Políticas de Grupo en Windows Vista IV : Restriccion de hardware

Ya hemos comprobado las principales mejoras referentes al tratamiento de las políticas de grupo en Windows Vista. Podéis encontrar las referencias a continuación:

GPOs en Windows Vista 1


GPOs en Windows Vista 2


GPOs en Windows Vista 3



Solo nos queda echar un vistazo a las más de 800 nuevas políticas incorporadas para le gestión de este Sistema Operativo, por lo que en los próximos post iremos dando un repaso a aquellas políticas más destacadas. De momento podeis descargaros el listado completo de nuevas políticas en:


http://www.microsoft.com/downloads/details.aspx?familyid=41DC179B-3328-4350-ADE1-C0D9289F09EF&displaylang=en



A lo largo de este Blog algunos compañeros ya han hecho alguna referencia a ciertas políticas de grupo como aquellas para la gestión de UAC, Bitlocker o QoS por lo que no es necesario volver a ellas. En el presente post trataremos uno de los conjuntos de políticas más destacados: La Instalación de Dispositivos.



Hoy en día las memorias flash y otros dispositivos de almacenamiento USB están en manos de todos, ya sean PenDrives, MP3, tarjetas de memoria o discos duros externos, en las empresas de hoy en día donde el uso de disqueteras y los lectores de CD-DVD hace tiempo que está deshabilitados para prevenir posibles gusanos, ataques internos y robos de datos suponen un claro riesgo de seguridad, pese a que algunos de estos problemas los podamos paliar con otras herramientas como Rights Management Services (RMS) o las distintas soluciones antimalware, todos somos cocientes de la posibilidad de que alguien ajeno a un departamento pueda en un momento dado conectarse a un equipo y en menos de 5 minutos llevarse información confidencial de la empresa en un dispositivo USB o peor aun: que un empleado en su último día de trabajo conecte uno de estos dispositivos a un equipo y lo infecte de manera intencionada con un gusano o un rootkit. La mejor solución a este problema es a la vez la más sencilla e intuitiva: imposibilitar la instalación de dispositivos externos. Antes de Windows Vista teníamos que recurrir a soluciones de terceros para aplicar esta medida, pero gracias a las nuevas políticas incorporadas en este S.O. esta situación ha cambiado.



Las nuevas políticas de restricción e instalación de hardware las encontramos en “Configuración de equipo > Plantillas administrativas > Sistema”. Dentro de las posibilidades de restricción de hardware tenemos dos conjuntos principales de políticas: “Acceso de Almacenamiento Extraíble” donde podremos deshabilitar las capacidades de lectura o escritura de distintos dispositivos e “Instalación de dispositivos” donde tendremos la posibilidad de restringir la instalación de los controladores de aquellos dispositivos que indiquemos, siempre que sus drivers no se encuentren ya instalados en el equipo.


 



 


La configuración de las políticas de uno y otro grupo son muy sencillas de configurar, simplemente habitamos o deshabilitamos las políticas según el comportamiento que deseemos, así, por ejemplo, si habilitamos la política “CD y DVD: denegar acceso de lectura” veremos que al intentar acceder a un CD en el equipo nos aparece una advertencia indicando “Acceso Denegado”


 
Así mismo si configuramos la política “impedir instalación de dispositivos extraíbles” comprobamos que al conectar un dispositivo extraíble, como una llave USB, nos aparece un globo de información indicándonos que no ha sido posible instalar el dispositivo.


 
Ambos tipos de políticas, las de “Acceso de Almacenamiento Extraíble” y las de “Instalación de dispositivos” tienen la capacidad de aplicarse a tipos de dispositivos personalizados, usando para ello el GUID de dicho tipo de dispositivos, es decir que teneros la capacidad de impedir el uso o instalación de diferentes dispositivos según su GUID. La forma más sencilla de saber el GUID de un dispositivo es comprobarlo en el “administrador de dispositivos” en la pestaña detalles de las propiedades del dispositivo a comprobar.


 


Por ultimo, en el caso de las políticas del tipo de “Instalación de dispositivos” tenemos la posibilidad de escribir un texto personalizado para el globo de información que nos aparece al no poder instalar los controladores.


 
Como habéis podido comprobar en este post, Windows Vista ha mejorado sustancialmente sus capacidades de administración en sus nuevas políticas de grupo, capacidades que sin duda no tardaremos mucho en verlas funcionando en muchas empresas de nuestro alrededor. Por mi parte continuaré descomponiendo el entresijo de políticas de Windows Vista en sucesivos posts. Me despido hasta entonces.

2 comentarios sobre “Políticas de Grupo en Windows Vista IV : Restriccion de hardware”

  1. Es interesante la opción de restringir el acceso al pendrive, el problema al menos en mi caso, es el siguiente.
    Dos Pen de distinto fabricante y de distinta capacidad, uno permite ReadyBost y el otro no, genial, evidentemente son distintos, excepto que el sistema les asigna el mismo GUID.
    Esto lo informe varias veces en la fase Beta y en los eventos previos a la presentación de Vista.
    ¿lo ponemos en bugs?

    Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *