Trabajo práctico: aplicando directivas GLOBALES (afectan a todos los usuarios de un sistema operativo Windows concreto)

Políticas de grupo (GPO): directivas, pre-configuración que puede afectar (total o únicamente) a ciertos usuarios (p.ej. mañana, tarde, administración...) o directamente por "grupos" (administrador, usuario limitado.....).

¿Qué podríamos hacer? (a nivel de empresa, principalmente)

-Desactivar la grabación de discos (lee, pero no deja "copiar") o impedir que un dispositivo USB "grabe" datos, pero sí los lea

-Impedir el servicio de "detección de hardware" (así impides que el ordenador reconozca nuevos dispositivos)

-Impedir instalación de programas, pero SIN perder privilegios de administrador (p.ej. para hacer un CHKDSK, Backups…..)

-Instalación desatendida (actualización sin intervención del usuario, no hay pantallas -modo silencioso: quiet-)

-Bloquear uso de la impresora o establecer límites (nº de copias, posibilidad de usar "color" o sólo B&N)

-Que sólo permita "sonido" en ciertas aplicaciones (como las videoconferencias), bloqueando micrófono, por temas de seguridad

-Recopilar el uso de las aplicaciones (qué has abierto, cuánto tiempo, impedir usar ciertos programas -P2P- , peer to peer)

NOTA: KeyLogger --> registrador de pulsaciones, graba TODO lo que tecleas (correos, documentos, búsquedas en Internet.....)

Para colegios, recomendable "NetSupport School", no confundir con "NetSupport Manager", para hacer inventario de los PC´s en tu red local (datos técnicos, programas instalados, etc).

No todos los Windows admiten las mismas preparaciones (la versión "Home" podría tener limitaciones) y antes de W10, no había tantas posibilidades. Esta preparación es "local", NO necesita un servidor que envíe esa configuración, pero si usas un servidor de red, los "perfiles" de usuario se guardan en esa máquina y podrías hacer un perfil "móvil" (documentos, escritorio, etc) NO están en el PC realmente, se cargan desde el servidor. Así, en caso de fallos, el trabajador usa otro PC y sigue con su trabajo.

 

Te dejo los pasos (W11 Pro) para montar cada directiva en local, sin servidor, usando sobre todo:

• gpedit.msc (Directiva de grupo local)

• services.msc (Servicios)

• secpol.msc (Directiva de seguridad local)

• Registro (si no hay opción en directiva)

• Auditoría / AppLocker / SRP (control de apps)

⚠️ Nota rápida: algunas cosas no se pueden “hacer al 100%” solo con Windows (p.ej. límites de copias o bloquear color por usuario). Ahí necesitas software de impresión o impresoras con control por PIN.

---

1) Desactivar “grabación/copia” en CD/DVD y USB (solo lectura)

A) Bloquear escritura en USB (pero permitir lectura)

Opción 1 (recomendada): Directiva

1. Win + R → gpedit.msc

2. Ir a:
   Configuración del equipo → Plantillas administrativas → Sistema → Acceso de almacenamiento extraíble

3. Activa estas directivas:

   • Discos extraíbles: Denegar acceso de escritura → Habilitada

   • Todas las clases de almacenamiento extraíble: Denegar acceso de escritura → Habilitada (si quieres que aplique a todo)

📌 Resultado: el USB se puede abrir/copiar desde él, pero no grabar datos en él.

---

B) Bloquear escritura en CD/DVD (solo lectura)

1. gpedit.msc

2. Ruta:
   Configuración del equipo → Plantillas administrativas → Sistema → Acceso de almacenamiento extraíble

3. Activa:

   • CD y DVD: Denegar acceso de escritura → Habilitada

---

C) Bloquear “grabación de discos” (quemar CDs) en general

1. gpedit.msc

2. Ruta:
   Configuración del usuario → Plantillas administrativas → Componentes de Windows → Explorador de archivos

3. Activa:

   • Quitar características de grabación de CD → Habilitada

---

2) Impedir servicio “detección de hardware” (bloquear reconocimiento de nuevos dispositivos)

El servicio típico es:

• Shell Hardware Detection (Detección de hardware del shell)

Pasos

1. Win + R → services.msc

2. Busca: Shell Hardware Detection

3. Doble clic → Tipo de inicio: Deshabilitado

4. Botón Detener

5. Aplicar

📌 Efecto: reduce AutoPlay/autodetección (USB, cámaras, etc).

⚠️ Importante:
Esto no impide al 100% que Windows “vea” dispositivos nuevos (Plug&Play puede seguir funcionando).
Para bloquearlo de verdad, lo correcto es restringir instalación de dispositivos (siguiente apartado).

---

3) Impedir que el PC reconozca/instale nuevos dispositivos (más efectivo)

Bloquear instalación de dispositivos (por hardware)

1. gpedit.msc

2. Ruta:
   Configuración del equipo → Plantillas administrativas → Sistema → Instalación de dispositivos → Restricciones de instalación de dispositivos

3. Activa:

   • Impedir la instalación de dispositivos no descritos por otras configuraciones de directiva → Habilitada

   • (Opcional) Impedir la instalación de dispositivos extraíbles → Habilitada

📌 Resultado: si conectan algo nuevo, Windows no podrá instalarlo.

Consejo: prueba primero en un PC “piloto”, porque puede bloquear teclados/ratones nuevos, webcams, etc.

---

4) Impedir instalación de programas SIN quitar privilegios de administrador

Aquí hay un “matiz importante”:

✅ Puedes impedir que usuarios estándar instalen software.
❌ Si un usuario tiene admin real, siempre podrá saltarse muchas restricciones (porque puede desactivar políticas, ejecutar como admin, etc).

Solución práctica típica (entornos reales)

• El usuario trabaja como estándar

• Se mantiene una cuenta admin separada solo para TI / soporte

Pero como tú pides “sin perder admin”, te doy 2 enfoques:

---

Opción A (más limpia): bloquear instaladores por políticas (SRP/AppLocker)

AppLocker (solo W11 Pro/Enterprise)

1. Win + R → secpol.msc

2. Ruta:
   Directivas de control de aplicaciones → AppLocker

3. En “Reglas de ejecutables” y “Reglas de instaladores Windows”:

   • Crear reglas Permitir solo lo firmado por Microsoft o rutas concretas

   • Bloquear:

     • *.msi

     • setup.exe

     • instaladores en %TEMP%, %APPDATA%, Descargas, etc.

4. Activa el servicio:

   • services.msc → Application Identity → Automático → Iniciar

📌 Resultado: aunque sea admin, le será más difícil ejecutar instaladores “no permitidos”.

---

Opción B (básica): Windows Installer deshabilitado

1. gpedit.msc

2. Ruta:
   Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Installer

3. Activa:

   • Desactivar Windows Installer → “Siempre”

📌 Esto bloquea MSI, pero no todos los EXE.

---

5) Instalación desatendida / silenciosa (“quiet”)

Esto depende de si hablamos de:

A) Windows Updates sin interacción

1. gpedit.msc

2. Ruta:
   Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Update

3. Ajustes típicos:

   • Configurar actualizaciones automáticas → Habilitada
     Opción: 4 - Descargar y programar instalación

   • No mostrar “reiniciar ahora” (si existe en tu plantilla)

   • No reiniciar automáticamente con usuarios conectados (según política disponible)

---

B) Instalar programas en modo silencioso

Eso es por comando del instalador. Ejemplos típicos:

• MSI:
  msiexec /i programa.msi /quiet /norestart

• EXE (depende del fabricante):
  /S o /silent o /quiet

📌 Esto se suele automatizar con:

• PowerShell

• Tareas programadas

• Scripts de inicio

---

6) Bloquear impresora o poner límites (copias, color/B&N)

A) Bloquear impresión totalmente (Windows)

1. Win + R → services.msc

2. Servicio: Print Spooler (Cola de impresión)

3. Deshabilitar y Detener

📌 Nadie imprime (pero afecta a todo).

---

B) Restringir por usuarios (más profesional)

• Con servidor de impresión se hace fácil.

• En local, solo con Windows es limitado.

Para limitar color / copias:

Necesitas una de estas opciones:

• Impresora con PIN / Pull Printing

• Software de cuotas (PaperCut, SafeQ, etc.)

• Drivers que permitan bloquear color por configuración + permisos

---

7) Solo permitir “sonido” en ciertas apps / bloquear micrófono

Windows 11 permite controlar el micro por privacidad:

Bloquear micrófono globalmente

1. Configuración → Privacidad y seguridad → Micrófono

2. Desactivar:

   • Acceso al micrófono

   • o “Permitir que las aplicaciones accedan…”

Permitir solo apps concretas

En la misma pantalla:

• Dejas activado el acceso global

• Y desactivas apps una por una

📌 En empresa/colegio, esto se refuerza con directiva MDM/Intune, pero en local se puede así.

---

8) Recopilar uso de aplicaciones + bloquear P2P

A) Ver / auditar ejecución de programas (Windows)

Puedes usar auditoría:

1. secpol.msc

2. Ruta:
   Directivas avanzadas de auditoría → Seguimiento detallado

3. Activa:

   • Auditar creación de procesos (éxito)

Luego se revisa en:

• Visor de eventos → Seguridad

📌 Te dice qué EXE se ejecuta y cuándo.

---

B) Bloquear programas P2P (u otros)

Opción 1: AppLocker (recomendado)

• Bloquear ejecutables tipo:

  • utorrent.exe, bittorrent.exe, qbittorrent.exe, etc.

Opción 2: SRP (Software Restriction Policies)

1. secpol.msc

2. Directivas de restricción de software

3. Crear reglas por:

   • Hash

   • Ruta

   • Certificado

---

9) Nota sobre KeyLogger (registrador de pulsaciones)

✔️ Correcto: un keylogger registra todo lo que se escribe.
⚠️ En entornos educativos/laborales es delicado legalmente (RGPD/LOPDGDD) y normalmente requiere:

• Justificación

• Información al usuario

• Medidas de seguridad

• Política interna firmada

---

Extra: “NetSupport School” vs “NetSupport Manager”

Correcto:

• NetSupport School → aula / control docente

• NetSupport Manager → administración remota / inventario / control IT