Guía paso a paso para controlar la instalación y uso de dispositivos con Group Policy Microsoft Corporation Fecha de publicación: julio de 2006 Autor: Dave Bishop Editor: Scott Somohano Revisores técnicos: George Roussos, Emily Hill, Jim Cavalaris, Takashi Eto Sinopsis Con los sistemas operativos Microsoft® Windows Server® Code Name "Longhorn" y Windows Vista™, los administradores pueden determinar los dispositivos que se pueden instalar en los equipos que administran. La guía resume el proceso de instalación de dispositivos y muestra varias técnicas para controlar la instalación y el uso de dispositivos en los equipos administrados. Este documento sirve de soporte a una versión preliminar de un producto de software que puede cambiar sustancialmente antes de su versión comercial final, y es información confidencial y patentada por Microsoft Corporation. Esta información se revela conforme a un acuerdo de no divulgación entre el receptor y Microsoft. La finalidad de este documento es meramente informativa y Microsoft no otorga garantías, ni expresa ni implícitamente, en este documento. La información aquí ofrecida, incluyendo los URL y otras referencias a sitios Web, está sujeta a cambios sin previo aviso. El usuario asume los riesgos o los resultados del uso de este documento. A menos que se indique lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio, direcciones de e-mail, logotipos, personas, lugares y eventos citados son ficticios, y no hay asociación alguna con empresas, organizaciones, productos, nombres de dominio, direcciones de e-mail, logotipos, personas, lugares o eventos reales que puedan o pudieran inferirse. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos bajo copyright, ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación, o de otra manera) con ningún propósito, sin la autorización previa por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre el contenido de este documento. La posesión de este documento no le otorga ninguna licencia sobre estas patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft. © 2006 Microsoft Corporation. Todos los derechos reservados. Microsoft, MS-DOS, Windows, Windows Server, Windows Vista y Active Directory (Directorio Activo) son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/u otros países. Las referencias a productos de terceros o sus identificadores hardware son meramente ilustrativos. Dichos productos no están avalados por Microsoft Corporation. Todas las demás marcas registradas son propiedad de sus respectivos propietarios. Contenido Guía paso a paso para controlar la instalación y uso de dispositivos con Group Policy ... 5 ¿Quién debe utilizar esta guía? ................................................................................... 6 Beneficios de controlar la instalación de dispositivos utilizando Group Policy ............ 6 Visión general del escenario ........................................................................................... 6 Panorámica de la tecnología ........................................................................................... 8 Instalación de dispositivos en Windows ................................................................... 8 Configuración de Group Policy para la instalación de dispositivos ........................ 11 Configuración de Group Policy para acceder al almacenamiento removible ......... 14 Requisitos para completar los escenarios ..................................................................... 17 Procedimientos previos .............................................................................................. 18 Cómo responder a la página User Account Control ............................................... 18 Determinar las cadenas de identificación de dispositivo de la unidad de memoria USB ..................................................................................................................... 19 Desinstalar la unidad de memoria USB .................................................................. 24 Evitar la instalación de todos los dispositivos................................................................ 25 Prerrequisitos para impedir la instalación de todos los dispositivos .......................... 25 Pasos para impedir la instalación de todos los dispositivos ...................................... 25 Paso 1: Configurar la directiva para impedir la instalación de cualquier dispositivo . 25 Paso 2: Configurar la directiva para permitir a los administradores ignorar las restricciones de instalación de dispositivos ............................................................ 26 Paso 3: Probar como usuario los efectos de la configuración de las restricciones ... 27 Permitir a los usuarios instalar únicamente los dispositivos autorizados ...................... 30 Prerrequisitos para permitir a los usuarios la instalación únicamente de los dispositivos autorizados .......................................................................................... 30 Pasos para permitir a los usuarios la instalación únicamente de los dispositivos autorizados ............................................................................................................. 30 Paso 1: Crear una lista de los dispositivos autorizados ............................................. 30 Paso 2: Probar como usuario los efectos de la lista de dispositivos autorizados...... 32 Evitar la instalación de dispositivos prohibidos ............................................................. 34 Prerrequisitos para evitar la instalación de dispositivos prohibidos ........................... 34 Pasos para evitar la instalación de dispositivos prohibidos ....................................... 36 Paso 1: Crear una lista de dispositivos prohibidos .................................................... 36 Paso 2: Probar la lista de dispositivos prohibidos ...................................................... 38 Control de los permisos de lectura y escritura en los medios removibles .................... 40 Prerrequisitos para controlar los permisos de lectura y escritura en los medios removibles ............................................................................................................... 41 Pasos para controlar los permisos de lectura y escritura en los medios removibles 41 Paso 1: Establecer la directiva de equipo para denegar el acceso de escritura a clases de dispositivos removibles específicos........................................................ 41 Paso 2: Probar la configuración de la directiva de equipo ......................................... 42 Conclusión ..................................................................................................................... 44 Registro de errores e información ................................................................................. 44 Recursos adicionales ..................................................................................................... 45 5 Guía paso a paso para controlar la instalación y uso de dispositivos con Group Policy Esta guía por pasos describe cómo controlar la instalación y el uso de los dispositivos en los ordenadores. En concreto, en Microsoft® Windows Server® Code Name "Longhorn" y Windows Vista™ puede aplicar la directiva de equipo para: Impedir que los usuarios instalen un dispositivo. Permitir a los usuarios instalar únicamente los dispositivos que se encuentran en una lista de dispositivos "autorizados". Si un dispositivo no está en la lista, entonces el usuario no podrá instalarlo. Impedir que los usuarios instalen dispositivos que se encuentran en una lista "prohibidos". Si un dispositivo no está en la lista, entonces el usuario podrá instalarlo. Denegar a los usuarios el acceso de lectura o escritura a los dispositivos removibles, o que utilizan medios removibles, como las grabadoras de CD y DVD, las unidades de disquete, los discos duros externos y los dispositivos portátiles, como los reproductores de medios, los teléfonos inteligentes o los dispositivos Pocket PC. Esta guía describe el proceso de instalación de un dispositivo e introduce las cadenas de identificación que Windows utiliza para emparejar un dispositivo con los paquetes de controladores de dispositivo disponibles en un ordenador. La guía también ilustra tres métodos para controlar la instalación de dispositivos. Cada escenario muestra, paso a paso, un método que puede seguir para permitir o denegar la instalación de un dispositivo específico o una clase de dispositivos. El cuarto escenario muestra cómo denegar el acceso de lectura o escritura de los usuarios a los dispositivos que son removibles o que utilizan dispositivos removibles. Como ejemplo se utiliza un dispositivo de almacenamiento USB, aunque puede utilizar un dispositivo diferente para seguir los pasos de esta guía. No obstante, si utiliza un dispositivo diferente, las instrucciones de la guía no coincidirán exactamente con la interfaz de usuario que aparecerá en su ordenador. Importante Los pasos ofrecidos en esta guía están pensados para su uso en un entorno de prácticas. Esta guía por pasos no está pensada para que la utilice para implantar 6 las características de Windows Server sin la documentación que le acompaña y debe utilizarse con prudencia como documento independiente. ¿Quién debe utilizar esta guía? Esta guía está dirigida a los siguientes usuarios: Planificadores y analistas de las tecnologías de la información que están evaluando Windows Vista y Windows Server "Longhorn". Planificadores y diseñadores de tecnologías de la información en una empresa. Arquitectos de seguridad que son responsables de implementar un sistema informático fiable en su empresa. Administradores que quieren familiarizarse con la tecnología. Beneficios de controlar la instalación de dispositivos utilizando Group Policy La restricción de los dispositivos que los usuarios pueden instalar ofrece los siguientes beneficios: Reduce el riesgo del robo de datos. A los usuarios les resulta más difícil hacer copias no autorizadas de los datos de la empresa si en sus equipos no pueden instalar dispositivos prohibidos que soporten medios removibles. Por ejemplo, si los usuarios no pueden instalar un dispositivo CD-R, no podrán hacer copias de los datos de la empresa en un CD grabable. Esta ventaja no puede impedir el robo de datos, pero crea otra barrera ante su extracción no autorizada. También puede reducir el riesgo del robo de datos utilizando Group Policy para impedir a los usuarios el acceso de escritura a los dispositivos removibles o que utilizan medios removibles. Al utilizar Group Policy puede otorgar acceso por grupo. Reduce los costes de soporte. Puede asegurarse de que todos los usuarios instalen únicamente aquellos dispositivos para cuyo soporte su escritorio de ayuda está preparado y equipado. Este beneficio reduce los costes de soporte y la confusión del usuario. Visión general del escenario Los escenarios presentados en esta guía ilustran cómo puede controlar la instalación y uso de dispositivos en los equipos que administra. Los escenarios utilizan Group Policy en un equipo local para simplificar el uso de procedimientos en el entono de pruebas. En 7 un entorno donde administre varios equipos cliente, debe aplicar estos ajustes mediante Group Policy implantado por Active Directory. Al hacerlo así, puede aplicar ajustes a todos los ordenadores que son miembros de un dominio o unidad organizativa en un dominio. Si desea más información sobre cómo utilizar Group Policy para administrar sus ordenadores cliente, consulte "Group Policy" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkid=55625). A continuación tiene una descripción de los escenarios presentados en esta guía: Evitar la instalación de todos los dispositivos. En este escenario, el administrador quiere impedir a los usuarios normales la instalación de dispositivos, pero no así a los administradores, que podrán instalarlos y actualizarlos. Para completar este escenario, configurará dos directivas de equipo. La primera impide que todos los usuarios instalen dispositivos, mientras que la segunda exime a los administradores de estas restricciones. Permitir a los usuarios instalar únicamente los dispositivos autorizados. En este escenario el administrador quiere permitir a los usuarios instalar únicamente los dispositivos incluidos en una lista de dispositivos autorizados. Este escenario se basa en el primero y, por tanto, debe completar el primer escenario antes de pasar a este segundo. Para completar este escenario, creará una lista de dispositivos autorizados para que los usuarios puedan instalar únicamente los dispositivos especificados. Impedir la instalación únicamente de los dispositivos prohibidos. En este escenario, el administrador quiere que los usuarios normales puedan instalar la mayoría de los dispositivos, pero también quiere evitar que instalen los dispositivos incluidos en una lista de dispositivos prohibidos. Para completar este escenario debe eliminar las directivas que se crean en los dos escenarios anteriores. Una vez eliminadas, creará una lista de dispositivos prohibidos para que los usuarios puedan instalar cualquier dispositivo, excepto los especificados. Controlar el uso de los dispositivos de almacenamiento de medios removibles. En este escenario, el administrador quiere impedir que los usuarios normales puedan escribir datos en dispositivos de almacenamiento removibles, o en dispositivos con medios removibles, como una unidad de memoria USB o una grabadora de CD o DVD. Para completar este escenario, configurará una directiva de equipo para permitir el acceso de lectura, pero denegará el acceso de escritura al dispositivo de muestra y a cualquier dispositivo de grabación de CD o DVD del equipo. 8 Panorámica de la tecnología Las siguientes secciones ofrecen una panorámica breve de las principales tecnologías que se explican en esta guía. Instalación de dispositivos en Windows Un dispositivo es una pieza de hardware con la que Windows interactúa para llevar a cabo alguna función. Windows puede comunicarse con un dispositivo únicamente a través de una porción de software denominada controlador de dispositivo. Para instalar un controlador de dispositivo, Windows detecta el dispositivo, reconoce su tipo y, después, localiza el controlador que coincide con ese tipo. Windows utiliza dos tipos de identificadores para controlar la instalación y configuración de dispositivos. Puede utilizar la configuración de Group Policy de Windows Vista y Windows Server "Longhorn" para especificar cuál de estos identificadores permitir o bloquear. Los dos tipos de identificadores son: Cadenas de identificación del dispositivo. Clases de configuración de dispositivos. Cadenas de identificación del dispositivo Cuando Windows detecta un dispositivo que nunca se ha instalado en el equipo, el sistema operativo consulta al dispositivo a fin de recuperar su lista de cadenas de identificación. Un dispositivo normalmente tiene varias cadenas de identificación asignadas por el fabricante. Las mismas cadenas de identificación del dispositivo son las que se incluyen en el archivo .inf que forma parte del paquete de controladores de dispositivos. Windows decide el paquete de controlador que debe instalar emparejando las cadenas de identificación recuperadas del dispositivo con las incluidas en los paquetes de controladores. Windows puede utilizar cada cadena para emparejar un dispositivo con un paquete de controlador. Las cadenas van desde las muy específicas, que sólo coinciden con una marca y un modelo concretos de un dispositivo, hasta las muy generales, que posiblemente se pueden aplicar a una clase completa de dispositivos. Hay dos tipos de cadenas de identificación de dispositivos: IDs de hardware. Los IDs de hardware son lo identificadores que proporcionan la coincidencia más exacta entre un dispositivo y un paquete controlador. La primera cadena de la lista de IDs de hardware se conoce como ID de dispositivo, porque coincide con la marca, modelo y versión exactos del dispositivo. Los demás IDs de 9 hardware de la lista coinciden exactamente con los detalles del dispositivo. Por ejemplo, un ID de hardware puede identificar la marca y el modelo del dispositivo, pero no la versión específica. Este esquema permite a Windows utilizar un controlador para una versión diferente del dispositivo, si no está disponible el controlador para la versión exacta. IDs compatibles. Windows utiliza estos identificadores para seleccionar un controlador de dispositivo si el sistema operativo no encuentra una coincidencia con el ID de dispositivo o cualquiera de los otros IDs de hardware. Los IDs compatibles se enumeran en orden de idoneidad decreciente. Estas cadenas son opcionales y, cuando se suministran, son muy genéricas: por ejemplo, Disc. Cuando la coincidencia se realiza con un ID compatible, normalmente sólo se pueden utilizar las funciones más básicas del dispositivo. Al instalar un dispositivo (por ejemplo, una impresora, un dispositivo de almacenamiento USB o un teclado), Windows busca paquetes de controlador que coincidan con el dispositivo que intenta instalar. Durante esta búsqueda, Windows asigna un “rango” a cada paquete de controlador que tenga al menos una coincidencia con un ID de hardware o compatible. El rango indica lo adecuadamente que coincide el controlador con el dispositivo. Los números de rango más bajos indican las mejores coincidencias entre el controlador y el dispositivo. Un rango de cero representa la mejor coincidencia posible. Una coincidencia con el ID de dispositivo a uno en el paquete de controlador da como resultado un rango (mejor) inferior que una coincidencia con uno de los otros IDs de hardware. De forma parecida, una coincidencia con un ID de hardware ofrece un rango mejor que una coincidencia con cualquiera de los IDs compatibles. Una vez que Windows ha clasificado todos los paquetes de controlador, instala el que tiene el rango global más bajo. Si desea más información sobre el proceso de clasificación y selección de paquetes de controlador, consulte "How Setup Selects Drivers" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=54881). Si lo que quiere es información sobre el proceso de instalación de un controlador de dispositivo, consulte la sección "Technology review" de la guía "Step-by-Step Guide to Device Driver Signing and Staging" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkID=69208). Algunos dispositivos físicos crean uno o más dispositivos lógicos cuando se instalan. Cada dispositivo lógico podría manipular parte de la funcionalidad del dispositivo físico. Por ejemplo, un dispositivo multifunción, como los “todo en uno” (escáner/fax/impresora), podría tener una cadena de identificación de dispositivo diferente para cada función. Al utilizar las directivas de restricción de la instalación de dispositivos con el fin de permitir o denegar la instalación de un dispositivo que hace uso de dispositivos lógicos, debe permitir o impedir todas las cadenas de identificación de dispositivo de ese dispositivo. Por ejemplo, si un usuario intenta instalar un dispositivo que no funciona bien y no permitió o impidió todas las cadenas de identificación de los dispositivos físicos y 10 lógicos, podría obtener unos resultados inesperados en su intento de instalación. Si desea información más detallada sobre los IDs de hardware, consulte "Device Identification Strings" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkid=52665). Clases de configuración de dispositivos Las clases de configuración de dispositivo son otro tipo de cadena de identificación. El fabricante asigna la clase de configuración de dispositivo a un dispositivo en el paquete de controlador del dispositivo. La clase de configuración de dispositivo agrupa los dispositivos que se instalan y configuran de la misma forma. Por ejemplo, todas las unidades de CD pertenecen a la clase de configuración de dispositivos de CD-ROM, y utilizan el mismo co-instalador para instalarse. Un largo número denominado Identificador globalmente único (GUID) representa la clase de configuración de dispositivo. Cuando se inicia Windows, éste crea en la memoria una estructura en forma de árbol con los GUIDs de todos los dispositivos detectados. Junto con el GUID para la clase de configuración del dispositivo del propio dispositivo, es posible que Windows tenga que insertar en el árbol el GUID de la clase de configuración de dispositivo del bus al que se encuentra conectado el dispositivo. Cuando utiliza las clases de configuración de dispositivo para permitir o impedir que los usuarios instalen controladores de dispositivo, debe especificar los GUIDs para todas las clases de configuración de dispositivo del dispositivo, o no alcanzará los resultados que persigue. La instalación podría fallar (si su intención era permitirla) o podría ser satisfactoria (si quería que fallase). Por ejemplo, un dispositivo multifunción, como las impresoras multifuncionales (escáner/fax/impresora), tienen un GUID para un dispositivo multifunción genérico, un GUID para la función de impresora, un GUID para la función de escáner, etcétera. Los GUIDs para las funciones individuales son “nodos hijo” dependientes del GUID del dispositivo multifunción. Para instalar un nodo hijo, Windows también debe poder instalar el nodo padre. Debe permitir la instalación de la clase de configuración de dispositivo del GUID padre para el dispositivo multifunción, además de los GUIDs hijo correspondientes a las funciones de impresora y escáner. Si desea más información, consulte "Device Setup Classes" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=52662). Esta guía no describe ningún escenario que haga uso de las clases de configuración de dispositivo. No obstante, los principios básicos mostrados con las cadenas de identificación de dispositivos en esta guía también se pueden aplicar a las clases de configuración de dispositivo. Una vez descubierta la clase de configuración de dispositivo 11 de un dispositivo específico, puede utilizarla entonces en una directiva para permitir o impedir la instalación de controladores de dispositivo para esa clase de dispositivos. Configuración de Group Policy para la instalación de dispositivos Para activar el control sobre la instalación de dispositivos, Windows Vista y Windows Server "Longhorn" introducen varias configuraciones de directiva. Estas configuraciones las puede establecer individualmente en un solo equipo, o puede aplicarlas a un gran número de equipos mediante el uso de Group Policy en un dominio Active Directory. Si desea más información sobre cómo utilizar Group Policy para administrar sus equipos cliente, consulte "Group Policy" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkid=55625). Si quiere aplicar las configuraciones a un solo equipo o a muchos equipos de un dominio Active Directory, utilice Group Policy Object Editor para configurar y aplicar las configuraciones de la directiva. Si desea más detalles, consulte "Group Policy Object Editor Technical Reference" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=56390). A continuación tiene una descripción breve de las directivas de instalación de dispositivos que se utilizan en esta guía. Nota Estas configuraciones de directiva afectan a todos los usuarios que inician una sesión en el equipo donde se han aplicado dichos ajustes. Estas directivas no se pueden aplicar a usuarios o grupos específicos, excepto la directiva Allow administrators to override device installation policy. Esta directiva exime a los miembros del grupo Administradores local de cualquiera de las restricciones de instalación de dispositivos que se apliquen al equipo mediante la configuración de otros ajustes de directiva descritos en esta sección. Prevent installation of devices not described by other policy settings. Esta directiva controla la instalación de los dispositivos que no están descritos específicamente por ninguna otra directiva. Si activa esta directiva, los usuarios no podrán instalar o actualizar el controlador de los dispositivos a menos que estén descritos por la directiva Allow installation of devices that match these device IDs o por la directiva Allow installation of devices for these device classes. Si desactiva o no configura esta directiva, los usuarios podrán instalar y actualizar el controlador de cualquier dispositivo que no esté descrito por alguna de estas directivas: Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes o Prevent installation of removable devices. 12 Allow administrators to override device installation policy. Esta directiva permite a los miembros del grupo Administradores local instalar y actualizar los controladores de cualquier dispositivo, sin tener en cuenta la configuración de otras directivas. Si activa esta directiva, los administradores podrán utilizar el asistente Add Hardware Wizard o el asistente Update Driver Wizard para instalar y actualizar los controladores de cualquier dispositivo. Si desactiva o no configura esta directiva, los administradores estarán sujetos a todas las directivas que restringen la instalación de dispositivos. Prevent installation of devices that match these device IDs. Esta directiva especifica una lista con los IDs de hardware Plug and Play y los IDs compatibles de los dispositivos que los usuarios no pueden instalar. Si activa esta directiva, los usuarios no podrán instalar o actualizar el controlador de un dispositivo si cualquiera de sus IDs de hardware o IDs compatibles coincide con alguno de esta lista. Si desactiva o no configura esta directiva, los usuarios podrán instalar dispositivos y actualizar sus controladores, según lo permitido por la configuración de otras directivas de instalación de dispositivos. Nota Esta directiva tiene prioridad sobre cualquier otra que permita a los usuarios instalar un dispositivo. Esta directiva impide a los usuarios instalar un dispositivo, aun cuando exista otra directiva que permite su instalación. Prevent installation of drivers matching these device setup classes. Esta directiva especifica una lista con los GUIDs de clase de configuración de dispositivos Plug and Play de los dispositivos que los usuarios no pueden instalar. Si activa esta directiva, los usuarios no podrán instalar o actualizar los controladores de un dispositivo que pertenezcan a cualquiera de las clases de configuración de dispositivo enumeradas. Si desactiva o no configura esta directiva, los usuarios podrán instalar y actualizar los controladores de los dispositivos según lo permitido por otras directivas para la instalación de dispositivos. Nota Esta directiva tiene prioridad sobre cualquier otra que permita a los usuarios instalar un dispositivo. Esta directiva impide a los usuarios instalar un dispositivo, aun cuando exista otra directiva que permite su instalación. Allow installation of devices that match any of these device IDs. Esta directiva especifica una lista de IDs de hardware Plug and Play e IDs compatibles que describen los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para ser utilizada únicamente cuando está activada la directiva Prevent installation of devices not described by other policy settings y no tiene prioridad 13 sobre cualquier otra directiva que pueda impedir a los usuarios instalar un dispositivo. Si activa esta directiva, los usuarios podrán instalar y actualizar cualquier dispositivo que tenga un ID de hardware o un ID compatible coincidente con un ID de la lista si esa instalación no se ha denegado específicamente mediante Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes o Prevent installation of removable devices. Si otra directiva impide a los usuarios instalar un dispositivo, los usuarios no podrán instalarlo, aun cuando el dispositivo también esté descrito por un valor en esta directiva. Si desactiva o no configura esta directiva y ninguna otra describe el dispositivo, la directiva Prevent installation of devices not described by other policy settings determina si los usuarios pueden instalar el dispositivo. Allow installation of devices using drivers for these device classes. Esta directiva especifica una lista de GUIDs de clase de dispositivo que describe los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para utilizarse sólo cuando está activada la directiva Prevent installation of devices not described by other policy settings y no tiene prioridad sobre cualquier otra directiva que pudiera impedir a los usuarios instalar un dispositivo. Si activa esta configuración, los usuarios podrán instalar y actualizar cualquier dispositivo con una clase de dispositivo que coincida con alguno de los GUIDs de clase de esta lista, siempre que la instalación no quede específicamente denegada por Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes o Prevent installation of removable devices. Si otra directiva impide a los usuarios instalar un dispositivo, los usuarios no podrán instalarlo aunque el dispositivo también esté descrito por un valor en esta directiva. Si desactiva o no configura esta directiva y ninguna otra describe el dispositivo, la directiva Prevent installation of devices not described by other policy settings determina si los usuarios podrán instalar el dispositivo. Algunas de estas directivas tienen prioridad sobre otras. El siguiente diagrama de flujo ilustra cómo Windows las procesa para determinar si un usuario puede o no instalar un dispositivo: 14 Configuración de Group Policy para acceder al almacenamiento removible En Windows Vista y Windows Server "Longhorn" un administrador puede aplicar Group Policy para controlar si los usuarios pueden leer o escribir en cualquier dispositivo con medios removibles. Estas directivas se pueden utilizar como ayuda para impedir que el material sensible o confidencial se pueda escribir en un medio removible o en un dispositivo removible con capacidad de almacenamiento, para después sacarlo de la empresa. Puede aplicar esta directiva a nivel del equipo para que afecte a cualquier usuario que inicie una sesión en ese equipo. También puede aplicarla a nivel de usuario y limitar la ejecución a una cuenta de usuario específica. Si utiliza Group Policy en un entorno Active Directory, puede aplicar la directiva a grupos de usuarios, además de a cuentas 15 de usuario independientes. Group Policy también le permite aplicar eficazmente estas directivas a grandes cantidades de equipos. Si desea más información sobre cómo utilizar Group Policy para administrar sus equipos cliente, consulte "Group Policy" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkid=55625). Importante Estas directivas de acceso al almacenamiento removible no afectan al software que se ejecuta en el contexto de una cuenta del Sistema, como la tecnología ReadyBoost en Windows. No obstante, cualquier aplicación que se ejecute bajo el contexto de seguridad del usuario actual podría verse afectada por estas restricciones. Por ejemplo, si la directiva Removable Disks: Deny write access es efectiva para un usuario, aunque ese usuario sea un administrador, entonces el programa de configuración BitLocker no puede escribir su clave de arranque en una unidad USB. Considere la aplicación de restricciones sólo a usuarios y grupos, aparte del grupo Administradores local. La directiva Removable Storage Access también incluye una configuración para permitir a un administrador forzar un reinicio. Si hay un dispositivo en uso cuando se aplica una directiva de restricción, la directiva podría no implementarse hasta que el equipo se hubiera reiniciado. Utilice la directiva para forzar un reinicio si no quiere esperar hasta la próxima vez que el usuario reinicie el equipo. Si las directivas de restricción se pueden ejecutar sin reiniciar el equipo, entonces se ignora la opción de reinicio. La directiva