Utilización de AppLocker para bloquear aplicaciones sobre Windows 10 o un servidor de RDS

Utilización de AppLocker para bloquear aplicaciones sobre Windows 10 o un servidor de RDS (Remote desktop services).

Hay varias maneras de bloquear aplicaciones en un dominio a través de Gpo, una de las funcionalidades que se puede utilizar es Applocker.

En este ejemplo vamos a crear una directiva que bloqueará la aplicación Notepad a un grupo de usuarios en un servidor RDS pero que permitirá esta misma aplicación al resto de usuarios.

Para que funcione las Gpo tenemos que tener el servicio “Identidad de aplicación” en ejecución.

Servicio desactivado

Por defecto este servicio viene desactivado, o bien lo iniciamos manualmente.

Definir Política

O bien dentro de nuestro Gpo definimos una política para que el servicio se arranque Automáticamente:

Ahora ya podemos proseguir a realizar nuestra configuración.

Configurando

Para ello iremos a “Administración de directivas de grupo” y crearemos un gpo nuevo.

Y procederemos a crear una nueva Directiva dentro de “Control de aplicaciones”

Y configuramos una “Reglas ejecutables

Seguimos el asistente:

Seleccionamos Denegar y seleccionamos el grupo de usuarios al que queremos que se aplique dicho gpo (previamente creado):

Seleccionamos la opción “Editor

Y seleccionamos la aplicación a bloquear.

Nota importante

Es muy importante personalizar la versión de archivo y poner un * para que bloquee cualquier versión del programa.

En nuestro caso no agregamos excepciones:

Y ya creamos la regla:

 

Si es tu primera vez…

Si es la primera vez que bloqueamos una aplicación con el Applocker nos saldrá un aviso para crear las reglas predeterminadas y no bloquear las aplicaciones importantes del sistema.

Por supuesto le decimos que sí.

Con esto ya tendríamos nuestra directiva configurada, hay que recordar que en el caso de ser un servidor de Rds (terminal server) como es nuestro caso, deberíamos de habilitar el procesamiento de bucle invertido de la directiva (Loopback Processing en inglés) para que solo se active esta directiva en el servidor de terminal y no en los equipos clientes (si es lo que deseamos):

Una vez realizado el gpupdate /forcé.

Ya podemos validarnos con un usuario y comprobar si funciona la directiva creada.

Probando nuestra configuración de Bloqueo

El resultado si intentamos abrir el notepad:

O bien bajo consola de comandos.

 

¡Esperamos que éste artículo te haya sido de ayuda!

Si quieres saber más sobre Asnet o necesitas ayuda profesional para tus sistemas informáticos, no dudes en contactar con nosotros.

 

 

 

 

 

(4 Posts)