Prohibir el Uso de Aplicaciones–Parte 2 de 2

En la primera parte de estas notas (“Prohibir el Uso de Aplicaciones-Parte 1 de 2”) hemos visto cómo prohibir a un grupo de usuarios la ejecución de aplicaciones que sean parte del sistema operativo, o instaladas por un administrador

En esta segunda parte, veremos como podemos impedir la ejecución de las llamadas “aplicaciones portables”. Esas que no necesitan ningún tipo de instalación y alcanza con tenerlas copiadas en una carpeta, aún dentro de la carpeta Documentos de un usuario

Utilizo la misma infraestructura, y con la configuración hecha en la Parte 1 de estas notas

He hecho una simulación, donde el usuario “Usuario Normal” ha descargado una aplicación portable. Uso como ejemplo el conocido VLC.EXE pero podría ser cualquiera

AL2-01

Lo primero que debemos hacer es identificar qué tipo de información nos provee el ejecutable a prohibir, ya que de esa forma podremos elegir el método más apropiado para impedir su uso, así que copio el ejecutable al Controlador de Dominio, para ver sus características

AL2-03

Podemos observar que está firmado digitalmente

AL2-04

La opción “Path” no es válida para este caso, porque se podría ejecutar desde cualquier ubicación.

La opción “File Hash” es válida, pero el problema podría presentarse si se obtiene una versión más nueva o más vieja, ya que en ese caso ya no valdría la regla

Así que elegí “la menos peor” como es “Publisher”, y digo así porque de esta forma la regla se aplicará cualquier aplicación que provenga del mismo desarrollador

Comencemos editando la GPO existente

AL2-05

Y agregando una nueva regla

AL2-06

AL2-07

Debemos denegar al grupo

AL2-08

Con la opción “Publisher”

AL2-09

Y seleccionando el archivo, automáticamente el sistema utilizará la firma del mismo. Si seleccionáramos la opción “Use custom values” podríamos exceptuar más opciones

AL2-10

Y seguimos adelante

AL2-11

Le asignamos un nombre a la regla

AL2-12

Quedará así

AL2-13

En CL1 he copiado la carpeta correspondiente a la aplicación, a la raíz del disco C:\ simulando que el usuario ha decidido compartir su aplicación con el resto de los usuarios de la máquina :)

AL2-14

Hago la prueba con el “Usuario Normal”, que de acuerdo a lo configurado debería poder ejecutar la aplicación, y observo que no es así. Recuerdo que la idea era que no pudiera ejecutar la aplicación sólo el grupo “Usuarios Restringidos”

AL2-15

Así que vuelvo a editar la GPO, pero esta vez para permitir que todos puedan ejecutarla. De esta forma, como las denegaciones prevalecen sobre los permitidos, todos podrán ejecutarla, menos los “Usuarios Restringidos”

Agregaré una nueva regla

AL2-16

AL2-17

Ahora entonces permitimos a todos

AL2-18

Usaré la misma opción que en la denegación

AL2-19

AL2-20

AL2-21

AL2-22

AL2-23

En CL1, actualizo la aplicación de la GPO desde un CMD ejecutado como administrador y vemos que el “Usuario Normal” la puede ejecutar sin problemas

AL2-24

Pero si la trata de ejecutar “Usuario Limitado” no podrá

AL2-25

 

El poder impedir que los usuarios ejecuten determinadas aplicaciones es algo que se presta a muchas y varias configuraciones, y opciones de aplicación, así que dejo para que cada uno evalue su situación y elija el método más adecuado a su entorno

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Victor Hugo Diaz  On 06/10/2015 at 10:15

    Buenos dias usted me puede ayudar con algo si es de su conocimiento?

    es que cada vez que uno apaga el servidor, las impresoras cambian de numero de sesión, es decir; si hoy me conecto como impresora bixolon redirección 1, mañana o pasado cambia a Bixolon redirección 6……tienes alguna manera de esclavizar ese redireccionamiento?? O numero de sesión??

    Que cada vez que apague y prenda el servidor tome siempre el mismo redireccionamiento las impresoras, esto es en un equipo cliente.

    Gracias y atento a tus comentarios..

    Cordialmente;

    Victor Diaz

    • Guillermo Delprato  On 06/10/2015 at 11:42

      Hola Victor, estos son comentarios sobre la nota, y oriento cuando puedo, pero lamentablemente no sabría decirte para tu caso
      Deberías recurrir a algún foro de soporte

  • Charles Romel Galindo  On 06/10/2015 at 11:38

    Buen día.
    Me agrada el Blog ya que es muy claro al trasmitir conocimientos.
    Respecto al tema, tengo entendido que el AppLocker tiene limitantes de acuerdo a las versiones Windows de los clientes. Me puedes indicar en qué versión de clientes realizaste el laboratorio.

    Saludos

    • Guillermo Delprato  On 06/10/2015 at 11:44

      Hola Charles ¡gracias por el comentario!
      El cliente que estoy usando es W8.1
      AppLocker es válido desde W7, para versiones anteriores está “Software Restriction Policies”
      Nunca conviene “mezclar” ambos sistemas :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: