Como muchas de las últimas tecnologías habilitadas para Active Directory de Microsoft, los administradores necesitarán al menos una computadora con Windows Server 2008 R2 o Windows 7 unida a un dominio para definir y administrar AppLocker. Las computadoras con Windows 7 necesitarán la función de consola de administración de políticas de grupo instalada como parte de las herramientas de administración remota del servidor (RSAT) para Windows 7 (una descarga gratuita). AppLocker se basa en el servicio Application Identity integrado, que normalmente está configurado en el tipo de inicio manual de forma predeterminada. Los administradores deben configurar el servicio para que se inicie automáticamente.

Dentro del objeto de política local o de grupo, AppLocker se habilita y configura en el contenedor \ Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas de control de aplicaciones [imagen de pantalla].

De forma predeterminada, cuando están habilitadas, las reglas de AppLocker no permiten a los usuarios abrir o ejecutar archivos que no estén específicamente permitidos. Los probadores principiantes se beneficiarán al permitir que AppLocker cree un conjunto predeterminado de "reglas seguras" mediante la opción Crear reglas predeterminadas. Las reglas predeterminadas permiten que se ejecuten todos los archivos de Windows y Archivos de programa, además de permitir que los miembros del grupo de administradores ejecuten cualquier cosa.

Una de las mejoras más notables sobre SRP es la capacidad de ejecutar AppLocker en cualquier computadora participante utilizando la opción Generar reglas automáticamente [imagen de pantalla] para generar rápidamente un conjunto de reglas de referencia. En unos pocos minutos, se pueden crear decenas a cientos de reglas contra una imagen limpia conocida, ahorrando a los administradores de AppLocker desde horas hasta días de trabajo.

AppLocker admite cuatro tipos de colecciones de reglas: ejecutables, DLL, Windows Installer y Script. Los administradores de SRP notarán que Microsoft ya no tiene las reglas de registro ni las opciones de zonas de Internet. Cada colección de reglas cubre un conjunto limitado de tipos de archivos. Por ejemplo, las reglas ejecutables cubren los .EXE y .COM de 32 y 64 bits; todas las aplicaciones de 16 bits se pueden bloquear impidiendo la ejecución del proceso ntdvm.exe. Las reglas de script cubren los tipos de archivos .VBS, .JS, .PS1, .CMD y .BAT. La colección de reglas DLL cubre .DLL (incluidas las bibliotecas vinculadas estáticamente) y OCX (Extensiones de control de vinculación e incrustación de objetos, también conocidas como controles ActiveX).

Si no existen reglas de AppLocker para una colección de reglas específica, todos los archivos con ese formato de archivo pueden ejecutarse. Sin embargo, cuando se crea una regla de AppLocker para una colección de reglas específica, solo se permite la ejecución de los archivos permitidos explícitamente en una regla. Por ejemplo, si crea una regla ejecutable que permite que se ejecuten archivos .exe en % SystemDrive% \ FilePath , solo los archivos ejecutables ubicados en esa ruta podrán ejecutarse.

AppLocker admite tres tipos de condiciones de reglas para cada colección de reglas: reglas de ruta, reglas de hash de archivos y reglas de editor. Se puede usar cualquier condición de regla para permitir o denegar la ejecución, y se puede definir para un usuario o grupo en particular. Las reglas de hash de ruta y archivo se explican por sí mismas; ambos aceptan símbolos de comodines. Las reglas de Publisher son bastante flexibles y permiten que varios campos de cualquier archivo firmado digitalmente se correspondan con valores específicos o comodines. Al usar una conveniente barra deslizante en la GUI de AppLocker [imagen de pantalla], puede reemplazar rápidamente los valores específicos con comodines. Cada nueva regla permite convenientemente que se hagan una o más excepciones. De forma predeterminada, las reglas del editor tratarán las versiones actualizadas de los archivos de la misma manera que los originales, o puede aplicar una coincidencia exacta.

Una distinción importante entre AppLocker y los llamados competidores es que AppLocker es realmente un servicio, un conjunto de API y políticas definidas por el usuario con las que otros programas pueden interactuar. Microsoft codificó Windows y sus intérpretes de scripts integrados para interactuar con AppLocker de modo que esos programas (Explorer.exe, JScript.dll, VBScript.dll, etc.) puedan hacer cumplir las reglas que las políticas de AppLocker han definido. Esto significa que AppLocker es realmente una parte del sistema operativo y no se elude fácilmente cuando las reglas se definen correctamente.

Sin embargo, si necesita crear una regla para un tipo de archivo que no está definido en la tabla de políticas de AppLocker, puede ser necesario un poco de creatividad para obtener el efecto deseado. Por ejemplo, para evitar que se ejecuten archivos de script Perl con la extensión .PL, tendría que crear una regla ejecutable que bloqueara el intérprete de script Perl.exe. Esto bloquearía o permitiría todos los scripts de Perl y requeriría cierto ingenio para obtener un control más detallado. Este no es un problema único, ya que la mayoría de los productos de esta revisión tienen el mismo tipo de limitación.

La configuración y las reglas de AppLocker se pueden importar y exportar fácilmente como archivos XML legibles, las reglas se pueden borrar rápidamente en caso de emergencia y todo se puede administrar mediante Windows PowerShell. Los informes y las alertas se limitan a lo que se puede extraer de los registros de eventos normales. Pero incluso con las limitaciones de AppLocker, el precio de Microsoft (gratis, si está ejecutando Windows 7 y Windows Server 2008 R2) puede ser un gran atractivo para las tiendas actualizadas de Microsoft.

Esta historia, "Lista blanca de aplicaciones en Windows 7 y Windows Server 2008 R2", y reseñas de cinco soluciones de lista blanca para redes empresariales, se publicó originalmente en .com. Siga los últimos avances en seguridad de la información, Windows y seguridad de terminales en .com.