Hola Compañeros ,
El tema es que tengo un problemilla, necesitaria esbrinar la manera de como bloquear las ejecuciones de aplicaciones portables por parte de los usuarios vinculados al dominio, he estado buscando y no he encontrado nada, a ver si vosotros teneis algo que sea posible realizar esta opción.
Saludos y Gracias antemano.
aplicaciones que no hacen falta ser instaladas , para poder utilizarlas.
ejemplo : ccleaner portable.
Por GPO la cosa está jodida por que corres el riesgo de capar todos los periféticos USB, y si quieres restringir a removibles USB dejas a la gente sin pendrives. En mi curro lo estuvimos estudiando, pero es mayor el riesgo que el beneficio y lo hemos dejado un poco en "stand by" y controlar mediante Dameware si tienen abierto algún ejecutable de estrangis.
De todas maneras, aquí tienes una plantilla .adm para incorporar al DA:
http://support.microsoft.com/kb/555324/en-us
Echale un ojo a lo mejor te sirve.
No creo que sea algo posible sin alguna aplicacion "3rd party". Y lo de bloquear USB/CD-Rom/etc, tampoco es la solucion ya que se puede mandar cosas por correo por ejemplo.
Bloquear la ejecución de aplicaciones (portables o no) y limitar el acceso a dispositivos USB son dos cosas distintas.
Por ejemplo, una aplicación portable puede llegar al PC sin necesidad de USB, por ejemplo siendo descargada por FTP, de un servidor web o como adjunto en un correo. Con lo cual capar los dispositivos de almacenamiento masivo por USB no solucionaría el problema de capar la ejecución de aplicaciones portables.
En cuando a bloquear la ejecución de aplicaciones portables, hay que tener en cuanta que para Windows un ejecutable es simplemente un ejecutable, y que sea portable o no Windows lo desconoce. Por tanto, la única manera de capar eficazmente la ejecución de las aplicaciones portables sería implementar para política de grupo a nivel de dominio de tipo "execution whitelist": es decir, sólo dejarías ejecutar los programas que estuvieran indicados en la whitelist. Aun así, esta solución tiene dos inconvenientes: 1. tienes que hacer una auditoría previa de todos tus sistemas, para hacer la lista de los programas que vas a autorizar (básicamente, todos los que vienen de serie con Windows más todos los que les hayas instalado a los usuarios). 2. un usuario listillo podría renombrar el ejecutable de una aplicación portable a NOTEPAD.EXE y podría ejecutarla igualmente.
Lo cual te lleva al siguiente paso en la carrera armamentística: implementar una política de grupo a nivel de dominio de tipo "hash execution whitelist", de decir, crearías una lista que contuviera no sólo el nombre de cada binario cuya ejecución autorizas, sino también el hash de cada binario autorizado. Para esto necesitas software de terceros, porque con Windows Server no viene por defecto esta funcionalidad. Con esto solucionas el inconveniente 2 arriba indicado, pero sigues teniendo el inconveniente 1.
Saludos.
