En este artículo se describe cómo utilizar directivas de restricción de software en Windows Server 2003. Con ellas puede identificar y especificar el software que puede ejecutar para proteger el entorno informático del código que no es de confianza. Mediante directivas de restricción de software puede definir el nivel de seguridad predeterminado No restringido o No permitido para un objeto de directiva de grupo (GPO) de modo que se permita o no que el software se ejecute de forma predeterminada. Para crear excepciones en este nivel de seguridad predeterminado, puede crear reglas para software concreto. Puede crear los tipos de reglas siguientes:

?	Reglas hash
?	Reglas de certificado
?	Reglas de ruta
?	Reglas de zona de Internet

Una directiva se compone del nivel de seguridad predeterminado y de todas las reglas que se aplican a un GPO. Esta directiva se puede aplicar a todos los equipos o a usuarios individuales. Las directivas de restricción de software proporcionan varias maneras de identificar el software y una infraestructura basada en directivas que permite hacer cumplir las decisiones sobre si el software se puede ejecutar. Con las directivas de restricción de software, al ejecutar los programas, los usuarios deben seguir las instrucciones que configuran los administradores.

Con las directivas de restricción de software puede realizar las tareas siguientes:

?	Controlar qué programas pueden ejecutarse en un equipo. Por ejemplo, puede aplicar una directiva que no permita que ciertos tipos de archivo se ejecuten en la carpeta de datos adjuntos de correo electrónico del programa de correo electrónico si le preocupa que los usuarios reciban virus a través de ese medio.
?	Permitir que los usuarios ejecuten sólo archivos concretos en equipos con varios usuarios. Por ejemplo, si hay varios usuarios en cada equipo, puede configurar directivas de restricción de software de manera que no dispongan de acceso a cualquier software excepto con los archivos concretos que deban utilizar para su trabajo.
?	Decidir quién puede agregar los editores de confianza a un equipo.
?	Controlar si las directivas de restricción de software afectan a todos los usuarios o simplemente a ciertos usuarios de un equipo.
?	Evitar que se ejecute cualquier archivo en un equipo local, una unidad organizativa, un sitio o un dominio. Por ejemplo, si hay un virus conocido, puede utilizar las directivas de restricción de software para impedir que el equipo abra el archivo que contiene virus.IMPORTANTE: Microsoft recomienda no utilizar las directivas de restricción de software como sustituto del software antivirus.

Volver al principio

Iniciar directivas de restricción de software

Sólo en el equipo local

1.	Haga clic en Inicio, seleccione Programas y Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local.
2.	En el árbol de la consola, expanda Configuración de seguridad y, a continuación, expanda Directivas de restricción de software.

En un dominio, sitio o unidad organizativa de un servidor miembro o una estación de trabajo que se ha unido a un dominio

1.	Abra Microsoft Management Console (MMC). Para ello, haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	En el menú Archivo, haga clic en Agregar o quitar complemento y, después, haga clic en Agregar.
3.	Haga clic en Editor de objetos de directiva de grupo y, después, haga clic en Agregar.
4.	En Seleccionar un objeto de directiva de grupo, haga clic en Examinar.
5.	En Buscar un objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa adecuados y, a continuación, haga clic en Finalizar. O bien, puede crear un GPO nuevo y, a continuación, hacer clic en Finalizar.
6.	Haga clic en Cerrar y, después, en Aceptar.
7.	En el árbol de la consola, vaya a la ubicación siguiente: Directiva de objeto de directiva de grupo nombreDeEquipo/Configuración del equipo o Configuración de usuario/Configuración de Windows/Configuración de seguridad/Directivas de restricción de software

En un dominio o una unidad organizativa de un controlador de dominio o una estación de trabajo que tenga instalado el Paquete de herramientas de administración

1.	Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
2.	En el árbol de la consola, haga clic con el botón secundario del mouse en el dominio o unidad organizativa para el que desee definir la directiva de grupo.
3.	Haga clic en Propiedades y, después, haga clic en la ficha Directiva de grupo.
4.	Haga clic en una entrada en Vínculos de objetos de directiva de grupo para seleccionar un GPO existente y, a continuación, haga clic en Modificar. O bien, puede hacer clic en Nuevo para crear un objeto de directiva de grupo nuevo y, luego, haga clic en Modificar.
5.	En el árbol de la consola, vaya a la ubicación siguiente: Directiva de objeto de directiva de grupo nombreDeEquipo/Configuración del equipo o Configuración de usuario/Configuración de Windows/Configuración de seguridad/Directivas de restricción de software

En un sitio y un controlador de dominio o una estación de trabajo que tienen instalado el Paquete de herramientas de administración

1.	Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.
2.	En el árbol de la consola, haga clic con el botón secundario del mouse en el sitio para el que desee definir la directiva de grupo: ? Sitios y Servicios de Active Directory [ nombreDeControladorDeDominio. nombreDeDominio] ? Sitios ? Sitio
3.	Haga clic en Propiedades y, después, haga clic en la ficha Directiva de grupo.
4.	Haga clic en una entrada en Vínculos de objetos de directiva de grupo para seleccionar un GPO existente y, a continuación, haga clic en Modificar. O bien, haga clic en Nuevo para crear un nuevo objeto de directiva de grupo y, luego, haga clic en Modificar.
5.	En el árbol de la consola, vaya a la ubicación siguiente: Directiva de objeto de directiva de grupo nombreDeEquipo/Configuración del equipo o Configuración de usuario/Configuración de Windows/Configuración de seguridad/Directivas de restricción de software Importante: haga clic en Configuración de usuario para establecer las directivas que se aplicarán a los usuarios, independientemente del equipo en el que inicien sesión. Haga clic en Configuración del equipo para establecer las directivas que se aplicarán a los equipos, independientemente de los usuarios que inicien sesión en ellos. También puede aplicar directivas de restricción de software a usuarios concretos cuando inician sesión en un equipo específico con una configuración de directiva de grupo avanzada denominada bucle invertido.

Volver al principio

Impedir que los administradores locales apliquen las directivas de restricción de software

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el panel de detalles, haga doble clic en Aplicación.
4.	En Aplicar directivas de restricción de software a los siguientes usuarios, haga clic en Todos los usuarios excepto los administradores locales.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Normalmente, los usuarios son miembros del grupo local de administradores en los equipos de su organización; por consiguiente, puede que no sea aconsejable activar esta configuración. Las directivas de restricción de software no se aplican a cualquier usuario que sea miembro de su grupo local de administradores.
?	Si está definiendo la configuración de una directiva de restricción de software para un equipo local, utilice este procedimiento con el fin de evitar que los administradores locales hagan que se apliquen este tipo de directivas. Si está definiendo la configuración de una directiva de restricción de software para la red, filtre la configuración de la directiva de usuario según la suscripción a los grupos de seguridad utilizando Directiva de grupo.

Volver al principio

Crear una regla de certificado

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el árbol de la consola o en el panel de detalles, haga clic con el botón secundario del mouse en Reglas adicionales y, a continuación, haga clic en Regla de nuevo certificado.
4.	Haga clic en Examinar y, a continuación, seleccione un certificado.
5.	Seleccione un nivel de seguridad.
6.	En el cuadro Descripción, escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.

NOTAS:

?	Para obtener información sobre cómo iniciar las directivas de restricción de software en MMC, vea "Iniciar directivas de restricción de software" en Temas relacionados, en el archivo de Ayuda de Windows Server 2003.
?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	De forma predeterminada, las reglas de certificado no están activadas. Para activar las reglas de certificado: 1. Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar. 2. Busque la siguiente clave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 3. En el panel de detalles, haga doble clic en AuthenticodeEnabled y, a continuación, cambie los datos del valor de 0 a 1.
?	Los únicos tipos de archivo a los que afectan las reglas de certificado son aquéllos que se muestran en Tipos de archivo designados. Hay una lista de tipos de archivo designados que todas las reglas comparten.
?	Para que las directivas de restricción de software entren en vigor, los usuarios deben actualizar la configuración de la directiva cerrando sesión en los equipos e iniciándola de nuevo.
?	Cuando se aplica más de una regla a la configuración de la directiva, hay una prioridad en las reglas para tratar los conflictos.

Volver al principio

Crear una regla hash

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el árbol de la consola o en el panel de detalles, haga clic con el botón secundario del mouse en Reglas adicionales y, a continuación, haga clic en Regla de nuevo hash.
4.	Haga clic en Examinar para encontrar un archivo, o pegue un hash precalculado en el cuadro Hash de archivo.
5.	En el cuadro Nivel de seguridad, haga clic en No permitido o en No restringido.
6.	En el cuadro Descripción, escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Puede crear una regla hash para un virus o un caballo de Troya con el fin de impedir que se ejecute software malintencionado.
?	Si desea que otros usuarios utilicen una regla hash para que no se pueda ejecutar un virus, calcule el hash del virus utilizando las directivas de restricción de software y, a continuación, envíe por correo electrónico el valor hash a otros usuarios. No envíe nunca el propio virus por correo.
?	Si un virus se ha enviado a través del correo electrónico, también puede crear una regla de ruta para evitar que los usuarios ejecuten los datos adjuntos del correo.
?	Un archivo cuyo nombre se ha cambiado o que se ha movido a otra carpeta sigue teniendo el mismo valor hash.
?	Cualquier cambio en un archivo provoca un valor hash diferente.
?	Los únicos tipos de archivo a los que afectan las reglas hash son aquéllos que se muestran en Tipos de archivo designados. Hay una lista de tipos de archivo designados que comparten todas las reglas.
?	Para que las directivas de restricción de software entren en vigor, los usuarios deben actualizar la configuración de la directiva cerrando sesión en los equipos e iniciándola de nuevo.
?	Cuando se aplica más de una regla a la configuración de la directiva, hay una prioridad en las reglas para tratar los conflictos.

Volver al principio

Crear una regla de zona de Internet

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el árbol de la consola, haga clic en Directivas de restricción de software.
4.	En el árbol de la consola o en el panel de detalles, haga clic con el botón secundario del mouse en Reglas adicionales y, a continuación, haga clic en Regla de nueva zona de Internet.
5.	En Zona de Internet, haga clic en una zona de Internet.
6.	En el cuadro Nivel de seguridad, haga clic en No permitido o en No restringido, y haga clic en Aceptar.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Las reglas de zona sólo se aplican a los paquetes de Windows Installer.
?	Los únicos tipos de archivo a los que afectan las reglas de zona son aquéllos que se muestran en Tipos de archivo designados. Hay una lista de tipos de archivo designados que comparten todas las reglas.
?	Para que las directivas de restricción de software entren en vigor, los usuarios deben actualizar la configuración de la directiva cerrando sesión en los equipos e iniciándola de nuevo.
?	Cuando se aplica más de una regla a la configuración de la directiva, hay una prioridad en las reglas para tratar los conflictos.

Volver al principio

Crear una regla de ruta

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el árbol de la consola o en el panel de detalles, haga clic con el botón secundario del mouse en Reglas adicionales y, a continuación, haga clic en Regla de nueva ruta.
4.	En el cuadro Ruta, escriba una ruta o haga clic en Examinar para encontrar un archivo o carpeta.
5.	En el cuadro Nivel de seguridad, haga clic en No permitido o en No restringido.
6.	En el cuadro Descripción, escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.IMPORTANTE: en ciertas carpetas, como la carpeta Windows, establecer el nivel de seguridad en No permitido puede afectar adversamente al funcionamiento del sistema operativo. Asegúrese de que no desautoriza a ningún componente crucial del sistema operativo ni a ninguno de sus programas dependientes.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Si crea una regla de ruta para un programa con un nivel de seguridad No permitido, un usuario todavía puede ejecutar el software copiándolo en otra ubicación.
?	Los caracteres comodín que las reglas de ruta admiten son el asterisco (*) y el signo de interrogación (?).
?	Puede utilizar variables de entorno, como %programfiles% o %systemroot%, en la regla de ruta.
?	Si desea crear una regla de ruta para el software cuando no sepa dónde se almacena en un equipo pero tenga su clave del Registro, puede crear una regla de ruta del Registro.
?	Puede crear una regla de ruta para la carpeta de datos adjuntos del programa de correo que impida que los usuarios ejecuten dichos datos adjuntos.
?	Los únicos tipos de archivo a los que afectan las reglas de ruta son aquéllos que se muestran en Tipos de archivo designados. Hay una lista de tipos de archivo designados que comparten todas las reglas.
?	Para que las directivas de restricción de software entren en vigor, los usuarios deben actualizar la configuración de la directiva cerrando sesión en los equipos e iniciándola de nuevo.
?	Cuando se aplica más de una regla a la configuración de la directiva, hay una prioridad en las reglas para tratar los conflictos.

Volver al principio

Crear una regla de ruta del Registro

1.	Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.
2.	En el árbol de la consola, haga clic con el botón secundario del mouse en la clave del Registro para la que desee crear una regla y, a continuación, haga clic en Copiar nombre de clave.
3.	Anote el nombre del valor en el panel de detalles.
4.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
5.	Abra Directivas de restricción de software.
6.	En el árbol de la consola o en el panel de detalles, haga clic con el botón secundario del mouse en Reglas adicionales y, a continuación, haga clic en Regla de nueva ruta.
7.	En Ruta, pegue el nombre de la clave del Registro y el nombre del valor.
8.	Agregue la ruta del Registro entre símbolos de porcentaje (%), por ejemplo: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
9.	En el cuadro Nivel de seguridad, haga clic en No permitido o en No restringido.
10.	En el cuadro Descripción, escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Además, debe ser miembro del grupo local Administradores para realizar este procedimiento.
?	Forme la ruta del Registro como sigue: % sección del Registro\ nombre de la clave del Registro\ nombre del valor%
?	Debe escribir todo el nombre de la sección del Registro; no puede utilizar abreviaturas. Por ejemplo, no puede sustituir HKEY_CURRENT_USER con HKCU.
?	La regla de ruta del Registro puede contener un sufijo después del símbolo de porcentaje de cierre (%). No utilice una barra diagonal inversa (\) en el sufijo. Por ejemplo, puede utilizar la regla de ruta del Registro siguiente: %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
?	Los únicos tipos de archivo a los que afectan las reglas de ruta son aquéllos que se muestran en Tipos de archivo designados. Hay una lista de tipos de archivo designados que comparten todas las reglas.
?	Para que las directivas de restricción de software entren en vigor, los usuarios deben actualizar la configuración de la directiva cerrando sesión en los equipos e iniciándola de nuevo.
?	Cuando se aplica más de una regla a la configuración de la directiva, hay una prioridad en las reglas para tratar los conflictos.

Volver al principio

Agregar o eliminar un tipo de archivo designado

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el panel de detalles, haga doble clic en Tipos de archivo designados.
4.	Realice uno de los pasos siguientes, según corresponda: ? Para agregar un tipo de archivo, escriba la extensión de nombre de archivo en el cuadro Extensión del archivo y, a continuación, haga clic en Agregar. ? Para eliminar un tipo de archivo, haga clic en el tipo de archivo en el cuadro Tipos de archivo designados y, a continuación, haga clic Quitar.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	La lista de tipos de archivo designada la comparten todas las reglas de cada configuración. La lista de tipos de archivo designados para la configuración de la directiva de equipo es diferente de la lista de tipos de archivo designados para la configuración de la directiva de usuario.

Volver al principio

Cambiar el nivel de seguridad predeterminado de las directivas de restricción de software

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	En el panel de detalles, haga doble clic en Niveles de seguridad.
4.	Haga clic con el botón secundario del Mouse en el nivel de seguridad que desee establecer como valor predeterminado y, a continuación, haga clic en Establecer como predeterminado. PRECAUCIÓN: en ciertas carpetas, si establece el nivel de seguridad predeterminado en No permitido, puede afectar adversamente al sistema operativo.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	En el panel de detalles, el nivel de seguridad predeterminado actual se indica mediante un círculo negro con una marca de verificación. Si hace clic con el botón secundario del mouse en el nivel de seguridad predeterminado actual, el comando Establecer como predeterminado no aparece en el menú.
?	Las reglas se crean para especificar las excepciones del nivel de seguridad predeterminado. Cuando el nivel de seguridad predeterminado se establece en No restringido, las reglas especifican el software que no se puede ejecutar. Cuando el nivel de seguridad predeterminado esté establecido en No permitido, las reglas especifican software que se puede ejecutar.
?	Si cambia el nivel predeterminado, afecta a todos los archivos de los equipos en los que se han aplicado las directivas de restricción de software.
?	En la instalación, el nivel de seguridad predeterminado de las directivas de restricción de software de todos los archivos de un equipo se establece en No restringido.

Volver al principio

Establecer las opciones del editor de confianza

1.	Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
2.	Abra Directivas de restricción de software.
3.	Haga doble clic en Editores de confianza.
4.	Haga clic en los usuarios que desea que decidan qué certificados serán de confianza y, a continuación, hace clic en Aceptar.

NOTAS:

?	Puede que tenga que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
?	Puede seleccionar quién puede agregar los editores, usuarios, administradores o administradores de empresa de confianza. Por ejemplo, puede utilizar esta herramienta para impedir que los usuarios decidan sobre los editores de controles ActiveX.
?	Los administradores de equipos locales tienen derecho a especificar los editores de confianza en el equipo local, pero los administradores de empresa tienen el derecho de especificar los editores de confianza en el nivel de la unidad organizativa.

Volver al principio