Evitar descarga por GPO

Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==



"Luis E." escribió en el mensaje
news:

la verdad es que si, tengo presente los peligros que implica, solo que
como
comente antes existen aplicaciones que si el usuario no es <administrador>
local da errores, pero tomare las sugerencias de javier a ver que tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:

Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho los
>> privilegios de uso que tenga el usuario. Si <user> tuviera privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios como
>> > usuarios locales y no adminstradores y poner un proxy, que siempre
>> > es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>

Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo expongo
socio, lo que tú dices de hacer es un punto más de seguridad a tener en
cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$

Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>



"Luis E." escribió en el mensaje
news:

la verdad es que si, tengo presente los peligros que implica, solo que
como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:

Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para XP
>> > y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios como
>> > usuarios locales y no adminstradores y poner un proxy, que siempre
>> > es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>

www.sysinjternals.com

usa proces explorer y veras que faci l encunetras donde leen llaves de
registro o caprtas o archivos que solo son para admins... o graban en la
caprta de program files...

todo eso con pliticas se pude solucionar...


Rodolfo Parrado Gutiérrez
MVP Windows Server Security MCT MCSE MCSA MCP+I
https://mvp.support.microsoft.com/profile/Rodolfo

La seguridad no es binaria. No es un switch o aún una serie de switches. No
es un firewall, IDS, NIDS, PIDS, APIDS, IPS, HIDS. No puede ser expresada en
términos absolutos. No le creas a cualquier persona que intente convencerte
de otra manera. La seguridad es relativa, es solamente más segura y menos
segura. Adicionalmente, la seguridad es dinámica, todo cambia, las personas,
los procesos y la tecnología. Es por eso que en el fondo todos estos
factores hacen el manejo de la seguridad más difícil. Ten siempre en mente
que las personas y los procesos son partes integrales de la seguridad.
Eduque a las personas y las empresas, con los principios, las prácticas y
las recomendaciones, no solamente para estar equipadas para administrar la
seguridad, sino también para que estén equipadas en pensar acerca de la
seguridad. La seguridad interna es importante, no solo la externa.


"Luis E." wrote in message
news:

Esto no lo he probado, gracias por la sugerencia. Lo probare a ver que
tal...

"Javier Inglés [MS MVP]" wrote:

Dudo mucho que requieran que sean admins...has probado a dar permisos a
los
usaurios en las carpetas y/o ramas del registro de la aplicación?? En el
90%
de los casos con eso funcionan..

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis E." escribió en el mensaje
news:
> En mi caso todos los usuarios tienen Xp, y necesito que sean
> administradores
> ya que hay aplicaciones que asi lo requieren para el funcionamiento.
> por
> esto
> la necesidad que restringir mediante GPO
>
> "Javier Inglés [MS MVP]" wrote:
>
>> Perdón, los clientes si sonW2K no reciben la GPO, son sólo para XP y
>> Vista;
>> en ese caso, no te queda otra que dejar a los usuarios como usuarios
>> locales
>> y no adminstradores y poner un proxy, que siempre es recomendable
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "Luis E." escribió en el mensaje
>> news:
>> > Gracias por la respuesta javier,
>> >
>> > Efectivamente he bloqueado algunas aplicaciones, pero si se renombra
>> > el
>> > archivo se puede ejecutar...
>> >
>> > Existe alguna otra manera de evitar esto?
>> >
>> > "Javier Inglés [MS MVP]" wrote:
>> >
>> >> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >> controlar
>> >> es
>> >> qué aplicaciones se van a poder ejecutar:
>> >>
>> >> Using Software Restriction Policies to Protect Against Unauthorized
>> >> Software
>> >>
>> >> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>
>> >>
>> >> Salu2!!
>> >> Javier Inglés
>> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> MS MVP, Windows Server-Directory Services
>> >>
>> >>
>> >>
>> >> "Luis E." escribió en el mensaje
>> >> news:
>> >> > Buenas...
>> >> >
>> >> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >> > archivos
>> >> > de
>> >> > internet...?
>> >> >
>> >> > Agradeceria cualquier información que me puedan brindar...
>> >>
>> >>
>> >>
>>
>>
>>

Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última palabra...


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OLXtuM5$

Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo expongo
socio, lo que tú dices de hacer es un punto más de seguridad a tener en
cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$

Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>



"Luis E." escribió en el mensaje
news:

la verdad es que si, tengo presente los peligros que implica, solo que
como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:

Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para XP
>> > y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios como
>> > usuarios locales y no adminstradores y poner un proxy, que siempre
>> > es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>

Ya, pero dejar un acceso directo con un runas, el cual usa privilegios de
adminsitrador, teniendo la posibilidad e hacer que la apicación funcione
perfectamente sin tener que usar dichas credenciales, a mí personalmente me
parece una barbaridad, ya que la brecha de seguridad que puedes dejar no es
pequeña...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:

Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última palabra...


Espero haberte servido de "alluda".
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OLXtuM5$

Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo
expongo socio, lo que tú dices de hacer es un punto más de seguridad a
tener en cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$

Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>



"Luis E." escribió en el mensaje
news:

la verdad es que si, tengo presente los peligros que implica, solo que
como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que
tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:

Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el
> dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA
>> server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para
>> > XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios
>> > como
>> > usuarios locales y no adminstradores y poner un proxy, que
>> > siempre es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el
>> > mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>