|
Esto es un extracto de un libro de Windows 2003.
Leélo a ver si te vale. Lo intentaré hacerlo en un PDF con imagenes pero ahora no tengo tiempo
Windows Server 2003 y Windows XP permiten restringir el uso de software a través de políticas, se puede evitar que se ejecute software no deseado.
Estas políticas se pueden aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las necesidades del entorno, así que podemos encontrar esta directiva dentro de Configuración de Windows -> Configuración de seguridad tanto el el nodo de configuración del equipo como el de configuración de usuario. Para comenzar a crear una política solo tenemos que hacer click con el botón derecho o bien ir a acciones y en ambos casos hacer click sobre Nuevas directivas de restricción de software.
Si echamos un vistazo a la política podemos ver distintos objetos de configuración, Niveles de seguridad (security levels) se refiere a los dos métodos base que existen de restricción del software. Ilimitado (unrestricted), se trata del método utilizado por defecto también conocido como blacklisting que consiste en permitir que se ejecute todo el software excepto el que se especifique como no permitido. El otro método disponible es No permitido (disallowed), que hará whitelisting es decir que solo permitirá ejecutar los programas que nosotros especifiquemos, este método es mucho mas seguro. Tras seleccionar este método los ficheros que vamos a permitir ejecutar o no según si usamos ilimitado o no permitido se filtraran mediante las Reglas adicionales (additional rules).
Editores de confianza (trusted publishers) nos permite seleccionar quien puede configurar una confianza con un determinado editor, esto es especialmente relevante a la hora de aceptar la instalación de controles ActiveX y aceptación de certificados por lo que es recomendable que solo se lo permitamos a los administradores.
Obligatoriedad (enforcement), aquí nos permite también aplicar las reglas de restricción de software también a bibliotecas DLL de forma que si estamos en modo no permitir habría que agregar esas bibliotecas. Igualmente nos permite seleccionar si se deben aplicar o no las políticas a los administradores locales.
Tipos de archivos designados (designated file types), en esta opción podemos elegir a que tipos de ficheros se aplicaran las restricciones, por defecto todos los tipos habitualmente ejecutables como .exe, .bat, .msi, .vbs... estan incluidos, podemos tanto eliminar algún tipo como incluir uno nuevo simplemente escribiendo la extensión.
Eisten cuatro tipos de Reglas adicionales según el método en el que basa para asignar restricciones o excepciones, por defecto están incluidos todos los ficheros del sistema mediante varias reglas de ruta de acceso con nivel de permiso ilimitado.
Regla de certificado (certificate rule), se puede añadir un certificado firmado por el fabricante del software de forma que todo el software de ese fabricante se pueda ejecutar.
Regla de hash, se nos solicitara que apuntemos al fichero para generar un hash único que identificara al fichero, esto permitirá que se restrinja su uso independientemente de su nombre o localización, esto nos puede servir para restringir el uso de una versión concreta de un programa. Esta técnica es similar a la que usan los antivirus para localización de ficheros infectados.
Regla de zona de Internet (internet zone), este tipo de regla solo se aplica a paquetes .MSI bajados a través de Internet Explorer y restringe su uso dependiendo del tipo de zona de Internet de donde se haya descargado el fichero.
Regla de ruta (path), esta regla nos permite tanto fijar restricciones directamente para un directorio o fichero concreto como hacerlo indirectamente apuntando a una entrada del registro que a su vez referencia a una ruta de fichero o directorio como por ejemplo se puede ver en las rutas que vienen definidas por defecto.
|
como puedo crear una GPO que prohiba, la instalacion/desinstalac de programas
Nov 15 2007, 12:23 AM
