• Artículo

Seguridad

Administración de restricciones de hardware mediante directivas de grupo

Jeremy Moskowitz,

 

Resumen:

  • Restricción de instalaciones de hardware
  • Restricción de dispositivos específicos
  • Restricción de clases de dispositivos

Sabe que es cierto: estas llaves en miniatura de disco USB y otros tipos de dispositivos extraíbles pueden facilitar la vida personal, pero hacer más difícil la vida profesional. Necesita una manera de controlar cuáles

dispositivos de hardware se pueden instalar y cuáles no. Afortunadamente, con directivas de grupo en Windows Vista™ y en la próxima versión de Windows Server® con nombre en código "Longhorn" tiene la opción de permitir los mouse USB pero deshabilitar las llaves de disco USB, permitir lectoras de CD-ROM, pero no grabadoras de DVD, o permitir Bluetooth pero no PCMCIA.

Dos secciones en la directiva de grupo pueden ayudarle a proteger su hardware: Configuración del equipo | Plantillas administrativas | Sistema | Acceso de almacenamiento extraíble (consulte la figura 1) y Configuración del equipo | Plantillas administrativas | Sistema | Instalación de dispositivo | Restricciones de instalación de dispositivos (consulte la figura 2).

Figura 1 Restricciones de hardware predefinidas en la directiva de grupo

Figura 1** Restricciones de hardware predefinidas en la directiva de grupo **(Hacer clic en la imagen para ampliarla)

Figura 2 Personalice las clases de hardware que desea restringir

Figura 2** Personalice las clases de hardware que desea restringir **(Hacer clic en la imagen para ampliarla)

El primer conjunto (Acceso de almacenamiento extraíble) no requiere mucha explicación: Si habilita una configuración de directiva para esa clase de medios de almacenamiento extraíbles (CD/DVD, disquete, etc.), puede restringir la lectura y/o escritura a ese tipo completo de dispositivo, si así lo desea. Pero no cuenta exactamente con los superpoderes que tienen las restricciones de instalación de dispositivos.

En Acceso de almacenamiento extraíble, hay grupos de configuración de directivas denominados clases personalizadas: Clases de denegar acceso de lectura y clases personalizadas: Denegar acceso de escritura. Suena bien, pero la directiva Acceso de almacenamiento extraíble no impide en realidad que se instalen los controladores, el controlador para la clase ya está instalado al detectar el hardware. Lo que la directiva hace es impedir que se lea del dispositivo o se escriba en él. En la sección siguiente, cuando explore la configuración de directiva Restricciones de instalación de dispositivos, bloquearé el uso del propio controlador completo.

Control de las clases y los identificadores

Lo primero es lo primero: necesita saber lo que desea restringir. Puede pensar en grande o en pequeño. Es decir, puede restringir una "clase" específica de dispositivos o ser muy específico y restringir sólo un tipo de hardware. O bien, puede hacer lo opuesto y permitir sólo clases específicas de dispositivo, como los mouse USB. Sin embargo, el truco es el siguiente: para que la acción sea realmente eficaz, necesita encontrar el hardware que quiere restringir.

Así, si quiere decir "No se puede instalar ningún controlador de joystick" y "Sólo se pueden instalar los mouse USB" necesita obtener un joystick y un mouse USB. La alternativa es usar Internet para buscar el Id. de hardware, Id. compatible o clase de dispositivo. Sin embargo, es mucho más sencillo si tiene uno de los dispositivos reales delante suyo. De esta manera, lo puede insertar en el equipo y consultar cuál es el Id. de hardware, Id. compatible o clase de dispositivo. Una vez conocido, sabrá exactamente cómo suprimirlo (o mantenerlo disponible).

En el siguiente ejemplo suprimiré una familia específica de tarjetas de sonido: una Creative AutoPCI ES1371/ES1373. Si desea suprimir algo más (por ejemplo, dispositivos USB específicos, puertos USB, etc.), sólo continúe y sustituya el dispositivo que desea.

Inicie el Administrador de dispositivos en un equipo que ya tiene instalados los elementos de hardware. Cuando encuentre el dispositivo, haga clic con el botón secundario, seleccione Propiedades y, a continuación, la ficha Detalles. De forma predeterminada, verá una "Descripción de dispositivo". Aunque interesante, no es de utilidad. Seleccione el elemento desplegable Propiedad y elija "Id. de hardware", tal como se muestra en la figura 3.

