Política de grupo de Windows Es una tecnología de administración de configuración que forma parte de Windows Server Active Directory. Se pueden usar para configurar los ajustes en los sistemas operativos de servidor y cliente de Windows para garantizar que tenga una configuración uniforme y segura en varios dispositivos. Hay cientos de configuraciones disponibles para usar al configurar objetos de directiva de grupo (GPO), pero en este artículo, le mostraré algunas de las configuraciones de directiva de grupo que necesita configurar correctamente para garantizar la seguridad básica en su entorno.
Si desea cambiar el comportamiento de Windows tomando más control sobre la seguridad o deshabilitando algunas de las cosas que Microsoft le ofrece, puede hacerlo de la siguiente manera: Modificar la configuración de la política de grupo. Sí, también puedes hacer lo mismo desde Editor de registro , pero la política de grupo tiene algunas otras ventajas, por ejemplo, que las configuraciones de la política de grupo no cambiarán después de una actualización de Windows, a diferencia del registro. Lo que es más importante, puede configurar la política de grupo localmente en su sistema o crear Active Directory para aplicar configuraciones a múltiples sistemas en su dominio. Por lo tanto, esto es especialmente útil para oficinas y escuelas que ejecutan computadoras con Windows.
La mejor configuración de directiva de grupo
Antes de comenzar, señalemos que la Política de grupo es una herramienta gráfica que le permite modificar la configuración original del sistema operativo, la configuración del kernel, etc. Sin embargo, modificar la política de grupo de manera incorrecta puede bloquear su sistema operativo. Por lo tanto, si va a realizar algún cambio, asegúrese de Exportar configuraciones virtuales antes de hacer cualquier cambio.
Una de las mayores advertencias sobre la política de grupo es que solo está disponible en computadoras con las ediciones Windows Professional, Education o Enterprise. Aunque está ejecutando Windows Home, puede acceder a la Política de grupo pero con algunas soluciones alternativas, que explicaré a continuación.
Para acceder a la Política de grupo, hay varias formas, una de las más fáciles es abrir Símbolo del sistema -> escriba "gpedit.msc" Y haga clic en Intro.
Aunque la Política de grupo no forma parte de la edición de Windows Home, todavía hay una forma de acceder a ella. Todo lo que tiene que hacer es instalar este editor de políticas de grupo de terceros descargando Archivo por lotes Este. Debe abrirlo con privilegios de administrador y la instalación comenzará en el símbolo del sistema. La instalación tardará entre 2 y 3 minutos. Una vez que finalice el proceso, abra el Símbolo del sistema nuevamente y escriba gpedit.msc para alcanzarlo.
1. Deshabilitar la instalación de aplicaciones
Al no permitir que los usuarios instalen diferentes aplicaciones, puede reducir la cantidad de mantenimiento y limpieza necesarios cuando se instala algo malo, ya que también es una de las posibles causas de la llegada de malware. Esto es más útil, especialmente en las escuelas, donde desea que los estudiantes accedan solo a lo que se requiere para su uso.
Si desea restringir que los usuarios instalen o ejecuten aplicaciones, puede configurarlo abriendo la Política de grupo y yendo a Configuraciones de la computadora > Plantillas administrativas > Componentes de Windows > Instalador de Windows Y tienes que hacer doble clic en una opción. Desactivar el instalador de Windows. Cambie la configuración a Habilitar Asegúrate de que la opción diga “Solo para aplicaciones no administradas”, para que el usuario pueda instalar todas las aplicaciones permitidas por la administración. Ahora haga clic en Solicitud Reinicie su computadora para hacer los cambios.
Bloquear ciertas aplicaciones para que no se ejecuten
Bloquear la instalación de todas las aplicaciones es una exageración en muchas situaciones. Si todo lo que desea es bloquear solo ciertas aplicaciones, puede realizar estos cambios en la política de grupo.
Abra Política de grupo y vaya a Configuración de usuario > Plantillas administrativas > Sistema Y haga doble clic en Opción No ejecutar aplicaciones de Windows especificadas. Cambie la configuración a Habilitar y haga clic en el botón . show. Ahora puedes entrar en la lista de aplicaciones que quieres bloquear y a las que no quieres que accedan los usuarios y tienes que hacer clic en Ok. Ahora haga clic Solicitud Reinicie el sistema para realizar los cambios.
