Tus usuarios eluden las restricciones de instalación con aplicaciones portátiles. El UAC no las bloquea. Una aplicación portátil no se instala, sino que se ejecuta. AppLocker soluciona esto controlando no lo que solicita el programa, sino desde dónde se ejecuta y quién lo ha firmado.
En este artículo
- ¿Por qué la UAC por sí sola no es suficiente?
- ¿Cómo funciona AppLocker?
- Configurar AppLocker: los pasos
- 1. Abrir el Editor de directivas de grupo
- 2. Activar el servicio Application Identity
- 3. Generar las reglas predeterminadas
- 4. Impedir la ejecución desde los directorios de usuario
- Aspectos que hay que tener en cuenta sobre AppLocker
¿Por qué la UAC por sí sola no es suficiente?
El UAC (Control de cuentas de usuario) bloquea las acciones que requieren derechos de administrador: escribir en C:Archivos de programa, modificar el Registro o instalar servicios. Una aplicación portátil no hace nada de eso. Se extrae en %APPDATA% o en la carpeta Documentos del usuario y se ejecuta sin activar ningún aviso de UAC.
Desde el punto de vista de Windows, se trata de un programa que se ejecuta con los permisos del usuario normal. Es legítimo. AppLocker razona de otra manera. No tiene en cuenta lo que solicita el programa, sino desde dónde se ejecuta y quién lo ha firmado.
¿Cómo funciona AppLocker?
AppLocker aplica reglas a cuatro tipos de archivos: ejecutables (.exe, .com), scripts (.ps1, .bat, .vbs), instaladores de Windows (.msi, .msp) y DLL. Para cada tipo, usted define lo que está permitido. Todo lo que no esté explícitamente permitido queda bloqueado.
Las reglas se basan en tres criterios. La ruta de acceso (C:Program Files* está permitida, %APPDATA%* no lo está). El editor, a través de la firma digital. El hash del archivo, para permitir la ejecución de un archivo concreto sin tener en cuenta su ubicación.
La combinación de ruta y editor cubre la mayoría de los entornos. El hash se utiliza para casos concretos: una herramienta interna sin firmar o un ejecutable proporcionado por un socio.
Configurar AppLocker: los pasos
1. Abrir el Editor de directivas de grupo
Pulsa Win + R, escribe gpedit.msc y pulsa Intro. Ve a Configuración del equipo > Parámetros de Windows > Parámetros de seguridad > Políticas de control de aplicaciones > AppLocker.
2. Activar el servicio Application Identity
AppLocker no funciona si el servicio «Application Identity» está detenido. Abre services.msc, busca «Application Identity», configúralo en «Inicio automático» e inícialo. Sin este servicio, todas las reglas de AppLocker se ignoran sin previo aviso.
3. Generar las reglas predeterminadas
Antes de crear tus reglas personalizadas, genera las reglas predeterminadas para los ejecutables (haz clic con el botón derecho en «Reglas de ejecutables» > «Crear reglas predeterminadas»). Estas reglas permiten el acceso a C:Windows* y C:Program Files* para todos los usuarios, y a todo el sistema para los administradores. Sin ellas, el propio Windows ya no se inicia.
4. Impedir la ejecución desde los directorios de usuario
Crea una regla de denegación en las siguientes rutas para el grupo «Todos» (los administradores siguen estando cubiertos por su regla de autorización global):
| Ruta que hay que bloquear | Motivo |
|---|---|
%APPDATA%* | Objetivo principal de los dispositivos móviles y el malware |
%LOCALAPPDATA%* | Utilizado por algunos instaladores sin permisos |
%TEMP%* | Ejecutables extraídos sobre la marcha |
%USERPROFILE%Descargas* | Descargas directas |
%USERPROFILE%Desktop* | Archivos portátiles guardados en el escritorio |
Un archivo ejecutable ubicado en cualquiera de estos directorios se bloquea antes incluso de iniciarse. El usuario ve el mensaje «Esta aplicación se ha bloqueado para protegerte».
Aspectos que hay que tener en cuenta sobre AppLocker
AppLocker no cubre los scripts interpretados a menos que también se configuren las reglas de scripts. Un archivo .py o .jar ejecutado a través del intérprete del sistema (Python, Java) puede eludir las reglas exe si el propio intérprete se encuentra en un directorio autorizado. Debe cubrirse con las reglas de scripts desde la primera semana de implementación.
Las reglas de ruta pueden eludirse si un usuario tiene acceso de escritura a un directorio autorizado. Esto es poco habitual en un entorno correctamente configurado, pero en algunos equipos antiguos en los que los usuarios estándar tenían acceso de escritura a C:Program Files, la regla de ruta pierde su utilidad. Combinar la ruta con el editor elimina este riesgo.
AppLocker no está disponible en Windows 11 Home. En entornos mixtos, WDAC (Windows Defender Application Control) es la alternativa; aunque su configuración es más compleja, está disponible en todas las ediciones.
<!– wp:assistouest/callout {«calloutType»:»note»,»title»:»¿Eres un empleado y no un administrador de sistemas?»,»content»:»Si quieres utilizar un programa sin derechos de administrador (y no bloquearlo), consulta nuestra guía en cómo instalar una aplicación sin derechos de administrador en Windows 11.»} /–>