Figura 3 La ficha Detalles del dispositivo

Figura 3** La ficha Detalles del dispositivo **(Hacer clic en la imagen para ampliarla)

La página Id. de hardware muestra de arriba a abajo los Id. de dispositivo desde los más específicos a los menos específicos. Si examina detenidamente el elemento que se encuentra más arriba en la lista de valores de los Id. de hardware, verá que su tarjeta de sonido es específicamente una Rev 2 de la tarjeta de sonido ES1371. Esto es bastante específico. A medida que baja en la lista, la descripción pasa a ser menos específica para abarcar a la familia entera.

Además, puede cambiar la propiedad a Id. compatibles. Estos Id. también describen el hardware y se consideran menos específicos que los que encuentra en los Id. de hardware. Tiene la opción de usar la información en los Id. compatibles para intentar acorralar más hardware similar al suyo en su lista de "no usar", ya que es menos específico y quizá obtenga en realidad más resultados. Por supuesto, en compensación podría restringir algo que quizá no deseaba.

Y, por último, la categoría menos específica se encuentra al seleccionar la clase de dispositivo del elemento desplegable Propiedad. En mi caso, la tarjeta de sonido aparece simplemente como Medios. Pero varios elementos se pueden considerar Medios, de modo que nuevamente, en la medida que elija el menos específico más cauteloso deberá ser.

Una vez que haya decidido qué valor usar, haga clic con el botón secundario en él, seleccione Copiar y péguelo en el Bloc de notas para guardarlo en lugar seguro. Copiarlo directamente tal como se presenta es importante porque en los pasos siguientes, el valor deberá especificarse de manera idéntica. Todos los caracteres en mayúsculas y minúsculas del valor se deben transferir con precisión.

Si desea ser un comando de línea de comandos en vez de usar el Administrador de dispositivos para capturar lis Id. de hardware o las clases de dispositivo, consulte la utilidad Devcon de línea de comandos en la dirección support.microsoft.com/kb/311272. Y observe que Microsoft tiene varios identificadores para clases comunes que pueden ser de utilidad cuando no dispone de acceso físico al dispositivo; consulte la información en la dirección go.microsoft.com/fwlink/?LinkId=52665.

Control de acceso al hardware mediante directivas de grupo

Aunque exploraremos todas las configuraciones de directivas que se encuentran en Configuración del equipo | Plantillas administrativas | Sistema | Instalación de dispositivo | Restricciones de instalación de dispositivos (que se muestra en la figura 2), realmente existe sólo una que necesitaremos para completar este ejemplo inicial.

Cree primero un objeto de directiva de grupo (GPO) y establezca un vínculo a una unidad organizativa (o dominio, etc.) que contenga los equipos que ejecutan Windows Vista y que desee controlar. Ahora edite el GPO y profundice en Configuración del equipo | Plantillas administrativas | Sistema | Instalación de dispositivo | Restricciones de instalación de dispositivos | Impedir la instalación de dispositivos que coincidan con cualquiera de estos Id. de dispositivo. Seleccione Habilitada en la configuración de directiva, haga clic en Mostrar (también en la configuración de directiva) y, en el cuadro de diálogo "Mostrar contenido", seleccione Agregar. A continuación, en el cuadro de diálogo "Agregar elemento", pegue la información de dispositivo que guardó con anterioridad, tal como se muestra en la figura 4.

Figura 4 Pegado del Id. de dispositivo para capturar con exactitud la descripción

Figura 4** Pegado del Id. de dispositivo para capturar con exactitud la descripción **(Hacer clic en la imagen para ampliarla)

Ahora el truco está aquí. Si un equipo ya tiene instalado el dispositivo, no lo desinstala mágicamente y restringe el acceso al mismo. Por lo tanto, si está por restringir hardware, quizá desee hacerlo al comienzo de su implementación de Windows Vista. Sin embargo, debe tener en cuenta que Windows Vista siempre reexaminará un dispositivo que se elimina y vuelve a instalar. Elementos como unidades en miniatura USB (que se extraen y posteriormente se reinsertan) son entonces excelentes candidatos para este proceso. Dado que Windows Vista sólo reexamina el dispositivo cuando se vuelve a insertar, restringe en ese momento al dispositivo (incluso si el controlador de dispositivo se cargó inicialmente en el equipo). El problema más difícil tiene que ver con los dispositivos que se distribuyen con un equipo y no son extraídos y reinsertados. Y para estos dispositivos, no existe una solución obvia inmediata.

