Cómo utilizar directivas de restricción de Software en Windows Server 2003

Resumen

En este artículo se describe cómo utilizar directivas de restricción de Software en Windows Server 2003. Cuando utiliza las directivas de restricción de software, puede identificar y especificar el software que se puede ejecutar de modo que puede proteger su entorno informático desde código no confiable. Cuando utiliza las directivas de restricción de software, puede definir un nivel de seguridad predeterminado de Irrestricto o no permitido para un objeto de directiva de grupo (GPO) para que el software se permite o no permite ejecutar de forma predeterminada. Para crear excepciones a este nivel de seguridad predeterminado, puede crear reglas para software concreto. Puede crear los siguientes tipos de reglas:
  • Reglas hash
  • Reglas de certificado
  • Reglas de ruta
  • Reglas de zona de Internet
Una directiva se compone de nivel de seguridad predeterminado y de todas las reglas que se aplican a un GPO. Esta directiva se puede aplicar a todos los equipos o a usuarios individuales. Las directivas de restricción de software proporcionan varias maneras de identificar el software y proporcionan una infraestructura basada en directivas para exigir decisiones sobre si el software se puede ejecutar. Con las directivas de restricción de software, los usuarios deben seguir las directrices establecidas por los administradores cuando ejecutan programas.

Con las directivas de restricción de software, puede realizar las siguientes tareas:
  • Control de qué programas pueden ejecutarse en el equipo. Por ejemplo, puede aplicar una directiva que no permita que ciertos tipos de archivo para que se ejecute en la carpeta de datos adjuntos de correo electrónico de tu programa de correo electrónico si le preocupa que los usuarios reciban virus a través del correo electrónico.
  • Permitir que los usuarios sólo ejecuten archivos específicos en equipos multiusuario. Por ejemplo, si tiene varios usuarios en los equipos, puede establecer las directivas de restricción de software de manera que los usuarios no tienen acceso a ningún software excepto los archivos específicos que se deben utilizar para su trabajo.
  • Decidir quién puede agregar editores de confianza en el equipo.
  • Controlar si las directivas de restricción de software afectan a todos los usuarios o sólo a determinados usuarios en un equipo.
  • Evitar que los archivos se ejecutan en el equipo local, la unidad organizativa, el sitio o el dominio. Por ejemplo, si hay un virus conocido, puede utilizar directivas de restricción de software para impedir que el equipo abra el archivo que contiene el virus.

    Importante: se recomienda que no utilice las directivas de restricción de software como sustituto del software antivirus.
volver al contenido

Cómo utilizar directivas de restricción de Software con AppLocker

Aunque las directivas de restricción de Software y AppLocker tienen el mismo objetivo, AppLocker es una revisión completa de las directivas de restricción de software que se introdujeron en Windows 7 y Windows Server 2008 R2. Puede usar AppLocker para administrar la configuración de directivas de restricción de software. Reglas de AppLocker se aplican sólo en equipos que ejecutan las ediciones de Windows 7 Ultimate y Enterprise o en todas las ediciones de Windows Server 2008 R2, mientras que se aplican las reglas de directivas de restricción de software en estos y anteriores versiones.

Además, si se configura AppLocker y la configuración de directivas de restricción de software en el mismo GPO, sólo la configuración de AppLocker se aplicará en los equipos que ejecutan Windows 7 y Windows Server 2008 R2. Por lo tanto, si debe utilizar directivas de restricción de Software y AppLocker en su organización, es la práctica recomendada para crear reglas de AppLocker para equipos que pueden usar la directiva de AppLocker y reglas de directivas de restricción de software para equipos que ejecutan versiones anteriores de Windows.

Para obtener más información sobre cómo utilizar estas dos tecnologías de restricción de software, consulte el tema de AppLocker en la biblioteca técnica de Microsoft TechNet:volver al contenido

Cómo iniciar las directivas de restricción de Software

Para el equipo Local sólo

  1. Haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad Local.
  2. En el árbol de consola, expanda Configuración de seguridady, a continuación, expanda Directivas de restricción de Software.
volver al contenido

Para un dominio, un sitio o una unidad organizativa de un servidor miembro o una estación de trabajo que se ha unido a un dominio

  1. Abra Microsoft Management Console (MMC). Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.
  2. En el menú archivo , haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar.
  3. Haga clic en Editor de objetos de directiva de grupoy, a continuación, haga clic en Agregar.
  4. En Seleccionar un objeto de directiva de grupo, haga clic en Examinar.
  5. En Buscar un objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa y, a continuación, haga clic en Finalizar.

    Como alternativa, puede crear un nuevo GPO y, a continuación, haga clic en Finalizar.
  6. Haga clic en Cerrary, a continuación, haga clic en Aceptar.
  7. En el árbol de consola, vaya a la siguiente ubicación:
    Objeto de directiva de grupo Configuración de equipo y directiva de nombre_equipo o las directivas de restricción de Software/configuración de seguridad/configuración de usuario/configuración de Windows
volver al contenido

Para una unidad organizativa o un dominio en un controlador de dominio o una estación de trabajo que tiene instalado el paquete de herramientas de administración

  1. Haga clic en Inicio, seleccione Programas, herramientas Administrativasy, a continuación, haga clic en usuarios y equipos de usuarios de Active Directory.
  2. En el árbol de consola, haga clic en el dominio o unidad organizativa que desea configurar la directiva de grupo para.
  3. Haga clic en Propiedadesy, a continuación, haga clic en la ficha Directiva de grupo .
  4. Haga clic en una entrada de Vínculos de objetos de directiva de grupo para seleccionar un GPO existente y, a continuación, haga clic en Editar.

    Como alternativa, puede haga clic en nuevo para crear un nuevo GPO y, a continuación, haga clic en Editar.
  5. En el árbol de consola, vaya a la siguiente ubicación:
    Objeto de directiva de grupo Configuración de equipo y directiva de nombre_equipo o directivas de restricción de Software/configuración de seguridad de usuario configuración de Windows
volver al contenido

Para su sitio Web y en un controlador de dominio o una estación de trabajo que tiene instalado el paquete de herramientas de administración

  1. Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativasy, a continuación, haga clic en servicios y sitios de Active Directory.
  2. En el árbol de consola, haga clic en el sitio que desea establecer la directiva de grupo para:
    • [Directory sitios y servicios de Active
      Domain_Controller_Name.
      Domain_Name]
    • Sitios
    • Sitio

  3. Haga clic en Propiedadesy, a continuación, haga clic en la ficha Directiva de grupo .
  4. Haga clic en una entrada de Vínculos de objetos de directiva de grupo para seleccionar un objeto de directiva de grupo (GPO) existente y, a continuación, haga clic en Editar.

    Alternativamente, haga clic en nuevo para crear un nuevo GPO y, a continuación, haga clic en Editar.
  5. En el árbol de consola, vaya a la siguiente ubicación:
    Objeto de directiva de grupo Configuración de equipo y directiva de nombre_equipo o directivas de restricción de Software/configuración de seguridad de usuario configuración de Windows
    Importante: haga clic en Configuración de usuario para establecer directivas que se aplicarán a los usuarios, independientemente del equipo en el que inicien sesión. Haga clic en Configuración del equipo para establecer directivas que se aplicarán a los equipos, independientemente de los usuarios que inicien sesión en ellos.

