Impedir aplicaciones en Windows

  • -

Impedir aplicaciones en Windows

Tanto con aplicaciones específicas como usando las políticas de seguridad de Windows, impedir aplicaciones por su nombre termina generando una lista interminable que además, como bien indicas, puede ser vulnerada simplemente cambiando el nombre de los ejecutables.

Entonces es siempre más efectivo al contrario de prohibir lo que no se debe hacer, permitir sólo lo que sí se puede. Es decir, crear una regla que impida ejecutar cualquier aplicación que no esté específicamente permitida.

  1. Desde el menú Inicio, click en Ejecutar y luego tipear gpedit.msc. Darle Enter.
  2. Cuando se abre el Editor de directivas, dentro del apartado Configuración de Usuario, marcar con un click en Sistema.
  3. Sobre el panel izquierdo, darle doble click a Ejecutar solo aplicaciones especificadas de Windows
  4. Tildar en Habilitada y luego hacer click sobre el botón Mostrar
  5. En la lista, ir agregando los nombres de los archivos ejecutables de las aplicaciones que se podrían correr en el equipo (por ejemplo Word.exe, Excel.exe, iexplore.exe, notepad.exe…)
  6. Una vez que hayas aplicado y aceptado los cambios, todas aquellas aplicaciones que no hayas incluído en la lista ya no podrán ejecutarse.
  7. Es posible que sí puedan ejecutarlas desde la línea de comandos (desde la ventana DOS que se abre con el comando CMD), por lo que también es aconsejable NO incluir CMD.exe en la lista de programas permitidos.
  8.  Tratá de prepararte una lista completa de aquello que querés permitir antes de iniciar la configuración.

Este método es bastante efectivo para usuarios de nivel medio, pero tiene sus vulnerabilidades. Quien descubra que el Block de Notas se llama notepad.exe, podría intentar renombrar el ejecutable del Counter Strike como notepad.exe y esto permitiría su ejecución. Una trampa que puede dar resultado entonces es renombrar los ejecutables permitidos con un nombre alternativo. Por ejemplo Word.exe, podrías llamarlo ABCDword.exe. De este modo quien quiera saltarse la restricción debería ubicar el ejecutable, encontrar cual es el nombre real y luego usar ese nombre para el juego que quiera utilizar. Esto puede ser bastante engorroso, porque además sería conveniente que editaras también las asociaciones de archivo. Los archivos .doc y .docx (siguiendo con este ejemplo) ya no deberían abrirse con Word.exe, sino con ABCDword.exe y este mecanismo deberías repetirlo con cada aplicación que hayas renombrado.

Otro método, más aplicable y práctico, sería crear en el equipo una cuenta de Usuario Limitado, de modo que no podría instalar ni ejecutar nada nuevo.

Por último también es útil, ejecutando el block de notas como administrador, editar el archivo hosts (que se encuentra en ..\Windows\System32\Drivers\etc) agregando líneas tales como:

127.0.0.1        facebook.com

127.0.0.1        twitter.com

127.0.0.1        facebook.*

127.0.0.1        *.facebook.com

127.0.0.1        juegosenred.com

Y todos aquellos sitios que no quieras que sean visitados desde ese equipo.

Hagas lo que hagas, tené en cuenta que quien quiera tontear con la computadora siempre tendrá mucho más tiempo disponible y paciencia que vos para encontrar el modo de hacerlo, por lo que eventualmente deberás ir modificando y mejorando los métodos de restricción.

 

 

 

 


Buscar en JADM

Biblioteca