Cuando enciende un equipo que nunca antes reconoció el dispositivo de hardware, Windows intentará instalar el controlador, ofreciendo información de estado a medida que avanza la instalación. Si establece una directiva que restrinja tales dispositivos, obtendrá un resultado como el que se muestra en la figura 5.

Figura 5 Se evita la instalación de un dispositivo

Figura 5** Se evita la instalación de un dispositivo  **(Hacer clic en la imagen para ampliarla)

Más restricciones de hardware

En el ejemplo anterior, suprimimos únicamente un solo dispositivo. Si lo deseara, podría seguir el camino contrario; restringir todo el hardware de forma predeterminada y a continuación permitir alguno. Nuevamente, puede obtener una lista de esta configuración de directiva en la figura 2, que muestra la rama de la directiva de grupo Configuración del equipo | Plantillas administrativas | Instalación de dispositivo | Restricciones de instalación de dispositivos. Puede elegir entre varias configuraciones disponibles.

En primer lugar, aparece "Permitir que los administradores invaliden las directivas de restricción de instalación de dispositivos". De forma predeterminada, los administradores locales en Windows Vista deben respetar las restricciones establecidas. Si habilita esta configuración, los administradores locales pueden omitir la restricción e instalar cualquier hardware que deseen.

La siguiente es "Permitir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos". Si se escriben descripciones de dispositivo en esta configuración de directiva, se permite expresamente que estos dispositivos de hardware se instalen en el sistema. Observe que esta configuración de directiva respeta sólo clases de instalación, no Id. de dispositivo (como los que se usan en el ejemplo).

Para lograr el efecto contrario, puede establecer "Impedir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos".

Las dos configuraciones "Mostrar un mensaje personalizado cuando la directiva impida la instalación (texto del globo) y (título del globo)" le ayudan a personalizar el mensaje, tal como se muestra en la figura 5.

Como mencioné anteriormente, la manera menos específica de describir hardware se basa en la clase de hardware. Se debe tener en cuenta que la configuración de directiva "Permitir la instalación de dispositivos que coincidan con cualquiera de estos Id. de dispositivo" no respeta las descripciones de Id. de clase. Para usar las descripciones de Id. de clase, use "Permitir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos" o "Impedir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos". Esta última directiva se usa mejor con la configuración "Impedir la instalación de dispositivos no descritos por otras configuraciones de directiva". Al impedir todo (de forma predeterminada) y a continuación usar esta configuración, puede especificar con precisión cuáles dispositivos desea admitir.

En el ejemplo, usé la directiva "Impedir la instalación de dispositivos que coincidan con cualquiera de estos Id. de dispositivo" para restringir un tipo específico de hardware basado en los Id. de dispositivo. Si desea implementar restricciones mediante clases de dispositivo, deberá proporcionar otras configuraciones específicas de directiva tales como "Permitir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos" o "Impedir la instalación de dispositivos con controladores que coincidan con estas clases de instalación de dispositivos".

"Impedir la instalación de dispositivos extraíbles" es una manera rápida y genérica de restringir cualquier dispositivo de hardware que se describa a sí mismo como extraíble, incluidos los dispositivos USB. Esta configuración es bastante general, de modo que es mejor no usarla con mucha frecuencia. En su lugar, use las técnicas descritas anteriormente para obtener los Id. de dispositivo moderadamente restrictivos y bloquearlos específicamente.

Por último, "Impedir la instalación de dispositivos no descritos por otras configuraciones de directiva" es la configuración general de la directiva que restringe básicamente todo el hardware a menos que haya dictado específicamente que algo se puede instalar. Esta directiva junto con las diferentes directivas "Permitir" (tal como "Permitir la instalación de dispositivos que coincidan con cualquiera de estos Id. de dispositivo") conforman una herramienta realmente eficaz para permitir sólo el hardware que desea en su entorno.

Conclusión

La directiva de grupo en Windows Vista tiene varios nuevos superpoderes, que son de gran utilidad a la hora de permitir sólo el hardware deseado en el entorno. Implemente las configuraciones de directivas al comienzo de la implementación, para que el hardware que no desea en la red no encuentre en ningún momento una forma de conectarse.