    También puede aplicar directivas de restricción de software a usuarios específicos cuando inicien sesión en un equipo específico utilizando una configuración de directiva de grupo avanzada denominada bucle invertido.
volver al contenido

Cómo impedir que los administradores locales apliquen las directivas de restricción de Software

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el panel de detalles, haga doble clic en aplicación.
  4. Aplicar directivas de restricción de software a los siguientes usuarios, haga clic en todos los usuarios excepto los administradores locales.
Notas:
  • Tendrá que crear una nueva configuración de directiva de restricción de software para este GPO, si aún no lo ha hecho.
  • Normalmente, los usuarios son miembros del grupo administrador local en los equipos de su organización; por lo tanto, no desea activar esta configuración. Las directivas de restricción de software no se aplican a todos los usuarios que son miembros de su grupo local de administradores.
  • Si está definiendo la configuración de directivas de restricción de software para el equipo local, utilice este procedimiento para impedir que los administradores locales tengan se les aplica las directivas de restricción de software. Si está definiendo la configuración de directivas de restricción de software para la red, filtrar basándose en la pertenencia a grupos de seguridad mediante Directiva de grupo de configuración de directivas de usuario.
volver al contenido

Cómo crear una regla de certificado

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el árbol de la consola o en el panel de detalles, haga clic en
    Reglas adicionalesy, a continuación, haga clic en Regla de nuevo certificado.
  4. Haga clic en Examinary, a continuación, seleccione un certificado.
  5. Seleccione un nivel de seguridad.
  6. En el cuadro Descripción , escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.
Notas:
  • Para obtener información acerca de cómo iniciar las directivas de restricción de software en MMC, consulte "Iniciar directivas de restricción de software" en temas relacionados en el archivo de Ayuda de Windows Server 2003.
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • De forma predeterminada, las reglas de certificado no se activan. Para habilitar reglas de certificado:
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
    2. Busque y, a continuación, haga clic en la clave del registro siguiente:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. En el panel de detalles, haga doble clic en AuthenticodeEnabledy, a continuación, cambie los datos del valor de 0 a 1.
  • Los únicos tipos de archivo que se ven afectados por las reglas de certificado son los enumerados en los tipos de archivo designados. Hay una lista de tipos de archivo designados que comparte todas las reglas.
  • Para que directivas de restricción de software surtan efecto, los usuarios deben actualizar la configuración de directiva de cierre de sesión y, a continuación, iniciar sesión en sus equipos.
  • Cuando más de una regla se aplica a la configuración de la directiva, hay una prioridad de las reglas para tratar los conflictos.
volver al contenido

Cómo crear una regla Hash

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el árbol de la consola o en el panel de detalles, haga clic en
    Reglas adicionalesy, a continuación, haga clic en Regla de nuevo Hash.
  4. Haga clic en Examinar para buscar un archivo o pegue un hash precalculado en el cuadro hash de archivo .
  5. En el cuadro nivel de seguridad , haga clic en no permitido o ilimitado.
  6. En el cuadro Descripción , escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Puede crear una regla hash para un virus o un caballo de Troya para evitar que el software malintencionado se ejecute.
  • Si desea que otros usuarios utilicen una regla hash para que no se puede ejecutar un virus, calcule el hash del virus mediante las directivas de restricción de software y, a continuación, el valor de hash a otros usuarios de correo electrónico. Correo electrónico nunca el propio virus.
  • Si un virus se ha enviado por correo electrónico, también puede crear una regla de ruta de acceso para impedir que los usuarios ejecuten archivos adjuntos de correo.
  • Un archivo que se cambió de nombre o movido a otra carpeta sigue produciendo el mismo hash.
  • Cualquier cambio en un archivo da como resultado un hash distinto.
  • Los únicos tipos de archivo que se ven afectados por las reglas hash son los enumerados en los tipos de archivo designados. Hay una lista de tipos de archivo designados que comparte todas las reglas.
  • Para que directivas de restricción de software surtan efecto, los usuarios deben actualizar la configuración de directiva de cierre de sesión y, a continuación, iniciar sesión en sus equipos.
  • Cuando más de una regla se aplica a la configuración de la directiva, hay una prioridad de las reglas para tratar los conflictos.
volver al contenido

