locked
Impedir ejecucion de algunos programas RRS feed

  • Pregunta

  • Hola:

    Etoy tratando de impedir que mis usuarios ejecuten algunos probragams por ejemplo el notepad.exe; lo estoy aplicando mediante una directiva de grupo en el AD; en Group Policy Object Editor \user configuration\administrative templates\system\don´t run specified windows application,

    El probelma es que si lo bloquea siempre y cuando el usuario quiera accesar mediante el icono o para ser mas explicito el modo grafico; ya que si lo hace mediante linea de comando si lo pueden ejecutar;

    Tambien podria hacerlo mediante el regedit;  pero son demasiados equipos

    Entonces mis preguntas son dos:

    1) Como podria evitar que lo ejecuten por linea de comando utilizando la polotoca en el AD

    2) Como podria distribuir y ejecutar un archivo .reg que llevara esta especificacion del no ejecutar cierto software mediante el AD


    Saludos y Gracias
    martes, 3 de marzo de 2009 22:44

Respuestas

  • Es muy sencillo!

    1. Abre el Editor de directivas de grupo para el dominio o para la máquina local (gpedit.msc).
      1. Expande Plantillas administrativas bajo Configuración de usuario.
      2. Haz clic en Sistema
    2. En el panel izquierdo, haz doble clic en No ejecutar aplicaciones Windows especificadas.
    3. Haz clic en Habilitada, y a continuación haz clic en el botón Mostrar… (junto a la lista de aplicaciones no reconocidas).
    4. Mostrar contenidos de la ventana, haz clic en el botón “Agregar…
    5. Escribe el nombre ejecutable que deseas bloquear. Para este ejemplo, el ejecutable es sol.exe (La ruta completa no es necesaria).
    6. Agrega tantas aplicaciones como desees bloquear!
    7. Acepta los cambios y todas esas aplicaciones quedarán bloqueadas!.

    Buscaminas - winmine.exe
    Carta blanca - freecell.exe
    Corazones - mshearts.exe
    Solitario - sol.exe
    Solitario Spider - spider.exe

    Esto también puede valer para prohibir el uso del eMule, MSN Messenger, Ares, etc!


    Recuerda que también puedes evitar la ejecución de CMD!


    Más información:

    Restringir aplicaciones y carpetas por AD.


    Un saludo!


    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 4 de marzo de 2009 12:36
    Moderador

Todas las respuestas

  • Es muy sencillo!

    1. Abre el Editor de directivas de grupo para el dominio o para la máquina local (gpedit.msc).
      1. Expande Plantillas administrativas bajo Configuración de usuario.
      2. Haz clic en Sistema
    2. En el panel izquierdo, haz doble clic en No ejecutar aplicaciones Windows especificadas.
    3. Haz clic en Habilitada, y a continuación haz clic en el botón Mostrar… (junto a la lista de aplicaciones no reconocidas).
    4. Mostrar contenidos de la ventana, haz clic en el botón “Agregar…
    5. Escribe el nombre ejecutable que deseas bloquear. Para este ejemplo, el ejecutable es sol.exe (La ruta completa no es necesaria).
    6. Agrega tantas aplicaciones como desees bloquear!
    7. Acepta los cambios y todas esas aplicaciones quedarán bloqueadas!.

    Buscaminas - winmine.exe
    Carta blanca - freecell.exe
    Corazones - mshearts.exe
    Solitario - sol.exe
    Solitario Spider - spider.exe

    Esto también puede valer para prohibir el uso del eMule, MSN Messenger, Ares, etc!


    Recuerda que también puedes evitar la ejecución de CMD!


    Más información:

    Restringir aplicaciones y carpetas por AD.


    Un saludo!


    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 4 de marzo de 2009 12:36
    Moderador
  • Hola, Gracias por la respuesta;

    Efectivamente lo estoy configurando como me mencionas, solo que si tu levantas el cmd y desde ahi ejecutas por ejemplo notepad si te lo abre;

    Pero tienes razon, mejor les quito el cmd


    Saludos y Gracias
    miércoles, 4 de marzo de 2009 17:13
  • :) No hay de que!
    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 4 de marzo de 2009 19:25
    Moderador
  • Hola a todos.

    Existe otro problema, que si la persona le cambia el nombre al archivo *.exe lo puede ejecutar sin ningún problema.

     

    Es decir que si el archivo es pinball.exe y lo renombra con pinbal.exe no pasa nada y de esta forma lo ejecuta.

    yo optaría por tomarme el trabajo de especificar cuales puede ejecutar.

     

    viernes, 28 de agosto de 2009 21:09
  • Buenas tardes, definitivamente el metodo que te da Dani Alonso es bueno pero no es ni muy viable pero tampoco eficas, ya que si le cambias el nombre a cualquier ejecutable este ya no estará bloequeado.

    Yo creo que la mejor opcion es que solo permitas los ejecutables que tu creas que son necesarioas para trabajar y por default cualquier otro ejecutable no estara permitido, este modo es más eficas y tiene mucho menos trabajo que como te lo plantearon ya que es mas facil permitir 3 ejecutables que bloquear 100 o no?

    Puedes hacerlo desde:

    Configuracion de usuario - Plantillas Administrativas - Sistema - Ejecutar solo aplicaciones permitidas de windows

    Saludos
    • Propuesto como respuesta José Ortega viernes, 28 de agosto de 2009 22:12
    viernes, 28 de agosto de 2009 22:12
  • Hola a todos.

    Existe otro problema, que si la persona le cambia el nombre al archivo *.exe lo puede ejecutar sin ningún problema.

     

    Es decir que si el archivo es pinball.exe y lo renombra con pinbal.exe no pasa nada y de esta forma lo ejecuta.

    yo optaría por tomarme el trabajo de especificar cuales puede ejecutar.

     


    También se puede identificar el archivo por su Hash, con lo cual no va a poder ejecutarlo aunque lo renombre.
    O identificarlo por el path, en una carpeta que el usuario tenga sólo lectura.

    Hay ventajas y desventajas en cada método, hay que usar el que más conviene de acuerdo al caso.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    lunes, 31 de agosto de 2009 11:10
    Moderador
  • Hay alguna forma de el mensaje que aparece al ejecutarlo personalizarlo¿?

     

    El hash funciona por version no¿? es decir si tengo un cliente oracle 9.1  y le marco por has la 9.1 no ejecuta pero en el momento que se instale la 9.2 si podran usarla

     

    ¿Me equivoco?


    TELE TRABAJO
    martes, 26 de octubre de 2010 9:20
  • Basta que cambie un único bit para que el Hash varíe.

    Esa es la dificultad de usar dicho método, cada nueva versión hay que incluirla

    Que yo sepa, no hay forma de personalizar el mensaje

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 26 de octubre de 2010 12:44
    Moderador
  • Hola, hice lo que propusiste solo que ahora no puedo accesar a gpedit.msc para revertir o cambios. ¿Qué se puede hacer en este caso?
    miércoles, 7 de marzo de 2018 0:40
  • Hola Dave_-,

    Te invitamos a que realices tu consulta de manera independiente, de esta forma es mas facil para los colaboradores identifcarla y brindarte la ayuda necesaria.

    Quedo atento de tus comentarios

    Recibe un cordial saludo.

    Gracias por usar los foros de TechNet.

    Juan
    _____
     
    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
     
    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 7 de marzo de 2018 15:34
    Moderador
  • Ayuda!! Por error habilite en las Directivas de Grupo- Configuración de Usuario- Directivas-Plantillas Administrativas-Sistema

    En este contenedor de Sistema - Ejecutar solo aplicaciones especificas de Windows = La habilite y en las aplicaciones permitidas solo deje los exe's de las aplicaciones de el sistema Administrativo y después hice un  gpupdate/force.

    Ahora ni con la cuenta de Administrador puedo abrir programas o el mismo gpedit.msc para poder deshabilitarlo, en cualquier programa que quiero abrir me muestra el mensaje de "Esta operación ha sido cancelada debido a las restricciones especificadas para este equipo. Póngase en contacto con el administrador del sistema."  Les agradezco mucho la ayuda.

    Saludos.

    jueves, 7 de marzo de 2019 18:35
  • Hice esto que recomienda Jose Ortega y perdi la administracion del equipo.  Ya no puedo ejecutar siquiera el mismo gpedit.msc para revertir los cambios.   Hay alguna manera de recuperar el acceso a gpedit.msc o ya toca reinstalar de ceros?  Gracias.



    miércoles, 9 de septiembre de 2020 20:50
  • Me paso totalmente lo mismo.   Pudiste encontrar una solución Eliezerl?  Te agradeceria si la compartes.
    miércoles, 9 de septiembre de 2020 20:51