Entrevista con Michael Dennis, director de administración de programas para directivas de grupo en Microsoft

Recientemente tuve la oportunidad de entrevistar a Michael Dennis, que ha dirigido el lanzamiento de directivas de grupo en Microsoft desde sus inicios. Michael deja el equipo de directivas de grupo para dedicarse a otras oportunidades en Microsoft. Conversé con Michael para reflejar los últimos nueve años de directivas de grupo, dónde estuvieron y hacia dónde van.

Jeremy Moskowitz Michael, pienso que muchas personas querrían conocer lo que consideras tus mejores logros durante tu tiempo dirigiendo el equipo de directivas de grupo en Microsoft.

Michael Dennis Los mayores logros nos remontan en el tiempo, cuando nos centramos en desarrollar lo que se conocería como directivas de grupo. Ya contábamos con directivas de sistema en Windows NT® 4.0, de modo que las examinamos junto con sus problemas. Dado que esto sucedió durante el período de desarrollo de Active Directory®, examinamos en dónde necesitábamos dirigir mejor la capacidad de administración de clientes y servidores.

La idea era que las directivas de grupo se construyeran en una jerarquía y el hecho de que esta idea nunca antes había sido realizada fue para nosotros muy importante. Entonces, nos concentramos en la infraestructura principal, los procesos cliente y en la integración con Active Directory.

El resultado de nuestro mejor logro fue también nuestro peor logro. Esto se debe a que la GUI que lanzamos al mercado con Windows 2000 fue problemática. Las personas necesitaban un doctorado en directivas de grupo para usarla de forma eficaz porque los administradores necesitaban conocer cómo funcionaba todo en conjunto. Hubiera deseado crear la Consola de administración de directivas de grupo (GPMC) y el Conjunto resultante de directivas (RSoP) y poder ofrecerlos en ese momento (se encontraba en las especificaciones).

JM ¿Qué elementos hubiera deseado que estuvieran incluidos en la experiencia de directivas de grupo?

MD Las buenas noticias son que todo lo que deseaba desde el lanzamiento de Windows 2000 ahora está aquí en Windows Vista; cosas como RSoP, la GPMC, configuraciones aumentadas, etc. Hubiera deseado que pudiéramos contar mucho tiempo antes con todo esto.

Además, deseo que nuestros asociados pudieran extender la infraestructura de directivas de grupo con mayor facilidad. Nuestro modelo de extensión del servidor/cliente requiere mucho trabajo de los desarrolladores. Sin embargo, se puede argumentar que nuestra estructura de plantilla ADM/ADMX ofrece un marco fácilmente extensible. Pero, sería todavía mejor si esa parte del sistema le permitiera a la gente extender más tipos de configuraciones.

También deseo que los informes de GPMC sean más extensibles para asociados y desarrolladores de herramientas de terceros. Es un área en que los proveedores de herramientas de terceros han protestado bastante.

JM ¿Qué es lo que las personas no conocen sobre el equipo de directivas de grupo?

MD A veces no está claro para las personas dónde encaja el equipo de directivas de grupo en el conjunto. La idea es que construimos la infraestructura, el transporte y las partes del extremo del servidor y del cliente. Pero sólo en Windows Vista nos hemos asociado con cerca de 120 equipos diferentes de Microsoft para obtener en su lugar las nuevas configuraciones para este lanzamiento.

Los lectores deben darse cuenta que las directivas de grupo no son responsables de los problemas de ralentización de sistema en el inicio del sistema ni en el inicio de sesión. Es la carga de las directivas de grupo la responsable de la ralentización. Si le dice a las directivas de grupo que realicen una tarea pesada, simplemente lo harán. Por ejemplo, si les dice que instalen por equipo Microsoft Office, fantástico. Pero sepa que harán lo solicitado; instalarán todo Office antes de que obtenga un mensaje de inicio de sesión. ¿Es eso ralentización? Seguro, pero como administrador que la implementó, es exactamente lo que deseaba que hiciera el sistema.

JM ¿Cuál es el aspecto favorito para destacar con el uso de directivas de grupo?

MD En estos días, me gustaría resaltar algunas de las nuevas configuraciones que se hicieron en Windows Vista. Las configuraciones para dispositivos extraíbles (restringir llaves USB, etc.) son configuraciones que las personas pedían. Existen cerca de 2.400 configuraciones disponibles en Windows Vista, que proporcionan a los administradores un nivel de control significativo. Me gusta preguntarles a los clientes lo que desean controlar y, a continuación, mostrarles cómo hacerlo.

JM ¿Por qué cambió de archivos ADM a ADMX?

