Permitir que el usuario del dominio ejecute archivos por lotes solo desde una carpeta de red específica

Question

Windows 10 tiene 2 tecnologías diferentes para impedir que los usuarios ejecuten archivos por lotes, ejecutables o aplicaciones. Primero están los mayores.Políticas de restricción de softwareen segundo lugar haybloqueador de aplicaciones

Dado que las políticas de restricción de software 1803 de Windows 10 sonobsoletoy ya no se recomienda, así que me limitaré a Applocker.

Puede implementar políticas de Applocker a través de GPO y puede usarlo para restringir o permitir scripts/exes/apps/dlls

Debe crear un nuevo GPO en el que deberá navegar a "Configuración de la computadora" > "Políticas" > "Configuración de Windows" > "Configuración de seguridad" > "Políticas de control de aplicaciones" -> "Applocker"

Aplicación

Primero debe "Configurar la aplicación de reglas", allí debe marcar la casilla "Reglas de secuencia de comandos" y puede decidir entre "Aplicar reglas" y "Solo auditoría".

Enforce Rules se utiliza para obligar a la computadora a respetar las reglas, mientras que "Sólo auditoría" simplemente genera un evento de Windows que indicará si las reglas actuales bloquearán o permitirán que algo se ejecute. Se recomienda utilizar "Solo auditoría" hasta que esté claro si habilitar las reglas violará algo importante.

Normas

Ahí tienes las diferentes categorías.

Reglas ejecutables
Reglas del instalador de Windows
Reglas del guión
Reglas de aplicaciones empaquetadas

En su caso, necesita editar las reglas del script. Esas reglas se aplicarán, por ejemplo, para archivos ps1o (batver aquí para más)

Al editar un conjunto de reglas por primera vez, Windows debería preguntarle si desea agregar elreglas predeterminadasNormalmente esas reglas no deberían romper nada y se pueden agregar sin preocuparse demasiado.

Las políticas de Applocker no se cerrarán de forma predeterminadaEsto significa que si no tiene políticas definidas para manejar casos de uso normales, ¡se bloquearán!

Luego puede crear una nueva regla haciendo clic derecho en "Reglas de script" y luego haciendo clic en "Crear nueva regla...".

El diálogo de creación de reglas se explica más o menos por sí mismo. Lo que desea es una "Regla de ruta" que permita que los scripts se ejecuten desde una ruta determinada.

Ten en cuenta que \\servery \\server.fqdn.comson caminos diferentes.

Habilitando Applocker

Para que Applocker se ejecute, es necesario cumplir algunas condiciones.

Necesita Windows 10 Education o Enterprise si desea administrarlo a través de GPO 1.1. Si no lo hace, aún puede administrar Applocker a través de PowerShell.
Debe habilitar e iniciar automáticamente el "servicio de identidad de aplicación"

Answer 1

Windows 10 tiene 2 tecnologías diferentes para impedir que los usuarios ejecuten archivos por lotes, ejecutables o aplicaciones. Primero están los mayores.Políticas de restricción de softwareen segundo lugar haybloqueador de aplicaciones

Dado que las políticas de restricción de software 1803 de Windows 10 sonobsoletoy ya no se recomienda, así que me limitaré a Applocker.

Puede implementar políticas de Applocker a través de GPO y puede usarlo para restringir o permitir scripts/exes/apps/dlls

Debe crear un nuevo GPO en el que deberá navegar a "Configuración de la computadora" > "Políticas" > "Configuración de Windows" > "Configuración de seguridad" > "Políticas de control de aplicaciones" -> "Applocker"

Aplicación

Primero debe "Configurar la aplicación de reglas", allí debe marcar la casilla "Reglas de secuencia de comandos" y puede decidir entre "Aplicar reglas" y "Solo auditoría".

Enforce Rules se utiliza para obligar a la computadora a respetar las reglas, mientras que "Sólo auditoría" simplemente genera un evento de Windows que indicará si las reglas actuales bloquearán o permitirán que algo se ejecute. Se recomienda utilizar "Solo auditoría" hasta que esté claro si habilitar las reglas violará algo importante.

Normas

Ahí tienes las diferentes categorías.

Reglas ejecutables
Reglas del instalador de Windows
Reglas del guión
Reglas de aplicaciones empaquetadas

En su caso, necesita editar las reglas del script. Esas reglas se aplicarán, por ejemplo, para archivos ps1o (batver aquí para más)

Al editar un conjunto de reglas por primera vez, Windows debería preguntarle si desea agregar elreglas predeterminadasNormalmente esas reglas no deberían romper nada y se pueden agregar sin preocuparse demasiado.

Las políticas de Applocker no se cerrarán de forma predeterminadaEsto significa que si no tiene políticas definidas para manejar casos de uso normales, ¡se bloquearán!

Luego puede crear una nueva regla haciendo clic derecho en "Reglas de script" y luego haciendo clic en "Crear nueva regla...".

El diálogo de creación de reglas se explica más o menos por sí mismo. Lo que desea es una "Regla de ruta" que permita que los scripts se ejecuten desde una ruta determinada.

Ten en cuenta que \\servery \\server.fqdn.comson caminos diferentes.

Habilitando Applocker

Para que Applocker se ejecute, es necesario cumplir algunas condiciones.

Necesita Windows 10 Education o Enterprise si desea administrarlo a través de GPO 1.1. Si no lo hace, aún puede administrar Applocker a través de PowerShell.
Debe habilitar e iniciar automáticamente el "servicio de identidad de aplicación"

Permitir que el usuario del dominio ejecute archivos por lotes solo desde una carpeta de red específica

Respuesta1

Aplicación

Normas

Habilitando Applocker

información relacionada