jueves, marzo 20, 2008

[Soft - Windows XP] Denegar ejecución de un programa

Si tenemos configuradas varias cuentas de usuario en nuestro equipo y deseamos que ciertos usuarios no puedan acceder, por ejemplo, a Internet, podemos utilizar el siguiente artículo para conseguirlo con los medios que nos proporciona el sistema operativo.

Como ejemplo, voy a bloquear el uso de Internet Explorer y con ello, la visualización de páginas webs de Internet para todos los usuarios que pertenezcan al grupo ' Usuarios '.

Debo señalar que los usuarios a los que vamos a restringir el uso de las aplicaciones que determinemos, deben pertenecer al grupo de Usuarios y nunca al de Administradores.

captura1

Iniciamos sesión con una cuenta del grupo Administradores. Comenzamos por abrir Inicio->Panel de control->Rendimiento y mantenimiento->Herramientas administrativas->Seguridad de directiva local.

capture_20032008_005650

Hacemos clic en Directivas de restricción de software en el la parte de la izquierda de la ventana.

capture_20032008_005743

Abrimos el menú Acción y pulsamos la opción Crear nuevas directivas.

capture_20032008_005845

En la parte de la derecha de la ventana, hacemos doble clic en Reglas adicionales. Abrimos el menú Acción y luego seleccionamos la opción Regla de nuevo hash...

capture_20032008_010408

Pulsamos el botón Examinar y buscamos el ejecutable principal del programa. Para hacer este paso, debemos averiguar cuál es éste fichero, advierto de que suele ser bastante sencillo.

En mi caso, busco el fichero iexplore.exe que se encuentra en el directorio c:\Archivos de programa\Internet Explorer.

capture_20032008_010737

Después de seleccionar el archivo ejecutable, pulsamos el botón Abrir.

capture_20032008_011042

Pulsamos el botón Aceptar y habremos conseguido bloquear la ejecución de Internet Explorer o el programa que hayamos elegido para TODOS los usuarios.

Vamos a probar si funciona intentando ejecutar el programa...

capture_20032008_011339

Ups! creo que ya no puedo navegar por Internet.

Bien, ahora nos falta evitar esta restricción para el grupo de Administradores. Volvemos a la ventana de Directiva de seguridad local y damos doble clic sobre Obligatoriedad en la parte derecha de la ventana.

captura2

Marcamos la casilla Todos los usuarios excepto los administradores locales y pulsamos el botón Aceptar.

Para terminar, debemos cerrar la sesión de Administrador y volverla abrir para tener activo de nuevo Internet Explorer.

Con esta configuración, hemos conseguido impedir el uso de Internet Explorer desde las cuentas de usuario Antonio y María, pero no desde Administrador.

Si a uno de los usuarios que tiene activa la restricción de software, se le ocurre mover el programa de directorio, no conseguirá nada con ello, el programa permanecerá bloqueado.

>> Otra alternativa a este método es cambiar los permisos NTFS del ejecutable principal del programa <<






<< Home

This page is powered by Blogger. Isn't yours?