AppLocker
es una de las nuevas características de Windows 7 Enterprise (y también
presente en Ultimate). Applocker permite bloquear la ejecución de aplicaciones
si no están previamente autorizadas dentro del entorno organizacional.
Cuando
queremos ejecutar por primera vez AppLocker, el asistente nos ofrece la
creación de 3 reglas predeterminadas:
1-Un
administrador del equipo puede ejecutar cualquier archivo
2-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %Windir%
3-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %ProgramFiles%
2-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %Windir%
3-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %ProgramFiles%
Con estas
tres simples reglas, ya podemos evitar la ejecución de portables, programas que
se encuentren en ubicaciones remotas o fuera de los directorios predeterminados
de instalación.
Es
importante aclarar que todo lo que no esté autorizado por AppLocker, esta
negado de forma predeterminada. Además de tener el permiso de AppLocker, el
usuario necesita los permisos de NTFS o autorización propia de la aplicación
para ejecutarse.
Para
mostrarlo en funcionamiento, vamos a explicar un caso que sucede en muchas
organizaciones: Con la finalidad de evitar el crecimiento de bases de datos que
no estén normalizadas, estas deben correr en los servidores SQL Server. La
bases de datos en motores que se ejecutan en equipos cliente no debían
utilizarse salvo en los casos excepcionales, por lo que se busca evitar la
utilización de MS Access. También es necesario que la imagen corporativa
utilizada para instalar los equipos incluya MS Access en todos los equipos, ya
que un usuario debería poder cambiar de equipo y continuar utilizando los
programas que necesita. Como último requerimiento, el mantenimiento de quien
utiliza o no MS Access debe ser simple, por lo que una membresía de un grupo de
seguridad debe poder controlarlo.
El
procedimiento que seguimos es el siguiente:
-Creación
de un grupo de seguridad de Windows llamado “Access Users” desde la consola de
ADUC (Active Directory Users & Computers), PowerShell o cualquier otro
método de preferencia.
-En la
consola de “Manage Group Policies”, creamos un nuevo objeto al que llamamos
AppLocker (Fig 1) y lo editamos (Fig 2), seleccionando: Computer Configuration, Policies,
Windows Settings, Security Settings, Application Control Policies, AppLocker,
Excutable Rules y finalmente Create New Rule.
Fig 1
Fig 2
-En las
opciones de Permissions, seleccionamos "Allow" y el grupo de
seguridad que creamos previamente. En Conditions, seleccionamos
"Publisher", "Next", "Browse..." y seleccionamos
el archivo al que queremos aplicar la regla (este local o en un equipo remoto).
Adicionalmente seleccionamos "Use Custom Values" para que no se pueda
utilizar ninguna version menor a 16 (Office 2010 es la versión 14, por lo que
la 16 aún ni existe!) (Fig 3)
Fig 3
-Ante la
creación de una nueva regla, el asistente nos consulta sobre la creación de las
reglas predeterminadas (Fig 4), a lo que respondemos que sí (las reglas explicadas al
inicio de este artículo).
Fig 4
-Ahora
debemos quitar MS Access de la regla por default que permite que todos ejecuten
cualquier programa instalado en %programfiles%. Para lograrlo, seleccionamos la
regla a modificar, pulsamos el botón secundario y seleccionamos
"Properties" y el en tab de "Exceptions" (Fig 5), seleccionamos MS
Access de forma similar a como hicimos cuando creamos la regla en el paso anterior.
Fig 5
-Por
último, para que AppLocker funcione e impida la ejecución de los programas, el
servicio "Application Identity" debe estar en ejecución. En nuestro
ejemplo, lo activamos en el mismo GPO (Fig 6).
Fig 6
Solo nos
resta ir a un equipo con MS Access y probar que pasa cuando un usuario intenta
ejecutarlo (Fig 7).
Fig 7
De esta
forma, no importa en cual equipo este autenticado el usuario, solo podrá
utilizar MS Access si pertenece al grupo de seguridad correspondiente.
AppLocker
puede funcionar también en modo auditoría por lo que solamente crea un evento
en el log del sistema. Finalmente AppLocker puede impedir la ejecución de
instaladores y scripts.
Para
aprender más…
AppLocker en Technet
AppLocker en Technet