Prohibir el Uso de Aplicaciones–Parte 1 de 2

Una consulta que he visto muchas veces, es cómo evitar que los usuarios puedan usar determinadas aplicaciones

Este problema lo podemos dividir en dos posibilidades:

  • Aplicaciones instaladas por un administrador, o por omisión en el sistema
  • Aplicaciones portables, que no necesitan ninguna instalación y por lo tanto cualquier usuario ejecuta desde su carpeta

En esta primera nota, de las dos que prepararé, veremos el primer caso con un ejemplo, dejando la segunda opción para la siguiente nota

Como aclaración  por un comentario que he recibido: la posibilidad de restricción en Windows 7 es sólo para las versiones Enterprise y Ultimate, y para Windows 8  y 8.1 Enterprise

Más información en: Requirements to Use AppLocker

La infraestructura utilizada es la misma que todas las notas del blog, y muy sencilla:

  • DC1.ad.guillermod.com.ar: Un Controlador de Dominio
  • CL1.ad.guillermod.com.ar: Una máquina cliente del Dominio

Como lo tenemos que hacer mediante GPOs, he creado una Unidad Organizativa (“Desktops”) donde he puesto la cuenta de la máquina cliente

AL-01

Y por otro lado he creado otra Unidad Organizativa donde he creado dos cuentas de usuario:

  • “Usuario Normal”: que no tendrá restricciones
  • “Usuario Limitado”: que sí tendrá restricción de aplicaciones

Como pueden ver en la siguiente pantalla también he creado un grupo “Usuarios Restringidos” donde he colocado la cuenta “Usuario Limitado”

AL-02

Como la configuración de la GPO que necesitamos está en la parte de máquina, comienzo creando una GPO enlazada a “Desktops” en la forma usual

AL-03

AL-04

Y la configuraremos

AL-05

Para poder configurar el uso de aplicaciones mediante “Application Locker” debe estar funcionando el servicio “Application Identity”, así que lo primero a hacer es configurar para que este servicio arranque automáticamente. Lo encontramos en “Computer Configuration / Policies / Windows Settings / Security Settings / System Services”

AL-06

AL-07

Ahora sí, vamos a configurar las aplicaciones, para lo cual debemos abrir: “Computer Configuration / Windows Settings / Security Settings / Aplication Control Policies / AppLocker” que desplegaremos

AL-08

Cuando configuramos “AppLocker” tenemos dos opciones, que las reglas se apliquen o que sólo se audite su utilización. Por supuesto que lo que estamos haciendo ahora es justamente se apliquen, pero es buena práctica primero usar sólo la auditoria hasta estar seguros que su aplicación no impida el trabajo normal

AL-09

AL-10

En el caso más común supongo que no tendremos problema en que los usuarios puedan ejecutar las aplicaciones incluidas en el propio sistema operativo, como puede ser el Notepad, o la calculadora, así que crearé las “Default Rules”

AL-11

Que como podemos observar, permiten la ejecución a todos los usuarios, a las aplicaciones incluidas en el propio sistema operativo, y en la carpeta “Program Files”, ya que en esta quedan únicamente las aplicaciones instaladas por un administrador (No me dí cuenta, y no expandí la columna para que se vea más claro)

Y por otro lado, que los administradores puedan ejecutar cualquier aplicación, sin importar su ubicación

AL-12

Para no tener que instalar una aplicación, ahorrar tiempo, y que la demostración sea más sencilla, en lugar de usar una aplicación instalada en “Program Files”, usaré como ejemplo para limitar una aplicación incluida en el sistema operativo, como es “Wordpad”

Para limitar una aplicación específica, el procedimiento es totalmente análogo, sólo que habría que seleccionar otro ejecutable

Así que comenzamos creando una nueva regla. El objetivo es que los usuarios que estén en el grupo “Usuarios Restringidos” no puedan usar “Wordpad”

AL-13

AL-14

Debemos seleccionar denegar, y al grupo elegido

AL-15

Disponemos de tres opciones posibles para identificar el ejecutable:

  • “Publisher”: Esta opción nos permite seleccionar unos o más ejecutables siempre y cuando el desarrollador los haya firmado digitalmente (Lo usaré en la segunda parte de la nota)
  • “Path”: Esta opción nos permite seleccionar todo lo que esté en una determinada carpeta, inclusive hasta el archivo en sí (Lo usaremos para esta parte de la nota)
  • “File Hash”: Esta permite seleccionar una archivo por su valor “Hash” que lo identifica unívocamente

