Impedir Instalacion de Software + Windows Installer

Hola, Guillermo:

Gracias por tu post. Se me había olvidado comentar que también
tenía personalizados los permisos NTFS (control TOTAL a Admins.
y sólo lectura -en algunas carpetas- a Invitados, salvo una carpeta
TEMP donde había redirigido los archivos de paginación y los temp.
del IExplorer...). Ni qué decir acerca de los perfiles (obligatorios) y
el denegar (explícito) a permisos de escritura a "Mis Documentos" y
"Escritorio" en el perfil.

Yo mismo iniciaba la sesión 20 veces y trataba de instalarme cualquier
mierd... y tenía serios problemas (sólo podía copiar cosas descargadas
al directorio TEMP, como quería que ocurriera... y por supuesto, NO
podía escribir en el Escritorio, como también quería que ocurriera...).

Pero vamos, debe de ser cierto lo que comentaba Elder, y subestimé
el "poder del aburrimiento". Pero ¡¡caramba!!. Ver accesos directos en
el Desktop del E-Mule, comprobando que en el Visor no hay registros de
acceso como Admin (de hecho, sólo yo sé que <username> del
Administrador es "Adm." con punto incluído), no funciona el botón
secundario del ratón, tampoco se permite la edición/acceso al Registro,
tampoco el CMD... vamos, que me sentí como un perfecto gilip... y más
aún cuando los amiguetes/conocidos (que por supuesto, NO son del campo
-comprobado durante años-) te sueltan el típico "pero... ¿tú no tienes el
título de Ingeniero Superior en Informática?".

Si por lo menos alguna vez hubiera presumido de ello, no me costaría nada
reconocer que me lo merezca, pero poca gente sabe realmente que trabajo
a diario con servidores y sistemas informáticos.


Aplastando el trasero en mi sitio envío un saludo.
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:%

Es que como mencioné antes, hay aplicaciones que no requieren instalación,
así que lo único que queda es bloquearlas.
Esto se puede conseguir de dos formas, por un lado Software Restriction
Policies para que no las puedan ejecutar. Y por supuesto bloqueando en el
cortafuegos, ya que éste debe permitir sólo lo autorizado.
Inclusive para este último caso a veces hay que poner Application Filters,
ya que algunas se escapan por TCP-80

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"Desiderio Ondo." wrote in message
news:

Hola, Elder:

Guillermo tiene razón con el tema de los privilegios que estás
asignando a los usuarios: se recomienda que asignes a los
mismos los derechos/privilegios mínimos necesarios para que
puedan desarrollar su trabajo, de los cuales la peor opción
posible sería asignarles privilegios de Administrador. La mejor
opción, desde mi punto de vista es que las cuentas sean de
Invitado con privilegios de usuario.

Lo divertido del tema es que aún así, quizá (y sólo quizá) en un
entorno corporativo podrías tener cierto control acerca de las
instalaciones (ayudándote de un servidor proxy/firewall para los
"intentos" desde la WWW). Si lo que tienes es un workgroup...
baste decirte que hace unas semanas, le monté un "ciber" a
una amiga con 20 PC's perfectamente clonados desde una
plantilla a las que, por directivas de sistema, privilegios de cuentas
(invitados con privilegios de usuario) y servicios de sistema
(des-habilitados Windows installer, Actualizaciones Automáticas...)

Imagínate mi rostro cuando me pasé hace un par de días por
cortesía, y me encontré en algunas máquinas instalado el E-Mule,
el Ares, programas de mensajería instantánea en polaco... etc.
A día de hoy, todavía estoy pensando cómo demonios lo han hecho.
Que conste: revisé TODA la configuración 1000 veces durante 3 días
seguidos, y no le veo sentido. La única conclusión a la que llego es
que los usuarios cuando se plantean jod... al responsable, lo logran.


Sin mover el trasero de mi sitio
...espero haberte servido de "alluda". Un saludo.
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:eUeWOv%

Lo que estás configurando es todo lo contrario de lo que pides :-)))

De todas formas el tema de instalación de aplicaciones no es sencillo
La respuesta general es: "Un usuario común, no puede instalar software"
pero... todo depende de la aplicación

Si la aplicación instala servicios, entonces sólo lo puede hacer quien
pertenezca al grupo Administradores
Dependiendo qué claves del registro y en qué carpetas escriba el
instalador, uno que pertenezca a Usuario Avanzados (Power Users) puede
instalar la aplicación.
Si es una aplicación de esas que no requieren instalación, simplemente
las pones en una carpeta y ejecutas, entonces no hay solución por ahora
:-(

Si los clientes son XP, no vale para 2000, entonces puedes ver en una
directiva por "Software Restriction Policies". Lograrás que NO puedan
ejecutar las aplicaciones que quieras. Las identifica por path, nombre,
extensión, certificado, hash o zona de Internet.
Y trabaja por exclusión, prohíbes todo salvo lo que específicamente
habilites. O habilitas todo, salvo lo que esté denegado

No es "la solución" pero podrías denegar los: install.exe, setup.exe,
*.msi, etc. aunque sólo para los usuarios comunes y estarías "un poco
más cerca del objetivo"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"Don Quijote de Nicaragua" wrote in message
news:

Hola a todos, siguiendo unas orientaciones que recibi en este foro
sobre como
prohibir la instalacion de software a menos que sea administrador
he tratado marcando en Windows installer tanto en los equipos como en
los usuarios tenga
privilegios de administrador para que se ejecute dicho procedimiento,
sin embargo aun habilitado estos permisos en el equipo y usuario
los usuarios aun pueden instalar software, alguna idea de que puedo
estar haciendo mal.
Muchas gracias de antemano por su tiempo y ayuda.

Windows Installer Equipo
1- http://aspspider.net/eldersoto/equipo.gif
Windows Installer Usuario
2- http://aspspider.net/eldersoto/usuario.gif
Pregunta antes de la instalacion programa
3- http://aspspider.net/eldersoto/Privilegio.gif
Permisos que tiene el usuario actualmente.
4- http://aspspider.net/eldersoto/permisos.gif

Saludos Cordiales de Antemano.
Don Quijote de Nicaragua.
Elder Soto.

Si está todo tan protegido de escritura, se me ocurre que las cosas las
guardaron desde afuera, tal vez con un live cd como knoppix, y escriben
en ntfs... o en un pendrive usb llevan aplicaciones portables como
emule, etc.
Podrías desactivar en la BIOS las opciones de bootear por CD/USB/FLOPPY.
Y ver el tema de los USB.


Desiderio Ondo. wrote:

Hola, Guillermo:

Gracias por tu post. Se me había olvidado comentar que también
tenía personalizados los permisos NTFS (control TOTAL a Admins.
y sólo lectura -en algunas carpetas- a Invitados, salvo una carpeta
TEMP donde había redirigido los archivos de paginación y los temp.
del IExplorer...). Ni qué decir acerca de los perfiles (obligatorios) y
el denegar (explícito) a permisos de escritura a "Mis Documentos" y
"Escritorio" en el perfil.

Yo mismo iniciaba la sesión 20 veces y trataba de instalarme cualquier
mierd... y tenía serios problemas (sólo podía copiar cosas descargadas
al directorio TEMP, como quería que ocurriera... y por supuesto, NO
podía escribir en el Escritorio, como también quería que ocurriera...).

Pero vamos, debe de ser cierto lo que comentaba Elder, y subestimé
el "poder del aburrimiento". Pero ¡¡caramba!!. Ver accesos directos en
el Desktop del E-Mule, comprobando que en el Visor no hay registros de
acceso como Admin (de hecho, sólo yo sé que <username> del
Administrador es "Adm." con punto incluído), no funciona el botón
secundario del ratón, tampoco se permite la edición/acceso al Registro,
tampoco el CMD... vamos, que me sentí como un perfecto gilip... y más
aún cuando los amiguetes/conocidos (que por supuesto, NO son del campo
-comprobado durante años-) te sueltan el típico "pero... ¿tú no tienes el
título de Ingeniero Superior en Informática?".

Si por lo menos alguna vez hubiera presumido de ello, no me costaría nada
reconocer que me lo merezca, pero poca gente sabe realmente que trabajo
a diario con servidores y sistemas informáticos.


Aplastando el trasero en mi sitio envío un saludo.
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:%

Es que como mencioné antes, hay aplicaciones que no requieren instalación,
así que lo único que queda es bloquearlas.
Esto se puede conseguir de dos formas, por un lado Software Restriction
Policies para que no las puedan ejecutar. Y por supuesto bloqueando en el
cortafuegos, ya que éste debe permitir sólo lo autorizado.
Inclusive para este último caso a veces hay que poner Application Filters,
ya que algunas se escapan por TCP-80

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"Desiderio Ondo." wrote in message
news:

Hola, Elder:

Guillermo tiene razón con el tema de los privilegios que estás
asignando a los usuarios: se recomienda que asignes a los
mismos los derechos/privilegios mínimos necesarios para que
puedan desarrollar su trabajo, de los cuales la peor opción
posible sería asignarles privilegios de Administrador. La mejor
opción, desde mi punto de vista es que las cuentas sean de
Invitado con privilegios de usuario.

Lo divertido del tema es que aún así, quizá (y sólo quizá) en un
entorno corporativo podrías tener cierto control acerca de las
instalaciones (ayudándote de un servidor proxy/firewall para los
"intentos" desde la WWW). Si lo que tienes es un workgroup...
baste decirte que hace unas semanas, le monté un "ciber" a
una amiga con 20 PC's perfectamente clonados desde una
plantilla a las que, por directivas de sistema, privilegios de cuentas
(invitados con privilegios de usuario) y servicios de sistema
(des-habilitados Windows installer, Actualizaciones Automáticas...)

Imagínate mi rostro cuando me pasé hace un par de días por
cortesía, y me encontré en algunas máquinas instalado el E-Mule,
el Ares, programas de mensajería instantánea en polaco... etc.
A día de hoy, todavía estoy pensando cómo demonios lo han hecho.
Que conste: revisé TODA la configuración 1000 veces durante 3 días
seguidos, y no le veo sentido. La única conclusión a la que llego es
que los usuarios cuando se plantean jod... al responsable, lo logran.


Sin mover el trasero de mi sitio
...espero haberte servido de "alluda". Un saludo.
==>>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>>

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:eUeWOv%

Lo que estás configurando es todo lo contrario de lo que pides :-)))

De todas formas el tema de instalación de aplicaciones no es sencillo
La respuesta general es: "Un usuario común, no puede instalar software"
pero... todo depende de la aplicación

Si la aplicación instala servicios, entonces sólo lo puede hacer quien
pertenezca al grupo Administradores
Dependiendo qué claves del registro y en qué carpetas escriba el
instalador, uno que pertenezca a Usuario Avanzados (Power Users) puede
instalar la aplicación.
Si es una aplicación de esas que no requieren instalación, simplemente
las pones en una carpeta y ejecutas, entonces no hay solución por ahora
:-(

Si los clientes son XP, no vale para 2000, entonces puedes ver en una
directiva por "Software Restriction Policies". Lograrás que NO puedan
ejecutar las aplicaciones que quieras. Las identifica por path, nombre,
extensión, certificado, hash o zona de Internet.
Y trabaja por exclusión, prohíbes todo salvo lo que específicamente
habilites. O habilitas todo, salvo lo que esté denegado

No es "la solución" pero podrías denegar los: install.exe, setup.exe,
*.msi, etc. aunque sólo para los usuarios comunes y estarías "un poco
más cerca del objetivo"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"Don Quijote de Nicaragua" wrote in message
news:

Hola a todos, siguiendo unas orientaciones que recibi en este foro
sobre como
prohibir la instalacion de software a menos que sea administrador
he tratado marcando en Windows installer tanto en los equipos como en
los usuarios tenga
privilegios de administrador para que se ejecute dicho procedimiento,
sin embargo aun habilitado estos permisos en el equipo y usuario
los usuarios aun pueden instalar software, alguna idea de que puedo
estar haciendo mal.
Muchas gracias de antemano por su tiempo y ayuda.

Windows Installer Equipo
1- http://aspspider.net/eldersoto/equipo.gif
Windows Installer Usuario
2- http://aspspider.net/eldersoto/usuario.gif
Pregunta antes de la instalacion programa
3- http://aspspider.net/eldersoto/Privilegio.gif
Permisos que tiene el usuario actualmente.
4- http://aspspider.net/eldersoto/permisos.gif

Saludos Cordiales de Antemano.
Don Quijote de Nicaragua.
Elder Soto.