Bloquear Windows 10 para aplicaciones específicas

  • Artículo

Aprende a configurar un dispositivo que ejecute Windows 10 Enterprise o Windows 10 Education para que los usuarios solo puedan ejecutar algunas aplicaciones específicas. El resultado es similar a un dispositivo de quiosco multimedia, pero con varias aplicaciones disponibles. Por ejemplo, puedes configurar un equipo de biblioteca para que los usuarios puedan buscar en el catálogo y navegar por Internet, pero no puedan ejecutar otras aplicaciones ni cambiar la configuración del equipo.

Con AppLocker, puedes restringir a los usuarios para que usen un conjunto específico de aplicaciones en un dispositivo con Windows 10 Enterprise o Windows 10 Education. Las reglas de AppLocker especifican qué aplicaciones se pueden ejecutar en el dispositivo.

Las reglas de AppLocker se organizan en colecciones basadas en formato de archivo. Si no existen reglas de AppLocker para una colección de reglas específica, todos los archivos con ese formato de archivo tienen permiso para ejecutarse. Sin embargo, cuando se crea una regla de AppLocker para una determinada colección de reglas, solo se pueden ejecutar los archivos explícitamente permitidos en dicha regla. Para más información, consulta Cómo funciona AppLocker.

En este tema se describe el procedimiento para bloquear aplicaciones en un dispositivo local. También puedes usar AppLocker para establecer reglas para aplicaciones de un dominio mediante la directiva de grupo.

instalar crear bloqueo personalizar

Instalar aplicaciones

En primer lugar, instala las aplicaciones deseadas en el dispositivo para las cuentas de usuario de destino. Esto funciona para Tienda y Win32. En el caso de aplicaciones de la Tienda, debes iniciar sesión como ese usuario para que se instale la aplicación. En el caso de Win32, puedes instalar una aplicación para todos los usuarios sin necesidad de iniciar sesión en la cuenta específica.

Usar AppLocker para establecer reglas de aplicaciones

Después de instalar las aplicaciones deseadas, configura las reglas de AppLocker para permitir aplicaciones específicas solamente y bloquear el resto.

  1. Ejecuta la directiva de seguridad local (secpol.msc) como administrador.

  2. Ve a Configuración de seguridad > Directivas de control de aplicaciones > AppLocker y selecciona Configurar la aplicación de reglas.

    configurar la aplicación de reglas

  3. Activa Configurado en Reglas ejecutables y luego haz clic en Aceptar.

  4. Haz clic con el botón derecho en Reglas ejecutables y luego haz clic en Generar reglas automáticamente.

    generar reglas automáticamente

  5. Selecciona la carpeta que contiene las aplicaciones que quieres permitir o selecciona C:\ para analizar todas las aplicaciones.

  6. Escribe un nombre para identificar este conjunto de reglas y haz clic en Siguiente.

  7. En la página Preferencias de reglas, haz clic en Siguiente. Ten paciencia porque la generación de reglas puede tardar un rato.

  8. En la página Revisar reglas, haz clic en Crear. El asistente va a crear un conjunto de reglas que permiten el conjunto de aplicaciones instaladas.

  9. Lee el mensaje y haz clic en .

    advertencia de reglas predeterminadas

  10. (opcional) Si quieres que una regla se aplique a un conjunto específico de usuarios, haz clic con el botón derecho en la regla y selecciona Propiedades. A continuación, usa el cuadro de diálogo para elegir otro usuario o grupo de usuarios.

  11. (opcional) Si las reglas se generaron para aplicaciones que no deben ejecutarse, puedes eliminarlas si haces clic con el botón derecho en la regla y seleccionas Eliminar.

  12. Antes de que AppLocker aplique reglas, debes activar el servicio Identidad de aplicación. Para forzar el inicio automático del servicio Identidad de aplicación durante el restablecimiento, abre un símbolo del sistema y ejecuta lo siguiente:

    sc config appidsvc start=auto

  13. Reinicia el dispositivo.

Otras opciones de bloqueo

Además de especificar las aplicaciones que los usuarios pueden ejecutar, es necesario restringir algunas funciones y opciones en el dispositivo. Para que la experiencia sea más segura, te recomendamos hacer los siguientes cambios en la configuración del dispositivo:

  • Quita Todas las aplicaciones.

    Ve a Editor de directivas de grupo > Configuración de usuario > Plantillas administrativas\Menú Inicio y barra de tareas\Quitar del menú Inicio la lista Todos los programas.

  • Oculta la característica Accesibilidad en la pantalla de inicio de sesión.

    Ve a Panel de control > Accesibilidad > Centro de accesibilidad y desactiva todas las herramientas de accesibilidad.

  • Deshabilita el botón de encendido del hardware.

    Ve a Opciones de energía > Elegir el comportamiento del botón de inicio/apagado, cambia la configuración a No hacer nada y después elige Guardar cambios.

  • Deshabilita la cámara.

    Ve a Configuración > Privacidad > Cámara y desactiva Permitir que las aplicaciones usen la cámara.

  • Desactiva las notificaciones de las aplicaciones en la pantalla de bloqueo.

    Ve a Editor de directivas de grupo > Configuración del equipo > Plantillas administrativas\Sistema\Inicio de sesión\Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo.

  • Deshabilita los medios extraíbles.

    Ve a Editor de directivas de grupo > Configuración del equipo > Plantillas administrativas\Sistema\Instalación de dispositivos\Restricciones de instalación de dispositivos. Revisa la configuración de directiva que hay disponible en Restricciones de instalación de dispositivos para la configuración aplicable a tu situación.

    Nota  

    Para impedir que esta directiva afecte a un miembro del grupo de administradores, ve a Restricciones de instalación de dispositivos y activa Permitir que los administradores invaliden las directivas de restricción de instalación de dispositivos.

     

Para más información sobre el bloqueo de funciones, consulta Personalizaciones de Windows 10 Enterprise.

Personalizar el diseño de la pantalla Inicio para el dispositivo

Configura el menú Inicio en el dispositivo para que solo muestre los iconos de las aplicaciones permitidas. Haz los cambios de forma manual, exporta el diseño a un archivo .xml y luego aplica ese archivo a los dispositivos para impedir que los usuarios hagan cambios. Para obtener instrucciones, consulta Administrar opciones de diseño de la pantalla Inicio de Windows 10.