El editor de políticas de Windows es una herramienta que nos permite habilitar o deshabilitar determinadas características de nuestro Sistema Operativo y que tiene políticas precisas que permiten gestionar a nivel local las diversas funcionalidades de nuestro Windows XP. En este artículo veremos cuáles son las políticas que nos permiten restringir la ejecución de software de terceros, y también nos acercaremos al Editor de Políticas de Seguridad Local, que nos permite restringir la ejecución de programas mediante la implementación de políticas de hash.

Método 1. El editor de políticas

El editor de políticas, presente en la versión Prof de Windows XP y que podemos iniciar tecleando desde inicio/ejecutar,  la palabra gpedit.msc, contempla la posibilidad de restringir la ejecución de software mediante la política No ejecutar aplicaciones de Windows especificadas, ubicada en la rama Directiva de equipo local  / Configuración de usuario / Plantillas administrativas / Sistema 

Al hacer doble click sobre ella accederemos al cuadro de configuración de está política, cuya gestión es bastante simple e intuitiva (véase figura 1). Basta con habilitarla   seleccionando la opción correspondiente  y presionar  el botón Mostrar, el cual nos presentará un nuevo cuadro de dialago en el que tan sólo nos bastará teclear el nombre del comando cuya ejecución deseamos restringir para presionar a continuación el botón agregar.

(figura 1)


Esta misma tarea puede ser llevada a cabo mediante el editor del registro (regedit) en Windows XP Home. Para ello, desde inicio /ejecutar, tecleamos regedit, y navegamos hasta la rama

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Una vez situados en la rama correspondiente desde el menú edición /nuevo  creamos una nueva carpeta llamada DisallowRun. 

Para gestionar desde aquí las directivas de restricción de software, deberemos crear un valor alfanumérico REG_SZ¸ desde el menú edición/nuevo. A este nuevo valor le pondremos de nombre un número correlativo, es decir, en nuestro caso, como acabamos de crear la rama aparecerá vacía, por lo que el nombre de la clave a crear para nuestro primer ejecutable a restringir será el 1, al siguiente le correspondería el 2 y así sucesivamente. Sólo nos basta hacer doble click sobre la clave recién creada y agregar el nombre del ejecutable del programa que no queramos que nuestros usuarios puedan utilizar. Una vez finalizado nuestro trabajo, veremos algo parecido a lo que presentamos en la figura 2

(figura 2)



MÉTODO 2. Restricción mediante políticas de seguridad local y HASH de archivo (sólo WinXP Prof).

Con la anterior restricción no impediremos que nuestros usuarios puedan ejecutar los programas si se les ocurre cambiar el nombre del ejecutable que los lanza. Es decir que si tenemos algún listillo en nuestra máquina es posible que nuestras precauciones no nos sirván para nada. Y, ¿qué hacemos en este caso? Pues sencillo: crear un regla de restricción de software mediante hash. Este método nos asegura mediante un algoritmo matemático que no se ejecutarán los archivos indicados, ya que no guarda memoria del nombre del ejecutable sino de un hash generado a partir del mismo y que varia ante cualquier modificación del archivo. Esto nos asegura que se impedirá la ejecución de ese archivo aunque le modifiquemos el nombre o lo cambiemos de carpeta.

Para implantar esta forma de restricción de software tendremos que ir a Panel de Control /Herramientas administrativas / Editor de Políticas de Seguridad Local,  y navegar hasta Configuración de seguridad / Directivas de restricción de software, una vez situado sobre esa rama en concreto hacemos click con el botón derecho del ratón, en la opción Reglas adicionales y, a continuación elegimos Regla de nuevo hash. Se nos crearán dos nuevas carpetas y nos quedará algo parecido a lo que presentamos en la figura 3,

 (figura 3) 

Para implantar nuestra política debemos hacer clic con el botón derecho del ratón sobre reglas adicionales  y elegir Regla de nuevo hash, sólo nos resta elegir el nombre del archivo cuya ejecución queremos impedir y hacer clic en aceptar. A partir de aquí “configuración de seguridad local” calculará el valor de Hash para ese archivo en concreto y nos impedirá su ejecución, aún variándolo de nombre o de carpeta. En nuestro ejemplo, hemos impedido la ejecución de Windows Media Player en el sistema.

La verdad es que esta herramienta tiene múltiples posibilidades, ya que con gpedit, todas las políticas se aplican por defecto a todos los usuarios, pero con la Directivas de Seguridad Local, es posible especificar a que grupos de usuarios queremos impedir la ejecución de programas. Veámoslo con un ejemplo,

Somos administradores de nuestra máquina y ya hemos restringido la posibilidad de que se ejecute Windows Media Player. Por defecto la política se aplicara también a nosotros, para variar este comportamiento, basta con abrir las directivas de seguridad local, y navegar hasta Directivas de Restricción de software.  Una vez ubicados, y sin movernos de esa carpeta, nos situamos en el panel de la derecha y hacemos doble clic sobre obligatoriedad.  En ese cuadro de dialogo veremos varias opciones, una de ellas nos permite que estas restricciones se ejecuten para Todos los usuarios excepto los administradores locales.