Cómo crear una regla de zona de Internet

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el árbol de consola, haga clic en Directivas de restricción de Software.
  4. En el árbol de la consola o en el panel de detalles, haga clic en
    Reglas adicionalesy, a continuación, haga clic en Regla de nueva zona de Internet.
  5. En la zona de Internet, haga clic en una zona de Internet.
  6. En el cuadro Nivel de seguridad , haga clic en no permitido o ilimitadoy, a continuación, haga clic en Aceptar.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Las reglas de zona se aplican a los paquetes de Windows Installer sólo.
  • Los únicos tipos de archivo que se ven afectados por las reglas de zona son los enumerados en los tipos de archivo designados. Hay una lista de tipos de archivo designados que comparte todas las reglas.
  • Para que directivas de restricción de software surtan efecto, los usuarios deben actualizar la configuración de directiva de cierre de sesión y, a continuación, iniciar sesión en sus equipos.
  • Cuando más de una regla se aplica a la configuración de la directiva, hay una prioridad de las reglas para tratar los conflictos.
volver al contenido

Cómo crear una regla de ruta

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el árbol de la consola o en el panel de detalles, haga clic en
    Reglas adicionalesy, a continuación, haga clic en Regla de nueva ruta.
  4. En el cuadro ruta , escriba una ruta de acceso o haga clic en Examinar para buscar un archivo o carpeta.
  5. En el cuadro nivel de seguridad , haga clic en no permitido o ilimitado.
  6. En el cuadro Descripción , escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.

    Importante: en ciertas carpetas, como la carpeta Windows, establecer el nivel de seguridad como no permitido puede afectar negativamente el funcionamiento de su sistema operativo. Asegúrese de no deshabilitar un componente crucial del sistema operativo o uno de sus programas dependientes.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Si crea una regla de ruta para un programa con un nivel de seguridad no permitido como, un usuario todavía puede ejecutar el software copiándolo en otra ubicación.
  • Los caracteres comodín admitidos por la regla de ruta son el asterisco (*) y signo de interrogación (?).
  • Puede utilizar variables de entorno, como % programfiles % o % systemroot %, en la regla de ruta.
  • Para crear una regla de ruta para software cuando no sepa dónde se almacena en un equipo pero tenga su clave del registro, puede crear una regla de ruta de acceso del registro.
  • Para impedir que los usuarios ejecuten archivos adjuntos de correo electrónico, puede crear una regla de ruta para la carpeta de datos adjuntos de su programa de correo que impide que los usuarios ejecuten archivos adjuntos de correo electrónico.
  • Los únicos tipos de archivo que se ven afectados por las reglas de ruta son los enumerados en los tipos de archivo designados. Hay una lista de tipos de archivo designados que comparte todas las reglas.
  • Para que directivas de restricción de software surtan efecto, los usuarios deben actualizar la configuración de directiva de cierre de sesión y, a continuación, iniciar sesión en sus equipos.
  • Cuando más de una regla se aplica a la configuración de la directiva, hay una prioridad de las reglas para tratar los conflictos.
volver al contenido