MD Técnicamente, no necesitábamos hacerlo para obtener la nueva característica de almacén central de Windows Vista. El gran impulso para convertir a ADMX fue permitirnos ser compatibles con múltiples idiomas de una manera apropiada.

Anteriormente, en entornos con varios idiomas encontraba con frecuencia situaciones en que otro idioma escribía accidentalmente el contenido de los archivos ADM dentro de un GPO. Históricamente, pedimos prestado el formato ADM a Windows NT 4.0, que lo había pedido prestado a Windows 98, que a su vez lo había pedido prestado a Windows 95. Si XML hubiera estado entonces, habría sido un buen candidato para nuestro formato de archivo.

Pero, ahora que contamos con XML, resulta más fácil ser compatible con varios idiomas, y presenta oportunidades futuras para realizar mejoras en el Registro y en la configuración con nuestro idioma ahora esquematizado.

JM ¿Cuál fue el mayor desafío interno que tuvo que vencer al trabajar en el equipo de GP?

MD El mayor problema constante que enfrenta el equipo es tratar de hacer que otros componentes de Windows tengan sus características habilitadas mediante directivas.

El equipo X quizá responda "Hemos generado esta fabulosa nueva característica. ¿Por qué quisiera alguien desactivarla?" Y lo podemos entender. Pero trabajamos con muchos de estos problemas.

También existen desafíos técnicos respecto a la habilitación de ciertas funciones mediante directivas, por ejemplo, el nuevo Firewall de Windows con seguridad avanzada (WFAS). WFAS fue difícil de realizar. No es fácil ni directo habilitarlo correctamente mediante directivas. La interfaz que el equipo de WFAS creó para Windows Vista es magnífica, pero fue difícil realizarla de manera correcta.

En versiones de Windows anteriores a Windows Vista, los equipos de producto en sí mismos no siempre pensaban en habilitar sus componentes mediante directivas. Pero, durante el desarrollo de Windows Vista, un número razonable de equipos nos preguntó cómo hacerlo. ¡Eso fue tremendo!

JM ¿Con qué seguirá?

MD Me traspaso al equipo "Trabajador de información móvil" que tiene bajo su responsabilidad los teléfonos inteligentes, equipos Pocket PC, etc. Mi función será extender algunas de las tecnologías de administración de Windows Server System a dispositivos Windows Mobile®.

Intentaré tener la misma visión y pasión por la capacidad de administración y aplicarla en este nuevo espacio. Mientras tanto, dejo el equipo de directivas de grupo en una posición excepcional para que siga avanzando sin mi presencia.

JM ¿Hay algo más que quiera decirles a nuestros lectores?

MD A lo largo del desarrollo de directivas de grupo, un paso importante fue estar al lado de los clientes y entender realmente lo que intentaban hacer. Si los clientes tienen una opinión bien estructurada de los escenarios que les gustaría ver cubiertos por directivas de grupo y tienen un ejemplo de negocios donde realizarlo, nos lo deben comunicar.

Contamos con un buen mecanismo de comentarios disponible para todos en la dirección WindowsServerFeedback.com. Busque el botón Group Policy (Directivas de grupo).

Si su gente puede decir "Éste es mi problema, éste es mi ejemplo de negocio y necesito que el sistema pueda hacer esto y el porqué es éste", esa clase de información es muy pero que muy valiosa para nosotros. Los que toman decisiones sobre directivas de grupo avanzan mientras leen cada entrada que viene de ese origen.

Nuevamente, si quiere tener repercusión en la forma que avanzan las directivas de grupo, cuéntenos lo que necesita. Pero por favor, no nos diga "Necesitamos una configuración de directiva que haga X" sin decirnos porqué. Nuestro trabajo es resolver el "cómo". Lo que el equipo de directivas de grupo realmente necesita conocer es el "por qué".

JM Gracias por dedicarnos tiempo para contarnos sobre tus experiencias en el equipo de directivas de grupo en Microsoft. ¡Qué tengas suerte!

MD Gracias, Jeremy.

**Jeremy Moskowitz,**MCSE y MVP en directivas de grupo, dirige GPanswers.com, un foro comunitario sobre directivas de grupo. También dirige una serie de talleres intensivos de aprendizaje sobre directivas de grupo. Su último libro es Group Policy: Management, Troubleshooting and Security (Sybex, 2007). Póngase en contacto con Jeremy en la dirección www.GPanswers.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.