El uso de “Publisher” puede no se útil si el ejecutable no está firmado, y además con esta opción limitaríamos a todos los ejecutables con dicha firma. Podríamos evitar la ejecución de todo lo que provenga de un determinado desarrollador

Con la opción “Path” podemos seleccionar todo lo que esté en una determinada carpeta, pero no serviría si el usuario copia el ejecutable en otra ubicación

Y si usamos “File Hash” podemos hacer que se aplique la restricción sin importar si lo copia, o si lo renombra. El inconveniente es que si usara una versión diferente de la aplicación deberíamos hacer otra regla para el nuevo archivo y su correspondiente “Hash”

En este caso utilizaré la opción “Path”

AL-16

Seleccionamos el “Path” y el archivo correspondiente

AL-17

En este caso no utilizaré excepciones

AL-18

Y le pondré un nombre adecuado

AL-19

Quedará así

AL-20

Para no demorar, inciando sesión en CL1 con una cuenta administradora fuerzo la aplicación de la GPO, y verifico que se está aplicando

AL-21

Incio en CL1 sesión con la cuenta de “Usuario Limitado”

AL-22

Y trato de ejecutar la aplicación prohibida

AL-23

En este caso no da ningún tipo de mensaje, simplemente no la abre

AL-24

Pero ¿qué sucede si el usuario intenta ejecutarla directamente?

AL-25

En este caso sí, recibe un mensaje notificando que está prohibido su uso

AL-26

Si ahora se inicia sesión con el “Usuario Normal”, no debería estar limitado

AL-27

Y trata de utilizar la aplicación

AL-28

Podemos ver que no tiene problemas, y se ejecuta la aplicación

AL-29

 

Continuaré en la siguiente nota, con la segunda opción nombrada al principio, porque además de aplicaciones instaladas, los administradores deben poder manejar el uso de aplicaciones que no requieren instalación, las llamadas “aplicaciones portables” las cuales alcanza con copiarlas a una carpeta y ejecutarlas

La segunda parte en “Prohibir el Uso de Aplicaciones–Parte 2 de 2

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 29/09/2015 at 10:44

    Muy bueno el sistema para solo permitir ejecutar programas que estén en “Program Files”.

    Creo que lo voy a aplicar para evitar sustos con los virús de tipo ransomware/cryptowall que se ejecutan desde la carpeta users/

  • Waldo  On 29/09/2015 at 10:47

    Muy bueno

  • federicodeluca  On 05/10/2015 at 11:25

    Excelente tener detallado el uso de AppLocker, es algo que tengo pendiente de implementar hace un tiempo ya y me parece una muy buena herramienta

    Muchas gracias por el post Guillermo!

    • Guillermo Delprato  On 05/10/2015 at 11:49

      Hola Federico, mañana sale la segunda parte, para bloquear aplicaciones portables
      De todas formas, antes de ponerlo en productivo, probarlo bien en un ambiente de laboratorio, o marcar sólo la opción de auditoría
      Hace poco vi una pregunta en el foro, donde el admin había bloquedado todas las MMC, incluyéndose :D

  • Ricardo Rodriguez  On 18/11/2015 at 14:38

    He seguido toda la secuencia con el mismo escenario, pero al final el usuario limitado si puede ejecutar el wordpad. Habrá modo de hacer una especie de trace para ver que esta fallando.
    Saludos

    • Guillermo Delprato  On 18/11/2015 at 15:15

      Hola Ricardo, primero que nada revisa que esté funcionando el servicio “Application Identity” y que se haya confundido con cualquiera de los tros 5 servicios que comienzan con “App…”. Es uno de los errrores más comunes
      Luego verificar que esté aplicado y no sólamente auditado el uso
      Otra opción es verificar la aplicación de las GPOs con GPRESULT
      Y siempre queda el visor de eventos …

      • Ricardo Rodriguez  On 19/11/2015 at 16:44

        Se agradece la respuesta. Si pues el servicio ApplDSvc estaba detenido. Pero el problema mayor según MS es que AppLocker solo funciona en Windows 8.1 Enterprise y no en Win Pro.
        Saludos.

      • Guillermo Delprato  On 19/11/2015 at 19:15

        Exactamente Ricardo, es una una característica específica de la edición Enterprise o Ultimate
        Para Professional se puede sólo en modo auditoría
        Gracias a tu comentario me he dado cuenta que no lo he explicitado en la nota, ya mismo voy a hacer la aclaración
        ¡Gracias!

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: