En la primera parte de estas notas (“Prohibir el Uso de Aplicaciones-Parte 1 de 2”) hemos visto cómo prohibir a un grupo de usuarios la ejecución de aplicaciones que sean parte del sistema operativo, o instaladas por un administrador
En esta segunda parte, veremos como podemos impedir la ejecución de las llamadas “aplicaciones portables”. Esas que no necesitan ningún tipo de instalación y alcanza con tenerlas copiadas en una carpeta, aún dentro de la carpeta Documentos de un usuario
Utilizo la misma infraestructura, y con la configuración hecha en la Parte 1 de estas notas
He hecho una simulación, donde el usuario “Usuario Normal” ha descargado una aplicación portable. Uso como ejemplo el conocido VLC.EXE pero podría ser cualquiera
Lo primero que debemos hacer es identificar qué tipo de información nos provee el ejecutable a prohibir, ya que de esa forma podremos elegir el método más apropiado para impedir su uso, así que copio el ejecutable al Controlador de Dominio, para ver sus características
Podemos observar que está firmado digitalmente
La opción “Path” no es válida para este caso, porque se podría ejecutar desde cualquier ubicación.
La opción “File Hash” es válida, pero el problema podría presentarse si se obtiene una versión más nueva o más vieja, ya que en ese caso ya no valdría la regla
Así que elegí “la menos peor” como es “Publisher”, y digo así porque de esta forma la regla se aplicará cualquier aplicación que provenga del mismo desarrollador
Comencemos editando la GPO existente
Y agregando una nueva regla
Debemos denegar al grupo
Con la opción “Publisher”
Y seleccionando el archivo, automáticamente el sistema utilizará la firma del mismo. Si seleccionáramos la opción “Use custom values” podríamos exceptuar más opciones
Y seguimos adelante
Le asignamos un nombre a la regla
Quedará así
En CL1 he copiado la carpeta correspondiente a la aplicación, a la raíz del disco C:\ simulando que el usuario ha decidido compartir su aplicación con el resto de los usuarios de la máquina :)
Hago la prueba con el “Usuario Normal”, que de acuerdo a lo configurado debería poder ejecutar la aplicación, y observo que no es así. Recuerdo que la idea era que no pudiera ejecutar la aplicación sólo el grupo “Usuarios Restringidos”
Así que vuelvo a editar la GPO, pero esta vez para permitir que todos puedan ejecutarla. De esta forma, como las denegaciones prevalecen sobre los permitidos, todos podrán ejecutarla, menos los “Usuarios Restringidos”
Agregaré una nueva regla
Ahora entonces permitimos a todos
Usaré la misma opción que en la denegación
En CL1, actualizo la aplicación de la GPO desde un CMD ejecutado como administrador y vemos que el “Usuario Normal” la puede ejecutar sin problemas
Pero si la trata de ejecutar “Usuario Limitado” no podrá
El poder impedir que los usuarios ejecuten determinadas aplicaciones es algo que se presta a muchas y varias configuraciones, y opciones de aplicación, así que dejo para que cada uno evalue su situación y elija el método más adecuado a su entorno
WindowServer 
Comentarios
Buenos dias usted me puede ayudar con algo si es de su conocimiento?
es que cada vez que uno apaga el servidor, las impresoras cambian de numero de sesión, es decir; si hoy me conecto como impresora bixolon redirección 1, mañana o pasado cambia a Bixolon redirección 6……tienes alguna manera de esclavizar ese redireccionamiento?? O numero de sesión??
Que cada vez que apague y prenda el servidor tome siempre el mismo redireccionamiento las impresoras, esto es en un equipo cliente.
Gracias y atento a tus comentarios..
Cordialmente;
Victor Diaz
Hola Victor, estos son comentarios sobre la nota, y oriento cuando puedo, pero lamentablemente no sabría decirte para tu caso
Deberías recurrir a algún foro de soporte
Buen día.
Me agrada el Blog ya que es muy claro al trasmitir conocimientos.
Respecto al tema, tengo entendido que el AppLocker tiene limitantes de acuerdo a las versiones Windows de los clientes. Me puedes indicar en qué versión de clientes realizaste el laboratorio.
Saludos
Hola Charles ¡gracias por el comentario!
El cliente que estoy usando es W8.1
AppLocker es válido desde W7, para versiones anteriores está «Software Restriction Policies»
Nunca conviene «mezclar» ambos sistemas :)
Hola Guillermo. excepcional tus notas…. tengo una situación con Psiphon… la opción por Publisher servira??? gracias de antemano
Hola Chris, gracias por tu comentario. Realmente no sé tu pregunta, ten en cuenta que estos son comentarios sobre la nota y no puedo hacer soporte
Trackbacks
[…] La segunda parte en “Prohibir el Uso de Aplicaciones–Parte 2 de 2” […]