2. Impedir el acceso al panel de control
Es importante poner algunas limitaciones en torno al panel de control, principalmente en entornos empresariales, porque le brinda control sobre todo el sistema. Puede bloquear el acceso por completo o limitar el acceso a algunas páginas.
Para bloquear el acceso, abra la Política de grupo y vaya a Configuración de usuario> Plantillas administrativas> Panel de control y haga doble clic Prohibir el acceso al Panel de control y la configuración de la PC y haga clic en Habilitar وSolicitud. Los cambios se aplicarán inmediatamente.
Mostrar solo páginas específicas desde el panel de control
El proceso anterior impide el acceso completo al Panel de control. Pero si está buscando limitar el uso. Puede hacer esto abriendo Política de grupo y yendo a Configuración de usuario> Plantillas administrativas> Panel de control y haga doble clic Mostrar solo los elementos del Panel de control especificados y haga clic en Habilitar. Ahora haga clic en Monitor Selecciona cada opción del Panel de control para mostrar. Si la opción no está en este menú, no le aparecerá al usuario.
Esto significa que deberá seleccionar y escribir cuidadosamente cada elemento del panel de control que desee incluir. Puedes encontrar Nombres de todos los elementos del Panel de control en el sitio web de Microsoft.
3. Deshabilitar símbolo del sistema
Sin duda, el símbolo del sistema es muy útil y también es una pesadilla al mismo tiempo que brinda la oportunidad a los usuarios de ejecutar comandos y aplicaciones a las que no desea acceder. También puede ser una herramienta peligrosa en manos inexpertas. Hay muchas razones para deshabilitar el símbolo del sistema, tal vez tenga hijos que usan una computadora familiar o permite que los invitados usen su computadora cuando se quedan con usted. O tal vez está ejecutando una computadora comercial, por lo que necesita deshabilitarla.
Para deshabilitar el Símbolo del sistema, abra la Política de grupo y vaya a Configuración de usuario > Plantillas administrativas > Sistema y haga doble clic Impedir el acceso a la línea de comandos. Tienes que cambiar la política para Habilitar y haciendo clic en Solicitud. Ahora necesita reiniciar su computadora para hacer los cambios.
4. Deshabilitar el Editor del Registro de Windows
Al igual que el Símbolo del sistema, el Editor del Registro de Windows puede bloquear el sistema cuando se modifica incorrectamente, además de omitir algunas restricciones de políticas de grupo. Entonces, para proteger las configuraciones, puede abrir la Política de grupo, ir a Configuración de usuario> Plantillas administrativas> Sistema, hacer doble clic en Impedir el acceso a las herramientas de edición del registro y habilitar la política. Ahora haga clic en Solicitud Reinicie su computadora para hacer los cambios.
5. Evite el acceso a dispositivos de medios extraíbles
Las unidades USB u otras formas de dispositivos de medios extraíbles pueden ser peligrosos para su computadora. Si alguien accidental o intencionalmente conecta un dispositivo de almacenamiento infectado con un virus, podría afectar la computadora o incluso todo el dominio. Cuando se ejecutan muchas computadoras, permitir el acceso a dispositivos de medios externos dificulta la administración del almacenamiento. El acceso a los dispositivos de medios extraíbles suele estar bloqueado en muchas escuelas y universidades.
Para bloquear el acceso a dispositivos de medios externos, abra la Política de grupo y vaya a Configuración de usuario > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble y haga doble clic Discos extraíbles: denegar acceso de lectura. Ahora haga clic en Opción Empoderamiento y haga clic Solicitud Reinicie su computadora para hacer los cambios.
bloqueando la opción de escritura
La opción anterior hará que la PC no lea los archivos en el dispositivo externo. Pero aún puede copiar los archivos al dispositivo externo. Si desea proteger los archivos, también debe bloquear la opción de escritura. Esta configuración suele implementarse en entornos empresariales.
Para bloquear la opción de escritura, abra la Política de grupo y vaya a Configuración de usuario > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble y haga doble clic Discos extraíbles: denegar acceso de escritura. Ahora habilite la opción y seleccione Solicitud para aplicar los cambios.
Alternativamente, puede usar la opción . Todas las clases de almacenamiento extraíble: denegar todo acceso Para bloquear las opciones de lectura y escritura al mismo tiempo.
6. Ocultar particiones de computadora
Si hay información confidencial en los sistemas, es posible que desee ocultarla a usuarios específicos para acceder a ella. Puede hacerlo desde la configuración de la directiva de grupo. Pero recuerde que esta configuración solo la ocultará del Explorador de archivos y algunas otras aplicaciones, pero las personas aún pueden acceder a ella desde el Símbolo del sistema.
De todos modos, puede ocultar particiones en el disco abriendo la Política de grupo y yendo a Configuración de usuario> Plantillas administrativas> Componentes de Windows> Explorador de Windows y haciendo doble clic en Ocultar estas unidades especificadas en Mi PC y seleccione una opción Empoderamiento. Una vez habilitado, haga clic en el menú desplegable en el panel de opciones y seleccione las unidades que desea ocultar. Las unidades se ocultarán cuando haga clic en Ok.
7. Aumente la longitud mínima de la contraseña
La longitud predeterminada de la contraseña de Windows es 8 y debe usar al menos una letra mayúscula y minúscula y al menos un número o carácter especial. De hecho, está bastante bien asegurado. Pero puede mejorar la seguridad aumentando la longitud de la contraseña. Puede configurarlo hasta 14 de longitud con el uso de letras mayúsculas y minúsculas, números o caracteres especiales.
Puede cambiar eso abriendo la Política de grupo y yendo a Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas de cuenta> Política de contraseña Y haga doble clic en Política Longitud mínima de la contraseña Establezca un valor para la longitud y toque Solicitud.
8. Realiza un seguimiento de los inicios de sesión
Con la política de grupo, puede obligar a Windows a realizar un seguimiento de todos los inicios de sesión exitosos y fallidos en la computadora. Puede configurarlo para una computadora específica o un usuario específico. De todos modos, esto será útil para rastrear a personas no autorizadas que intentan iniciar sesión. Puede habilitar esta configuración abriendo la Política de grupo y yendo a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría y haga doble clic Eventos de logotipo de auditoría.
Aquí seleccione la casilla de verificación junto a Opciones”éxito" Y el "Fracaso. cuando haces clicOk', Windows comenzará a mantener un registro de los inicios de sesión de su PC.
Para ver estos inicios de sesión, abra el cuadro de diálogo Ejecutar presionando Win + R y entrar eventvwr para abrir el Visor de eventos de Windows. Ahora expanda el Registro de Windows y luego seleccione Opción de seguridad. En el panel central, puede ver todos los intentos de inicio de sesión. Puede ver la cuenta que intentó iniciar sesión y también la fecha y la hora. Pero el éxito y el fracaso son símbolos.
9. Deshabilitar OneDrive
Es posible que desee usar OneDrive o que odie absolutamente usarlo. Si usted o su organización no usan OneDrive o simplemente quieren eliminarlo de su computadora, pueden hacerlo usando la Política de grupo. Abra Política de grupo y vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > OneDrive y haga doble clic Impedir el uso de OneDrive para el almacenamiento de archivos. Ahora habilite la configuración y haga clic en Solicitud. Necesitas reiniciar tu computadora para hacer los cambios.
10. Mantenga los cambios de políticas de grupo bajo control
De todos modos, estos cambios se pueden revertir a la normalidad usando la Política de grupo de la misma manera pero con un reinicio para deshabilitarla. Puede seguir siendo responsable de la política de grupo utilizando Auditoría de objetivos de directivas de grupo. Para mantener un seguimiento continuo de los cambios realizados en los objetos de política de grupo, intente Reportero de cambios de Lepide.
Encapsulación
Una vez que haya terminado de ajustar la configuración de la política de grupo, debe transferir la configuración al grupo de equipos en Directorio Activo Donde puede configurar el directorio para cada computadora en el dominio. También puede configurar pólizas de grupo específicas Solo para usuarios individuales o computadoras. Ahora todo lo que tiene que hacer es descargar la política de grupo desde el directorio activo de la aplicación. Cualquier cambio en Active Directory se aplicará automáticamente a los sistemas individuales.
