Question

 

Que tal sres, en alguna ocasión en uno de mis trabajos anteriores, estuve apoyando al administrador del servidor, y noté que hacía modificaciones de tal manera que en las terminales pegadas al dominio, no se pudieran ejecutar aplicaciones como el windows media, o simplemente no tenía permisos para realizar instalaciones de programas.

 

Sin embargo las aplicaciones que ya estaban instaladas si le permitian leer y modificar información, es una duda que he tenido desde hace tiempo y no he podido encontrar cómo es que le hacía este amigo.

 

Ojalá ustedes me pudieran sacar de mi ignorancia.

 

Saludos

Comments

Hola spidershad, no publiques las preguntas escribiendo todo en mayúsculas, en Internet, eso se considera gritar.
He editado la pregunta para que quede bien, saludos.

Answer 1

Configuraciones Realizadas por medio de GPO, al querer restringir alguna aplicacion, o labor operativa sobre estaciones unidas a un dominio de manera masiva puesde utilizar GPO segun la configuracion que requieras. Por ejemplo puedes bloquear para que no instlaen programas, o para que no puedan ingresar al panel de control o modificar parametros de disco, o igresar al administrador del Equipo etc. Todo masivamente por Configuracion de GPO

Comments

Perverso mi estimado, me pondré a leer ese tema, te agradezco.

PD. Muy bueno el sitio Victor, seguro tendrá bastante audiencia para hacerlo mejor aún. Felicidades...

Answer 2

Ese tipo de configuraciones las podes realizar por medio de las politicas de grupos, podes crear una lista de las aplicaciones que no estan permitidas que se ejecuten y el resto no sufre ningun bloqueo, en las opciones del AD podes encontrar esto.

Podes crear un grupo de usuarios y a este agrupo asignarle esta politica a modo de que solo restrinjas a los usuarios necesarios.

Answer 3

Hola:

Si, a mi entender lo más adecuado sería activar la siguiente directiva:

Configuración del equipo, Configuración de Windows, Configuración de seguridad: Directivas de restricción de software.

Si nunca se configuró estará vacío, entonces, ubicado en la rama, botón derecho del ratón y "Crear nuevas directivas".

A continuación, "Reglas adicionales": Tenemos:

"Regla de nuevo hash...". Con esto se impedirá que un programa se ejecute, aunque cambie de nombre o de dirección, pero no será efectivo ante cambios de versión (en el código). Esta directiva nos permitirá evitar que se ejecuten programas malintencionados, que están dando problemas, para luego poder atacarlos con más fácilidad.

 "Regla de nueva ruta...". Bloqueamos programas en una ruta como, por ejemplo: C:\Documents and Settings\All Users\Menú Inicio\Programas\Juegos. Esta directiva es muy fácil satársela.

Saludos desde Pontevedra (España).

Gonzalo Couselo Filgueira

Comments

Hola Gonzalo.
Podrias realizar varias acciones.
- Implementar una desinstalacion masiva en el Dominio, de las aplicaciones que no quieres que se utilicen.
- Los usuarios no deben ser administradores locales.
- Implementar reglas de hash y nuevas rutas, es muy eficiente.

Ten en cuenta que ningun control que implementes es 100% seguro, siempre habra forma de saltar los controles de seguridad, pero si... minimo implementas lo indicado, tendras un mejor control. Pero eso si debes monitorear que nuevas aplicaciones han instalado en las pcs de tu dominio.

Saludos,