Imprimir
Categoría: Artículos y Tutoriales
Una característica deseable en un  equipo que tenga un uso público, compartido o incluso académico es que sea capaz de restringir las aplicaciones que pueden ejecutar los usuarios.  Dependiendo de la versión de  Windows que tengamos instalada vamos a poder llevar a cabo este propósito de tres maneras diferentes: Mediante Applocker, si nuestro sistema operativo es Windows 7 ultimate o Enterprise, mediante políticas de grupo si nuestro sistema operativo no coincide con los anteriores pero es Windows 2000 o superior, o bien utilizando el control parental. Veamos las tres maneras.


Mediante políticas de grupo.

Lo primero para llevar a cabo este procedimiento es iniciar el editor de políticas de grupo, para ello vamos al menú de inicio y en el cuadro de búsqueda tecleamos gpedit.msc. Para encontrar la política que buscamos tendremos que  navegar hasta:

Directiva de equipo local > Configuración de Usuario > Plantillas administrativas > sistema

Si nos fijamos en el panel de la derecha encontraremos una política denominada “ejecutar solo aplicaciones específicas de Windows”.  Para configurarla, solo tendremos que hacer doble click sobre la misma, habilitarla y a continuación hacer clic en el botón “mostrar” 



A continuación se nos mostrará un cuadro de dialogo en el que podremos específicar la lista de aplicaciones que queremos permitir.



Esta es una forma fácil de delimitar los programas que deseamos ejecutar en un equipo pero no muy segura. Ya que esta opción solo impide que se ejecuten aplicaciones iniciadas mediante el explorador de Windows, pero no impide que alguien pueda ejecutar un programa mediante el administrador de tareas (mediante archivo > ejecutar) o bien mediante el símbolo de sistema.  Además podemos iniciar cualquier programa con tan solo renombrar la denominación del ejecutable de la aplicación no permitida a uno que si lo esté.


Mediante Applocker

Esta opción es bastante más completa ya que podemos controlar el acceso de los usuarios a ficheros ejecutables: .exe, archivo de Windows Installer (extensión msi)  y a scripts o bibliotecas de programas (dll).

Por defecto Applocker sólo se encuentra presente en las versiones Windows Ultimate y Enterprise de Windows 7.  En Windows 7 Profesional podemos  crear reglas pero no las vamos a poder ejecutar.

Para acceder a Applocker deberemos teclear "secpol.msc" en el menú inicio > buscar   y abrir la carpeta directiva de control de aplicaciones.



Una vez iniciada la aplicación observaremos las tres  clases de reglas que podemos crear, Reglas de ejecutables, Reglas de Scripts y Reglas de Windows installer.

El procedimiento para configurar cualquiera de ellas es idéntico así que vamos a ver cómo crear una regla para archivos ejecutables, para iniciar el procedimiento hacemos clic con el botón derecho sobre cualquiera de las tres categorías y seleccionamos la opción crear nueva regla,



Se nos abrirá el asistente que observamos en la imagen, el asistente nos permitirá seleccionar si deseamos permitir o denegar la ejecución del archivo en cuestión y también  seleccionar el grupo al que se le va a aplicar dicha regla, por defecto aparecerá “Todos”.



Al hacer clic en siguiente accedemos  a la siguiente pantalla, en la que podremos elegir las condiciones que deseamos establecer para seleccionar el ejecutable  con el que vamos a trabajar para crear  la regla en la que estamos trabajando.  Aquí podremos crear la regla basándonos  en el editor, para la cual necesitaremos que nuestro archivo este firmado o certificado por su autor, en la ruta de acceso al programa, o bien en el hash de archivo. El hash de archivo es una identificación inequívoca para dicho archivo por lo que esta es una buena elección si el archivo ejecutable seleccionado no está firmado.

Finalmente si seleccionamos la opción “crear reglas automáticamente” del menú contextual, accederemos a un asistente que nos creará él solito una lista de reglas basándose en los programas que tenemos ya instalados.
 

Control Parental.

El control parental también es una manera de seleccionar que programas deseamos habilitar para una cuenta determinada, para activarlo solo tenemos que ir al panel de control, hacer click en control parental y seleccionar el usuario al que queremos aplicar las restricciones de ejecución de software, accederemos a la pantalla que os mostramos a continuación:



Aquí simplemente tendremos que seleccionar la opción “activado, aplicar configuración actual” y en la derecha, activar “Limites de programas” haciendo click en “Desact.” Accederemos a un nuevo apartado que nos permitirá elegir qué programas deseamos permitir para la cuenta de usuario con la que estamos trabajando.

De las tres formas que hemos visto, no se os escapará, que la más segura y la más completa, es trabajar con Applocker, aunque sea algo más dificultosa.

Visto: 36786