Tutobox.fr

Tutoriales de informática - Sistema - Red - Seguridad

Anular AppLocker en Windows: ¿cómo funciona?

por - Publicada - Actualizado

Evitar AppLocker en Windows

En Windows, AppLocker es una característica muy apreciada, ya que permite bloquear la ejecución de software según ciertas reglas. Sin embargo, es posible eludir AppLocker en Windows, realizando algunas manipulaciones.

Nota AppLocker es una función compatible con las ediciones Enterprise y Education de Windows, incluidos Windows 10 y Windows Vista. Windows 11. También funciona en Windows Server y puede ser útil en un servidor RDS.

Cuando configuramos una política de AppLocker, a menudo es para autorizar únicamente la ejecución de software ubicado en " C:\Windows ", " C:\Archivos de programa " y " C:\Archivos de programa (x86) ".. Esto es lo que se propone con las reglas por defecto. Con esta configuración, el usuario no puede ejecutar una aplicación portátil ubicada en una llave USB ni instalar una aplicación en su perfil de usuario, por lo que solo se pueden utilizar aplicaciones instaladas (y aprobadas) por el administrador.

Al editar un nuevo GPO, puede definir la política de AppLocker que desee mediante la definición de reglas.

AppLocker GPO

Puedes ver las reglas por defecto:

Ahora vamos a ver cómo eludir AppLocker, suponiendo que aplicamos estas reglas a una máquina...

1. AppLocker y el directorio C:\Windows\Temp

Con la estrategia actual, puede ejecutar aplicaciones ubicadas en "C:Windows", "C:Archivos de programa" y "C:Archivos de programa (x86)".Así que si intento ejecutar una aplicación portable desde el "Escritorio", mientras estoy conectado como usuario estándar, ¡AppLocker me bloqueará!

Para eludir AppLocker y ejecutar el software, debe consultar la página " C:\Windows\Temp en la máquina". Sin embargo, este directorio tiene derechos específicos y si intento acceder a él con el navegador, se me bloquea. En la línea de comandos, con Símbolo del sistema o PowerShell: ídem.

Sin embargo, es con la línea de comandos que vamos a tener éxito en eludir AppLocker. Resulta que tenemos derecho a copiar archivos en "C:³Windows³Temp". Así que podemos copiar el ejecutable en este directorio:

copiar "C:\sers\Tutobox\desktop\logiciel.exe" "C:\Windows\Temp\"

El comando anterior copiará el ejecutable "C:\sers\Tutobox\desktop\logiciel.exe" en este famoso directorio. ¡Verás que funciona! Desde ahí, también puedes ejecutar :

C:³³³³³³³³³³.exe

Su software se ejecutará, ¡porque la política por defecto de AppLocker no restringe este directorio! Lo que puede bloquearlo es el UAC si la aplicación en cuestión requiere derechos de administrador. Por lo demás, ¡has sorteado AppLocker con éxito!

2. Conclusión

AppLocker sigue siendo una solución muy interesante, pero hay que ir más allá de las reglas por defecto, y también restringir el acceso a las consolas de Windows (PowerShell / Símbolo del sistema) para evitar sorpresas desagradables. Hay otros métodos, pero esto es sólo un ejemplo para mostrar que AppLocker necesita ser afinado.

Recursos :

Etiquetas:

También te podría gustar...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *