Windows 7 proporciona una herramienta llamada AppLocker que permite bloquear ciertas aplicaciones. De esta forma podemos decidir qué programas se ejecutan en el PC impidiendo así que los usuarios pongan en marcha aplicaciones que consideremos peligrosas o no apropiadas.
Además, con Applocker es posible definir reglas para impedir o permitir el uso de programas que podemos extender a grupos. Estas reglas se pueden basar, entre otros criterios en los atributos de la firma del desarrollador de las aplicaciones.
También permite crear excepciones, importar o exportar reglas y otras herramientas de administración. En nuestro caso vamos a ver cómo podemos impedir el funcionamiento de un programa concreto. Podemos utilizar AppLocker también para permitir el funcionamiento solo de ciertos programas y únicamente a determinados usuarios o grupos.
Paso 1. Abre el editor de directivas de grupo local
AppLocker es una herramienta de seguridad que pertenece al editor de directivas local, una aplicación que permite aplicar reglas a usuarios y a grupos. Para poder ejecutar el editor acudiremos al menú inicio y en el buscador escribiremos gpedit.msc y pulsaremos la tecla Enter.
En pantalla aparecerá la ventana del editor. La sección que nos interesa se encuentra dentro de Configuración del equipo, onfiguración de Windows, Configuración de seguridad, Directivas de control de aplicaciones y finalmente abriremos la carpeta Applocker.
Paso 2. Crea un nueva regla
En la ventana que aparecerá podemos ver información sobre AppLocker. Podemos acceder al texto de la ayuda haciendo clic tanto en Más información acerca de AppLocker como en ¿Qué ediciones de WIindows admiten AppLocker? Más abajo podemos ver la sección que nos permitirá configurar cómo se aplican las reglas sobre aplicaciones. En esta configuración podemos hacer que AppLocker funciones en modo auditoría, por lo que las reglas no se aplicarán pero podremos saber si las aplicaciones sujetas a la regla han sido ejecutadas en el log de AppLocker.
Para comenzar la creación de las reglas, acudiremos a la sección Introducción. Como veremos aparecen tres tipos de reglas que podemos crear: Reglas ejecutables, Reglas de Windows Installer y finalmente Reglas de scripts. Lo que nos interesa es la primera opción por lo que haremos clic sobre ella.
Como veremos, la lista de reglas de ejecutables está vacía. Para crear una regla nueva haremos clic con el botón derecho del ratón. Aparecerá un menú en el que veremos varias opciones para crear reglas. Podemos Crear reglas predeterminadas y así poner en marcha una serie de reglas ya establecidas, Generar reglas automáticamente que permite crear reglas para un grupo de aplicaciones o de usuarios y Crear nueva regla con la que iremos definiendo las reglas una a una.
Si creamos reglas generalizadas, podemos crear luego excepciones creando una regla particular. En nuestro caso y para impedir la ejecución de un programa elegiremos Crear nueva regla.
Paso 3. Datos de la regla
Una vez escogida esta opción, se pondrá en marcha el asistente. En primer lugar nos mostrará información sobre los pasos que vamos a dar, además nos ofrecerá una lista de pasos que debemos seguir antes de empezar a crear la regla.
Lo primero es elegir qué tipo de regla vamos a establecer. En el caso de ser una excepción, es decir, otorgar un permiso de ejecución a un programa concreto cuando se ha denegado la ejecución a un conjunto, elegiremos Permitir. En nuetro caso elegiremos Denegar para impedir la ejecución del programa. Elegiremos a qué usuario o grupo se aplica la regla haciendo clic en Seleccionar.
El siguiente paso es identificar la aplicación a la que vamos a aplicar la regla. La forma más eficaz es la de utilizar la firma del editor del software haciendo clic en Editor. En esta opción podemos identificar ese programa en concreto, pero si subimos la barra de desplazamiento podemos ser menos restrictivos. Si por ejemplo la subimos una marca, podemos prohibir la ejecución de esa aplicación y versiones sucesivas (que tengan el mismo nombre de aplicación y el mismo editor).
Si elegimos la opcíon Ruta de acceso identificaremos al programa simplemente identificaremos al programa por el archivo que lo contiene. La tercera opción, el Hash de archivo, permite identificar un programa con un código de seguridad. Esto identificará el archivo ejecutable de forma única, impidiendo la aplicación de la regla si el archivo se actualiza o sufre alguna otra modificación. Pulsaremos en Siguiente cuando hayamos terminado.
El siguiente paso es el de definir un nombre y descripción de la regla. Esto nos permitirá localizarla para su modificación o borrado posterior. Para que la regla empiece a funcionar haremos clic en Crear.
Una vez creada la regla la podremos ver en el listado que orfrece AppLocker. Podremos eliminar o modificar reglas haciendo clic con el botón derecho sobre cualquiera de ellas y eligiendo la opción correspondiente.
