jueves, 8 de septiembre de 2011

Tutorial - Restringiendo ejecución de aplicaciones en Windows mediante Group Policy Objects

Group Policy Object Editor MMC

Recientemente supe como resolver un problema interesante de administración en el sistema operativo  Microsoft Windows. Si Usted trata de lograr que un(os) usuario(s) solo pueda(n) ejecutar un número reducido de aplicaciones, en este artículo encontrará los detalles explicados paso a paso. Hacer esto puede resultar de utilidad para frenar la difusión de programas malignos, como virus y troyanos ... esos huéspedes indeseables amigos del Kaspersky :P. La solución presentada creo que es lo suficientemente precisa, confiable y elegante como para ser implementada en un entorno de producción. La documentación al respecto es escasa, así que aquí les dejo mis notas. Usted puede  suscribirse a este blog si desea estar al tanto de temas tan raramente abordados como el que les presento a continuación. Espero que a algunos les permita aprovechar su tiempo y realizar esta tarea rápidamente. Como verán me baso en una instalación de Windows en inglés. Si alguien tiene la amabilidad de mencionar los términos equivalentes en español, sin dudas actualizaré el artículo lo más pronto que sea posible. Espero sus comentarios ;o) .

La solución consiste en configurar lo que se conoce como  Software Restriction Policy (SRP) en las políticas (i.e.  Group Policy Object) del usuario en cuestión y no permitirle ejecutar ninguna aplicación excepto

  • Los ficheros ejecutables que intervienen en el inicio de sesión (sino no podrá utilizar el equipo :-$ , así que asegúrese de incluirlos en la sección Additional Rules del SRP y establecer el nivel de seguridad en el valor Unrestricted).
    • C:\Windows\explorer.exe
    • C:\Windows\System32\csrss.exe
    • C:\Windows\System32\dwm.exe
    • C:\Windows\System32\rdclip.exe
    • C:\Windows\System32\taskhost.exe
    • C:\Windows\System32\TSTheme.exe
    • C:\Windows\System32\userinit.exe
  • Las demás aplicaciones que se determine que pueda utilizar el usuario, pues si solo se habilitan los que fueron mencionados anteriormente entonces solo podrá ver su escritorio y no podrá hacer absolutamente nada. Ejemplos que se podrían añadir en la lista Unrestricted Access son:
    • Paint, añada la ruta C:\Windows\System32\paint.exe
    • Microsoft Internet Explorer, añada la ruta C:\Windows\System32\iexplore.exe
    • ...

A continuación menciono los pasos que hay que seguir para deshabilitar la ejecución de programas. Para ejecutarlos se hace imprescindible tener permisos de administración.

  1. Abrir la consola de administración i.e. Microsoft Management Console (Start -> Run -> mmc):
  2. Seleccione File -> Add/Remove Snap-in
  3. Seleccione Group Policy Object
  4. Haga click en Add
  5. Haga click en Browse, y seleccione el usuario al cual desea restringirle los permisos.
  6. Haga click en Finish, y OK. En este momento en el la vista jerárquica aparecerá un nodo <username> Policy.
  7. Navegue a User Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies
  8. Hag click derecho sobre Software Restriction Policies y haga cick en New Software Restriction Policies
  9. Aparecerán dos nodos nuevos en la vista jerárquica. Haga click en Security Levels
  10. Haga doble click en el nivel de seguridad Disallowed y luego click en Set as Default
  11. Acceda al otro nodo, i.e. Additional Rules
  12. Elimine las runas élficas que Windows añade allí de forma predeterminada (i.e. %HKEY_LOCAL_MACHINE\... y otros cuentos de horror ... :o).
  13. Añada las reglas para las aplicaciones mencionadas al principio del artículo. Recuerde que son absolutamente necesarias para que el usuario pueda iniciar su sesión tanto desde el desktop como por acceso remoto.
  14. Añada los caminos a los otros programas que el usuario podrá ejecutar (e.g. C:\windows\system32\paint.exe , ... etc.). Asegúrese de que los usuarios no pueden sobrescribir estos programas, porque sino de todas formas podrán ser capaces de ejecutar cualquier cosa ;o).
  15. Haga click en Save.
  16. Listo!

Conclusiones

Espero que todos aquellos que han leído este artículo ya se hayan convencido de que  Microsoft Windows es el sistema operativo más seguro que existe ...

¡Oh, no! no se preocupe era una broma ... :o)

Me sentiría muy feliz si Usted hubiera encontrado en este artículo la solución a su problema . Si quiere estar al tanto de nuevos trucos y temas interesantes, le invito a  suscribirse a este blog. En caso de tener dudas o necesitar ayuda espero sus comentarios. Recuerde que todo es posible ... simelo pide ....