Restringe el acceso a aplicaciones instaladas con AppLocker

por Javier Rodríguez 06/11/2015 ...

Su configuración es realmente sencilla y nos puede ser de gran ayuda en esos ordenadores familiares que comparten usuarios de diferentes edades. También para aquellos PCs que necesitamos corran ciertas aplicaciones, pero no queremos que usuarios puntuales tengan acceso a ellas (quioscos digitales, etc.).

Para hacer estos cambios necesitamos a un usuario con permisos de administrador, pero las restricciones se pueden aplicar por grupos o por usuarios concretos, sean quien sean. Para acceder a estos controles de “AppLocker” tenemos que editar la consola de políticas de grupo de Windows. Podemos abrirla con “gpedit.msc”.

 

Applocker está situada dentro de “Configuración de Windows”, “Configuración de seguridad”, “Directivas de control de aplicaciones”. Nosotros buscamos la opción de configurar la aplicación de reglas, es decir, crearemos una regla de aprobación o restricción para uno o varios usuarios o para un grupo de usuarios.

Hay varias opciones de reglas, nosotros nos concentraremos en las de ejecución puesto que por defecto un usuario no-administrador ya tiene bastante restringidas el resto de opciones (aunque en el próximo truco veremos una más). Las reglas tienen opción de ser de aplicación o solo de auditoría, la segunda opción está bien para conocer los hábitos de los usuarios antes de aplicar reglas estrictas que puedan ser contraproducentes. Seleccionamos la casilla de reglas de ejecutables y Aplicar reglas. Aceptamos.

 

Ahora ya podemos agregar reglas de ejecutables y estas serán de aplicación directa e inmediata. Para crear una regla seleccionamos el menú de “Reglas Ejecutables” y con el botón derecho abrimos el menú contextual sobre el panel vacío. Usamos la opción de crear una nueva regla.

Esto abre un asistente de configurador de reglas, que es prácticamente seguir paso a paso. Lo primero que nos pedirá es si es una regla de permiso o denegación. Nosotros crearemos una de denegación. Nos pide también el usuario o grupo de usuarios a los que se aplicará la regla.

El asistente ahora nos pedirá qué tipo de aplicación queremos restringir. Windows establece las aplicaciones en tres categorías, aplicaciones firmadas, ejecutables y hash de archivos (aplicaciones sin firmar). La segunda opción nos permite restringir archivos concretos o incluso carpetas enteras. Es la opción que usaremos nosotros porque es mucho más sencilla de aplicar que las otras opciones.

Nos pedirá una ruta de acceso, en forma de carpeta o de archivo concreto, y también nos dará opción a establecer algunas excepciones. En mi caso he querido restringir el acceso a una aplicación de gestión remota para que el usuario no pueda interferir en ese control o hacer modificaciones sobre las opciones del mismo. Todo lo demás es dar a siguiente hasta finalizar el asistente con la opción de “crear”.

Si os salta un mensaje de reglas predeterminadas, aceptad. De este modo nos aseguramos de que el sistema funcionará correctamente para todos los usuarios, con independencia de que puedan usar unas aplicaciones u otras. Esto es importante si hemos usado carpetas muy generalistas o que contengan archivos de sistema.  Para asegurarnos de que los cambios se aplican, reiniciaremos el sistema.

En el próximo truco aplicaremos AppLocker a aplicaciones empaquetadas que suelen ser las que descargamos desde la tienda de Windows o que van instaladas de serie en el sistema.


Tags: Software