Cómo crear una regla de ruta de acceso del registro

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. En el árbol de consola, haga clic en la clave del registro que desea crear una regla para y, a continuación, haga clic en Copiar nombre de clave.
  3. Anote el nombre de valor en el panel de detalles.
  4. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  5. Abrir directivas de restricción de Software.
  6. En el árbol de la consola o en el panel de detalles, haga clic en
    Reglas adicionalesy, a continuación, haga clic en Regla de nueva ruta.
  7. En ruta, pegue el nombre de clave del registro y el nombre del valor.
  8. Incluya la ruta de acceso del registro signos de porcentaje (%), por ejemplo:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. En el cuadro nivel de seguridad , haga clic en no permitido o ilimitado.
  10. En el cuadro Descripción , escriba una descripción para esta regla y, a continuación, haga clic en Aceptar.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Debe ser miembro del grupo Administradores para realizar este procedimiento.
  • Dar formato a la ruta del registro como sigue:
    % De subárbol del registro\ nombre de clave del registro\ nombre de valor%
  • Debe escribir el nombre de la sección del registro; no puede utilizar abreviaturas. Por ejemplo, no utilice HKCU para HKEY_CURRENT_USER.
  • La regla de ruta de acceso del registro puede contener un sufijo después el cierre de signo de porcentaje (%). No utilice una barra diagonal inversa (\) en el sufijo. Por ejemplo, puede utilizar la regla de ruta de acceso del registro siguiente:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Los únicos tipos de archivo que se ven afectados por las reglas de ruta son los enumerados en los tipos de archivo designados. Hay una lista de tipos de archivo designados que comparte todas las reglas.
  • Para que directivas de restricción de software surtan efecto, los usuarios deben actualizar la configuración de directiva de cierre de sesión y, a continuación, iniciar sesión en sus equipos.
  • Cuando más de una regla se aplica a la configuración de la directiva, hay una prioridad de las reglas para tratar los conflictos.
volver al contenido

Cómo agregar o eliminar un tipo de archivo designado

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el panel de detalles, haga doble clic en Tipos de archivo designados.
  4. Realice uno de los pasos siguientes según corresponda:
    • Para agregar un tipo de archivo, escriba la extensión de nombre de archivo en el
      Extensión de archivo cuadro y, a continuación, haga clic en Agregar.
    • Para eliminar un tipo de archivo, haga clic en el tipo de archivo en el cuadro tipos de archivo designados y, a continuación, haga clic en Quitar.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Todas las reglas de cada configuración comparten la lista de tipos de archivo designados. La lista de tipos de archivo designados para la configuración de la directiva de equipo es diferente de la lista de tipos de archivo designados para la configuración de directiva de usuario.
volver al contenido

Cómo cambiar la configuración predeterminada de nivel de seguridad de Software Restriction Policies

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. En el panel de detalles, haga doble clic en Niveles de seguridad.
  4. (Ratón) en el nivel de seguridad que desee establecer como predeterminado y, a continuación, haga clic en establecer como predeterminado.

    Precaución: en determinadas carpetas, si establece el nivel de seguridad predeterminado en no permitido, puede afectar negativamente su sistema operativo.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • En el panel de detalles, el nivel de seguridad predeterminado actual se indica mediante un círculo negro con una marca de verificación. Si usted (ratón) en el nivel de seguridad predeterminado actual, el comando establecer como predeterminado no aparece en el menú.
  • Las reglas se crean para especificar excepciones al nivel de seguridad predeterminado. Cuando se establece el nivel de seguridad predeterminado en Irrestricto, las reglas especifican el software que no se puede ejecutar. Cuando se establece el nivel de seguridad predeterminado en no permitido, las reglas especifican el software que se puede ejecutar.
  • Si cambia el nivel predeterminado, afecta a todos los archivos en los equipos que tienen las directivas de restricción de software se les aplica.
  • Durante la instalación, el nivel de seguridad predeterminado de las directivas de restricción de software en todos los archivos en el equipo se establece como Irrestricto.
volver al contenido

Cómo establecer opciones de editores de confianza

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. Abrir directivas de restricción de Software.
  3. Haga doble clic en editores de confianza.
  4. Haga clic en los usuarios que desea que decidan qué certificados se confiará y, a continuación, haga clic en Aceptar.
Notas:
  • Tendrá que crear de restricción de software nuevas opciones de directiva para este GPO si aún no lo ha hecho.
  • Puede seleccionar quién puede agregar editores de confianza, usuarios, administradores o administradores de empresa. Por ejemplo, puede utilizar esta herramienta para impedir que los usuarios tomen decisiones de confianza acerca de editores de controles ActiveX.
  • Los administradores del equipo local tienen derecho a especificar editores de confianza en el equipo local, pero los administradores de empresa tienen el derecho de especificar editores de confianza en el nivel de unidad organizativa.
volver al contenido
Propiedades

Id. de artículo: 324036 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios