Evitar descarga por GPO

25/09/2007 - 15:32 por Luis E. | Informe spam
Buenas...

Existe alguna manera de bloquear mediante GPO la descarga de archivos de
internet...?

Agradeceria cualquier información que me puedan brindar...

Preguntas similare

Leer las respuestas

#21 Desiderio Ondo.
26/09/2007 - 12:39 | Informe spam
Hola, Javier:

Añádele al acceso directo una política que deshabilite el botón secundario
del ratón al <user>, y que los privilegios del mismo sea de "Invitado del
dominio" a lo sumo (sin contar con des-habilitar la edición del Registro, el
acceso al prompt, perfiles obligatorios y auditorías a TODOS los recursos
compartidos -ocultos- del <server>... sin contar con una reestructuración
de los permisos a las unidades lógicas locales basadas en grupos de dominio
personalizados).

Ya no voy a mencionar el apartado de redes por ISA (que está TODO denegado
a menos que demuestre lo contrario), o las copias de seguridad por red. Sí,
es
verdad. Me dejo unos cuantos flecos abiertos (órdenes de arriba) pero lo que
me interesa es que <users> recuerden que su PC es una herramienta para que
puedan desarrollar su trabajo, NO para que hagan lo que les dé la gana (ya
que
veo que se confunden mucho éstos términos).


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Ya, pero dejar un acceso directo con un runas, el cual usa privilegios de
adminsitrador, teniendo la posibilidad e hacer que la apicación funcione
perfectamente sin tener que usar dichas credenciales, a mí personalmente
me parece una barbaridad, ya que la brecha de seguridad que puedes dejar
no es pequeña...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:


Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última palabra...


Espero haberte servido de "alluda".
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OLXtuM5$
Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo
expongo socio, lo que tú dices de hacer es un punto más de seguridad a
tener en cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$


Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>



"Luis E." escribió en el mensaje
news:
la verdad es que si, tengo presente los peligros que implica, solo que
como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que
tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:



Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el
> dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA
>> server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para
>> > XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios
>> > como
>> > usuarios locales y no adminstradores y poner un proxy, que
>> > siempre es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el
>> > mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>





















Respuesta Responder a este mensaje
#22 Javier Inglés [MS MVP]
26/09/2007 - 12:47 | Informe spam
Socio, loque dices es utópico por desgracia, deshabilitar el botón derecho
del ratón ocasiona más problemas que ayudas..., privilegios de "invitado del
dominio" es inviable para un usuario autenticado en un dominio (el resto se
consigue haciendo que el usaurio sea un user de máquina, nada más)

El tener un acceso directo con un runas con privilegios de admin, ocasiona
el problema de que ante cierto tipo de personajes, expongas una contraseña
sin saberlo y darte cuenta y tener más probabilidades de que la cojan, por
no hablar de cierto tipo de programas que son capaces de "adherirse" a ese
proceso bajo ese contexto de seguridad y usar privilegios que no debería
tener...

El resto que comentas no tiene que ver con esto...

Resumen: no hace falta hacer un acceso directo con un Runas de un programa y
privilegios de adminsitrador si sabes dónde dar los permisos a un suaurio
normal y corriente, con lo que mejoras la seguridad...
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:%


Hola, Javier:

Añádele al acceso directo una política que deshabilite el botón secundario
del ratón al <user>, y que los privilegios del mismo sea de "Invitado del
dominio" a lo sumo (sin contar con des-habilitar la edición del Registro,
el
acceso al prompt, perfiles obligatorios y auditorías a TODOS los recursos
compartidos -ocultos- del <server>... sin contar con una reestructuración
de los permisos a las unidades lógicas locales basadas en grupos de
dominio
personalizados).

Ya no voy a mencionar el apartado de redes por ISA (que está TODO denegado
a menos que demuestre lo contrario), o las copias de seguridad por red.
Sí, es
verdad. Me dejo unos cuantos flecos abiertos (órdenes de arriba) pero lo
que
me interesa es que <users> recuerden que su PC es una herramienta para que
puedan desarrollar su trabajo, NO para que hagan lo que les dé la gana (ya
que
veo que se confunden mucho éstos términos).


Espero haberte servido de "alluda".
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Ya, pero dejar un acceso directo con un runas, el cual usa privilegios de
adminsitrador, teniendo la posibilidad e hacer que la apicación funcione
perfectamente sin tener que usar dichas credenciales, a mí personalmente
me parece una barbaridad, ya que la brecha de seguridad que puedes dejar
no es pequeña...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:


Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última palabra...


Espero haberte servido de "alluda".
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:OLXtuM5$
Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo
expongo socio, lo que tú dices de hacer es un punto más de seguridad a
tener en cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$


Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>



"Luis E." escribió en el mensaje
news:
la verdad es que si, tengo presente los peligros que implica, solo
que como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que
tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:



Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el
> dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho
>> los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA
>> server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo para
>> > XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios
>> > como
>> > usuarios locales y no adminstradores y poner un proxy, que
>> > siempre es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el
>> > mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí
>> >>> puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga
>> >>> > de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>

























Respuesta Responder a este mensaje
#23 Javier Inglés [MS MVP]
26/09/2007 - 16:45 | Informe spam
<<<Deshabilitar el botón derecho del ratón causa "problemas" a los
usuarios...
siempre que les prestes atención>>>

Hombre, si tienes usuarios y un departamento de informática...pues no te
queda otra, creo que esto es de lógica, igual que sé que es imposible
deshabilitar el botón derecho del ratón y que puedas trabajar...porque ya si
te pnes haz una GPO que haga que al pulsar la tecla de Supr consiga hacer
una descarga eléctrica o salte del teclado al ojo del usuario :-PP..

<<<siempre que permitas físicamente al usuario ejecutar otra aplicación que
no
sean las establecidas en el listado corporativo...>>>

Por desgracia, eso también es "pasable"

con el resto de acuerdo, pero hay que establecer siempre un margen porque no
queda más remedio, y un runas con permisos de administrador es una
barbaridad quieras o noes así de simple

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:%


Hola, Javier:

Deshabilitar el botón derecho del ratón causa "problemas" a los
usuarios...
siempre que les prestes atención. Que otros programas se "adhieran" a los
privilegios de acceso que implica la cuenta asociada al "runas" es
posible...
siempre que permitas físicamente al usuario ejecutar otra aplicación que
no
sean las establecidas en el listado corporativo...

No quería revelarlo, pero me descubro como un verdadero cabr... en lo que
se refiere a la gestión de datos en la red corporativa. Es cierto que
suena
como una utopía el tener control sobre TODO en la red (de hecho, suena
como el juego de policías y ladrones con la diferencia de que cuando
lo
descubro, yo no arresto al infractor. Simplemente, deja de trabajar). No
me
ando con juegos.

Como te decía antes, las estaciones que se les facilitan a los usuarios en
la
oficina es <sólo> una herramienta de trabajo, y las utilidades que se les
ofrecen
en las mismas es para que puedan desarrollar sus tareas.


Espero haberte servido de "alluda".
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Socio, loque dices es utópico por desgracia, deshabilitar el botón
derecho del ratón ocasiona más problemas que ayudas..., privilegios de
"invitado del dominio" es inviable para un usuario autenticado en un
dominio (el resto se consigue haciendo que el usaurio sea un user de
máquina, nada más)

El tener un acceso directo con un runas con privilegios de admin,
ocasiona el problema de que ante cierto tipo de personajes, expongas una
contraseña sin saberlo y darte cuenta y tener más probabilidades de que
la cojan, por no hablar de cierto tipo de programas que son capaces de
"adherirse" a ese proceso bajo ese contexto de seguridad y usar
privilegios que no debería tener...

El resto que comentas no tiene que ver con esto...

Resumen: no hace falta hacer un acceso directo con un Runas de un
programa y privilegios de adminsitrador si sabes dónde dar los permisos a
un suaurio normal y corriente, con lo que mejoras la seguridad...
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:%


Hola, Javier:

Añádele al acceso directo una política que deshabilite el botón
secundario
del ratón al <user>, y que los privilegios del mismo sea de "Invitado
del
dominio" a lo sumo (sin contar con des-habilitar la edición del
Registro, el
acceso al prompt, perfiles obligatorios y auditorías a TODOS los
recursos
compartidos -ocultos- del <server>... sin contar con una
reestructuración
de los permisos a las unidades lógicas locales basadas en grupos de
dominio
personalizados).

Ya no voy a mencionar el apartado de redes por ISA (que está TODO
denegado
a menos que demuestre lo contrario), o las copias de seguridad por red.
Sí, es
verdad. Me dejo unos cuantos flecos abiertos (órdenes de arriba) pero lo
que
me interesa es que <users> recuerden que su PC es una herramienta para
que
puedan desarrollar su trabajo, NO para que hagan lo que les dé la gana
(ya que
veo que se confunden mucho éstos términos).


Espero haberte servido de "alluda".
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Ya, pero dejar un acceso directo con un runas, el cual usa privilegios
de adminsitrador, teniendo la posibilidad e hacer que la apicación
funcione perfectamente sin tener que usar dichas credenciales, a mí
personalmente me parece una barbaridad, ya que la brecha de seguridad
que puedes dejar no es pequeña...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:


Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última
palabra...


Espero haberte servido de "alluda".
==>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>



"Javier Inglés [MS MVP]" escribió en el
mensaje news:OLXtuM5$
Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo
expongo socio, lo que tú dices de hacer es un punto más de seguridad
a tener en cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$


Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión,
podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>>



"Luis E." escribió en el mensaje
news:
la verdad es que si, tengo presente los peligros que implica, solo
que como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que
tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:



Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el
> dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho
>> los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA
>> server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>>>>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>>>>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en
>> el mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo
>> > para XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios
>> > como
>> > usuarios locales y no adminstradores y poner un proxy, que
>> > siempre es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el
>> > mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí
>> >>> puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga
>> >>> > de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan
>> >>> > brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>

































Respuesta Responder a este mensaje
#24 Desiderio Ondo.
26/09/2007 - 16:48 | Informe spam
Hola, Javier:

Deshabilitar el botón derecho del ratón causa "problemas" a los usuarios...
siempre que les prestes atención. Que otros programas se "adhieran" a los
privilegios de acceso que implica la cuenta asociada al "runas" es
posible...
siempre que permitas físicamente al usuario ejecutar otra aplicación que no
sean las establecidas en el listado corporativo...

No quería revelarlo, pero me descubro como un verdadero cabr... en lo que
se refiere a la gestión de datos en la red corporativa. Es cierto que suena
como una utopía el tener control sobre TODO en la red (de hecho, suena
como el juego de policías y ladrones con la diferencia de que cuando lo
descubro, yo no arresto al infractor. Simplemente, deja de trabajar). No me
ando con juegos.

Como te decía antes, las estaciones que se les facilitan a los usuarios en
la
oficina es <sólo> una herramienta de trabajo, y las utilidades que se les
ofrecen
en las mismas es para que puedan desarrollar sus tareas.


Espero haberte servido de "alluda".
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Socio, loque dices es utópico por desgracia, deshabilitar el botón derecho
del ratón ocasiona más problemas que ayudas..., privilegios de "invitado
del dominio" es inviable para un usuario autenticado en un dominio (el
resto se consigue haciendo que el usaurio sea un user de máquina, nada
más)

El tener un acceso directo con un runas con privilegios de admin, ocasiona
el problema de que ante cierto tipo de personajes, expongas una contraseña
sin saberlo y darte cuenta y tener más probabilidades de que la cojan, por
no hablar de cierto tipo de programas que son capaces de "adherirse" a ese
proceso bajo ese contexto de seguridad y usar privilegios que no debería
tener...

El resto que comentas no tiene que ver con esto...

Resumen: no hace falta hacer un acceso directo con un Runas de un programa
y privilegios de adminsitrador si sabes dónde dar los permisos a un
suaurio normal y corriente, con lo que mejoras la seguridad...
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:%


Hola, Javier:

Añádele al acceso directo una política que deshabilite el botón
secundario
del ratón al <user>, y que los privilegios del mismo sea de "Invitado del
dominio" a lo sumo (sin contar con des-habilitar la edición del Registro,
el
acceso al prompt, perfiles obligatorios y auditorías a TODOS los recursos
compartidos -ocultos- del <server>... sin contar con una reestructuración
de los permisos a las unidades lógicas locales basadas en grupos de
dominio
personalizados).

Ya no voy a mencionar el apartado de redes por ISA (que está TODO
denegado
a menos que demuestre lo contrario), o las copias de seguridad por red.
Sí, es
verdad. Me dejo unos cuantos flecos abiertos (órdenes de arriba) pero lo
que
me interesa es que <users> recuerden que su PC es una herramienta para
que
puedan desarrollar su trabajo, NO para que hagan lo que les dé la gana
(ya que
veo que se confunden mucho éstos términos).


Espero haberte servido de "alluda".
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>



"Javier Inglés [MS MVP]" escribió en el mensaje
news:
Ya, pero dejar un acceso directo con un runas, el cual usa privilegios
de adminsitrador, teniendo la posibilidad e hacer que la apicación
funcione perfectamente sin tener que usar dichas credenciales, a mí
personalmente me parece una barbaridad, ya que la brecha de seguridad
que puedes dejar no es pequeña...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:


Hola, Javier:

Si más que nada, lo indicaba porque me pone los pelos de punta el
tema que <users> tengan privilegios administrativos. No obstante,
me alegra que se tome en cuenta mi sugerencia. Total, por mucho
que diga, al final será el consultante el que tome la última palabra...


Espero haberte servido de "alluda".
==>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>



"Javier Inglés [MS MVP]" escribió en el
mensaje news:OLXtuM5$
Entre hacer eso y lo que yo te digo, es mucho más seguro lo que yo
expongo socio, lo que tú dices de hacer es un punto más de seguridad a
tener en cuenta...cuidadín con esas cosas...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Desiderio Ondo." escribió en el mensaje
news:O7u%23%2384$


Hola, Luis E.:

Personalmente, te recomiendo mejor crea accesos directos que se
ejecuten con una cuenta de mayores privilegios, y para que no les
les pida la password correspondiente, puedes emplear el modificador
/savecred.

Un ejemplo para lanzar el bloc de notas sería:
"%systemroot%\system32unas.exe /user:<dominio>\administrador
"%SystemRoot%\system32otepad.exe /savecred"

Luego, con un simple fichero de comandos de inicio de sesión, podrías
distribuirlo al Escritorio del usuario en cuanto inicie la sesión.


Espero haberte servido de "alluda".
==>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>



"Luis E." escribió en el mensaje
news:
la verdad es que si, tengo presente los peligros que implica, solo
que como
comente antes existen aplicaciones que si el usuario no es
<administrador>
local da errores, pero tomare las sugerencias de javier a ver que
tal...

Si tienes alguna otra sugerencia bienvenida es.

"Desiderio Ondo." wrote:



Hola, Luis E.:

La pregunta es bastante simple: ¿por qué tienen privilegios de
Administrador (aunque sea local) los usuarios del dominio?¿Te
das cuenta del peligro que ello implica?


Espero haberte servido de "alluda".
==>>>>>>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>>>>>>



"Luis E." escribió en el mensaje
news:
> OJO los usuarios son <administradores> locales y <User> en el
> dominio
>
> "Desiderio Ondo." wrote:
>
>>
>>
>> Hola, Luis E.:
>>
>> Y si me permites, Javier... indicar que tambien "alluda" mucho
>> los
>> privilegios de uso que tenga el usuario. Si <user> tuviera
>> privilegios
>> de "invitado de dominio", aderezado con restricciones del ISA
>> server
>> te genera un caldito rico, rico y con fundamento.
>>
>>
>> Espero haberte servido de "alluda".
>> ==>>>>>>>> >> · Desiderio Ondo Oyana
>> · Ingeniero en Informática
>> · Microsoft® Certified Systems Engineer - MCSE
>> · Visita mi website: http://pantuflo.escet.urjc.es/~desitech
>> ==>>>>>>>> >>
>>
>>
>>
>> "Javier Inglés [MS MVP]" escribió en el
>> mensaje
>> news:uDHI5I4$
>> > Perdón, los clientes si sonW2K no reciben la GPO, son sólo
>> > para XP y
>> > Vista; en ese caso, no te queda otra que dejar a los usuarios
>> > como
>> > usuarios locales y no adminstradores y poner un proxy, que
>> > siempre es
>> > recomendable
>> >
>> > Salu2!!
>> > Javier Inglés
>> > https://mvp.support.microsoft.com/p...B5567431B0
>> > MS MVP, Windows Server-Directory Services
>> >
>> >
>> >
>> > "Luis E." escribió en el
>> > mensaje
>> > news:
>> >> Gracias por la respuesta javier,
>> >>
>> >> Efectivamente he bloqueado algunas aplicaciones, pero si se
>> >> renombra
>> >> el
>> >> archivo se puede ejecutar...
>> >>
>> >> Existe alguna otra manera de evitar esto?
>> >>
>> >> "Javier Inglés [MS MVP]" wrote:
>> >>
>> >>> No, para eso se emplea un proxy generalmente; lo que sí
>> >>> puedes
>> >>> controlar
>> >>> es
>> >>> qué aplicaciones se van a poder ejecutar:
>> >>>
>> >>> Using Software Restriction Policies to Protect Against
>> >>> Unauthorized
>> >>> Software
>> >>>
>> >>> http://www.microsoft.com/technet/tr...trplcy.asp
>> >>>
>> >>>
>> >>> Salu2!!
>> >>> Javier Inglés
>> >>> https://mvp.support.microsoft.com/p...B5567431B0
>> >>> MS MVP, Windows Server-Directory Services
>> >>>
>> >>>
>> >>>
>> >>> "Luis E." escribió en el
>> >>> mensaje
>> >>> news:
>> >>> > Buenas...
>> >>> >
>> >>> > Existe alguna manera de bloquear mediante GPO la descarga
>> >>> > de
>> >>> > archivos
>> >>> > de
>> >>> > internet...?
>> >>> >
>> >>> > Agradeceria cualquier información que me puedan brindar...
>> >>>
>> >>>
>> >>>
>> >
>> >
>>
>>
>>





























email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida