jueves, marzo 20, 2008
[Soft - Windows XP] Denegar ejecución de un programa
Si tenemos configuradas varias cuentas de usuario en nuestro equipo y deseamos que ciertos usuarios no puedan acceder, por ejemplo, a Internet, podemos utilizar el siguiente artículo para conseguirlo con los medios que nos proporciona el sistema operativo.
Como ejemplo, voy a bloquear el uso de Internet Explorer y con ello, la visualización de páginas webs de Internet para todos los usuarios que pertenezcan al grupo ' Usuarios '.
Debo señalar que los usuarios a los que vamos a restringir el uso de las aplicaciones que determinemos, deben pertenecer al grupo de Usuarios y nunca al de Administradores.
Iniciamos sesión con una cuenta del grupo Administradores. Comenzamos por abrir Inicio->Panel de control->Rendimiento y mantenimiento->Herramientas administrativas->Seguridad de directiva local.
Hacemos clic en Directivas de restricción de software en el la parte de la izquierda de la ventana.
Abrimos el menú Acción y pulsamos la opción Crear nuevas directivas.
En la parte de la derecha de la ventana, hacemos doble clic en Reglas adicionales. Abrimos el menú Acción y luego seleccionamos la opción Regla de nuevo hash...
Pulsamos el botón Examinar y buscamos el ejecutable principal del programa. Para hacer este paso, debemos averiguar cuál es éste fichero, advierto de que suele ser bastante sencillo.
En mi caso, busco el fichero iexplore.exe que se encuentra en el directorio c:\Archivos de programa\Internet Explorer.
Después de seleccionar el archivo ejecutable, pulsamos el botón Abrir.
Pulsamos el botón Aceptar y habremos conseguido bloquear la ejecución de Internet Explorer o el programa que hayamos elegido para TODOS los usuarios.
Vamos a probar si funciona intentando ejecutar el programa...
Ups! creo que ya no puedo navegar por Internet.
Bien, ahora nos falta evitar esta restricción para el grupo de Administradores. Volvemos a la ventana de Directiva de seguridad local y damos doble clic sobre Obligatoriedad en la parte derecha de la ventana.
Marcamos la casilla Todos los usuarios excepto los administradores locales y pulsamos el botón Aceptar.
Para terminar, debemos cerrar la sesión de Administrador y volverla abrir para tener activo de nuevo Internet Explorer.
Con esta configuración, hemos conseguido impedir el uso de Internet Explorer desde las cuentas de usuario Antonio y María, pero no desde Administrador.
Si a uno de los usuarios que tiene activa la restricción de software, se le ocurre mover el programa de directorio, no conseguirá nada con ello, el programa permanecerá bloqueado.
>> Otra alternativa a este método es cambiar los permisos NTFS del ejecutable principal del programa <<
