Descripción de las directivas de restricción de Software en Windows XP

Resumen

Este artículo describe las directivas de restricción de software en Windows XP.

Los administradores pueden utilizar directivas de restricción de software para permitir la ejecución de software. Mediante el uso de una directiva de restricción de software, un administrador puede evitar que programas no deseados ejecución. Esto incluye virus y software caballo de Troya u otro software que se sabe que causa problemas.

Más información

Puede utilizar la herramienta de directiva de grupo en Windows XP para implementar directivas de restricción de software. Para habilitar una directiva de restricción de software, utilice uno de los métodos siguientes:

  • Mediante Directiva de grupo
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
    2. Escriba gpedit.mscy, a continuación, haga clic en Aceptar.
    3. Expanda los elementos siguientes:
      Configuración del equipo
      Configuración de Windows
      Configuración de seguridad
      Directivas de restricción de software
  • Mediante la directiva de seguridad Local
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
    2. Escriba secpol.mscy, a continuación, haga clic en Aceptar.
    3. Siga las instrucciones para habilitar una directiva.

El nivel de seguridad predeterminado y excepciones

Puede configurar el nivel de seguridad predeterminado y definir reglas adicionales para crear excepciones a las reglas predeterminadas. El nivel de seguridad predeterminado determina el comportamiento de todos los programas. Las reglas adicionales proporcionan excepciones al nivel de seguridad predeterminado. Los dos niveles de seguridad son:

  • La regla no permitido - si se establece como la predeterminada no permitido , no se permitirá ningún programa. Debe crear reglas adicionales que permitan que programas concretos para que se ejecute.

    Uso no permitido como el valor predeterminado no es una buena idea a menos que el administrador tenga una lista completa de programas permitidos.
  • Irrestricto , si establece Irrestricto como regla predeterminada, todos los programas se puedan ejecutar. Debe crear reglas adicionales para restringir programas individuales.

    Irrestricto es mejor si el administrador no tiene una lista completa de programas permitidos, pero necesita impedir la ejecución de determinados programas.

Reglas adicionales

Puede configurar varios tipos de reglas adicionales:

  • Hash, con una regla Hash, el administrador indica el archivo de programa para ser bloqueado o permitido explícitamente. Se aplica un algoritmo hash, y esto da como resultado una huella criptográfica que sigue siendo el mismo, independientemente del nombre de archivo o ubicación. Puede utilizar este método para evitar que se ejecute una versión determinada de un programa o para evitar que un programa se ejecute, independientemente de dónde se encuentra. Un problema en Windows XP (niveles de todos los service pack) impide que las reglas hash trabaja con archivos DLL. Las reglas hash funcionan correctamente con Windows Server 2003 y versiones posteriores de Windows. Una posible solución para Windows XP consiste en crear una secuencia de comandos de inicio de sesión que elimina del registro los archivos DLL correspondientes mediante el siguiente comando:
    regsvr32 /u filename.dll
  • Certificado - puede crear reglas de certificado proporcionando un certificado de compañía de software de firma de código. Al igual que las reglas de Hash, reglas de certificado se aplican independientemente de donde se encuentra el archivo de programa o cuál sea su nombre.
  • Ruta - reglas de ruta de acceso que se aplican a todos los programas que se ejecutan desde el local especificado o la ruta de red, o desde subcarpetas que se encuentran en la ruta de acceso.
  • Zona de Internet - puede utilizar las reglas de zona de Internet para aplicar reglas de directivas de restricción de software basadas en la zona de seguridad de Microsoft Internet Explorer en el que se ejecuta el programa. Actualmente, estas reglas se aplican sólo a los paquetes de Microsoft Windows Installer que se ejecutan desde la zona. Las reglas de zona de Internet no se aplican a programas que se descargan de Internet Explorer.

Reglas generales de configuración

Además de la configuración de seguridad predeterminada y reglas adicionales, también puede definir reglas generales de configuración para determinar cómo se aplican las directivas de restricción de software en el equipo. Estos incluyen:

  • Aplicación: puede utilizar la configuración de la aplicación para determinar qué archivos se aplican y qué usuarios están sujetos a la configuración de directiva restricción de seguridad. De forma predeterminada, todos los archivos de software excepto bibliotecas (tales como bibliotecas de vínculos dinámicos, o DLL) están sujetos a la configuración de directivas de restricción de seguridad. Puede configurar las directivas de restricción de seguridad para aplicar a todos los archivos de software. Tenga en cuenta que esto puede implicar que agregue reglas para cada archivo de biblioteca requerido por un programa.

    De forma predeterminada, todos los usuarios están sujetos a la configuración de directiva restricción de seguridad en el equipo. Puede configurar la obligatoriedad para todos los usuarios excepto los administradores locales, lo que permite a los administradores locales ejecutar programas no permitidos.
  • Tipos de archivos - designados puede utilizar esta directiva para configurar los tipos de archivo a los que aplica la configuración de directivas de restricción de seguridad.
  • Proveedores de confianza - puede utilizar las propiedades de los proveedores de confianza para configurar qué usuarios pueden seleccionar editores de confianza. También puede determinar que, si los hay, las comprobaciones de revocación de certificados se realizan antes de confiar en un editor.

AppLocker en Windows 7 y en Windows Server 2008 R2

Aunque las directivas de restricción de software y AppLocker tienen el mismo objetivo, AppLocker es una revisión completa de las directivas de restricción de software. AppLocker se introdujo con Windows 7 y Windows Server 2008 R2. Puede usar AppLocker para administrar la configuración de directivas de restricción de software. Las reglas de AppLocker se aplican sólo en equipos que ejecutan las ediciones de Windows 7 Ultimate y Enterprise o en todas las ediciones de Windows Server 2008 R2, mientras que se aplican las reglas de directivas de restricción de software en estos y anteriores versiones.



Además, si se configura AppLocker y la configuración de directivas de restricción de software en el mismo objeto de directiva de grupo (GPO), sólo la configuración de AppLocker se aplica en los equipos que ejecutan Windows 7 y Windows Server 2008 R2. Por lo tanto, si debe utilizar directivas de restricción de software y AppLocker en su organización, recomendamos que cree reglas de AppLocker para equipos que pueden usar reglas de directivas de restricción de software y directivas de AppLocker para equipos que ejecutan versiones anteriores de Windows.



Para obtener más información sobre cómo utilizar estas dos tecnologías de restricción de software, consulte el tema de AppLocker en la biblioteca técnica de Microsoft TechNet:
Propiedades

Id. de artículo: 310791 - Última revisión: 22 ene. 2017 - Revisión: 2

Comentarios