se puede encontrar en dos ubicaciones. La directiva que se encuentra en Computer Configuration\Administrative Templates\System\Removable Storage Access afecta a un equipo y a cualquier usuario que inicie una sesión en él. La directiva que se encuentra en User Configuration\Administrative Templates\System\Removable Storage Access sólo afecta a los usuarios a quienes se ha aplicado la directiva, incluyendo los grupos si se aplica Group Policy haciendo uso de Active Directory. A continuación tiene una breve descripción de las directivas que le permitirán controlar el acceso de lectura y escritura a las unidades de almacenamiento removible. Cada categoría de dispositivos soporta dos directivas: una para denegar el acceso de lectura, y otra para denegar el acceso de escritura. Time (in seconds) to force reboot. Establece el tiempo (en segundos) que el sistema esperará para reiniciar, a fin de hacer efectivo un cambio en los permisos de acceso a los dispositivos de almacenamiento removible. El reinicio sólo se lleva a cabo si las directivas de restricción no se pueden aplicar sin él. 16 Nota Si no se fuerza el reinicio y las directivas no se pueden aplicar debido a que se está utilizando el dispositivo, entonces el cambio no tendrá efecto hasta que el sistema se haya reiniciado. Si el cambio de directiva afecta a varios dispositivos, el cambio se implementa de inmediato en todos los dispositivos que no se están utilizando actualmente. Si cualquiera de los dispositivos afectados está en uso, de modo que el cambio no se puede implementar inmediatamente, entonces se ejecutará esta directiva para reiniciar el equipo, si la activa el administrador. CD and DVD. Esta directiva permite denegar el acceso de lectura y escritura a los dispositivos de la clase de almacenamiento removible CD y DVD, incluyendo los dispositivos conectados a través de USB. Importante Algunas aplicaciones de grabación en CD y DVD de terceros interactúan con el hardware de una forma que no está contemplada por la directiva. Si quiere evitar toda escritura en CD o DVD, debería considerar la aplicación de Group Policy para impedir la instalación de ese software. Custom Classes. Esta directiva permite denegar el acceso de lectura o escritura a cualquier dispositivo cuyo GUID de clase de dispositivo se encuentre en las listas proporcionadas. Floppy Drives. Esta directiva permite denegar el acceso de lectura o escritura a los dispositivos de la clase Floppy Drive, incluyendo los dispositivos conectados por USB. Removable Disks. Esta directiva permite denegar el acceso de lectura o escritura a los dispositivos removibles que son o emulan discos duros, como las unidades de memoria USB o las unidades de disco duro USB externas. Tape Drives. Esta directiva permite denegar el acceso de lectura o escritura a las unidades de cinta, incluyendo los dispositivos conectados por USB. WPD Devices. Esta directiva permite denegar el acceso de lectura o escritura a los dispositivos de la clase Windows Portable Device. En estos dispositivos se incluyen los dispositivos “inteligentes”, como los reproductores de medios, los teléfonos móviles, los dispositivos Windows CE, etc. All Removable Storage classes: Deny all access. Esta directiva tiene prioridad sobre cualquier otra directiva de esta lista. Si activa esta directiva, deniega el acceso de lectura y escritura a cualquier dispositivo que esté identificado como que utiliza almacenamiento removible. Si la desactiva o no la configura, entonces permitirá el 17 acceso de lectura y escritura a las clases de almacenamiento removible, sujeto a cualesquiera restricciones impuestas por las otras directivas de la lista. Requisitos para completar los escenarios Para completar cada uno de los escenarios, debe tener: Un ordenador cliente ejecutando Windows Vista. Esta guía se refiere a este equipo como DMI-Cliente1. Una unidad de memoria USB. Los escenarios descritos en esta guía utilizan una unidad de memoria USB como dispositivo de ejemplo. Este dispositivo actúa como una unidad de disco removible; a este dispositivo también se le conoce como “unidad flash”. La mayoría de las unidades de memoria USB no requieren un controlador por parte del fabricante y funcionan con los controladores proporcionados por Windows Vista y Windows Server "Longhorn". Nota Las instrucciones asumen que su dispositivo no requiere un controlador distinto al incluido con Windows Vista y Windows Server "Longhorn". Si su dispositivo requiere un controlador del fabricante, debe proporcionar ese controlador cuando Windows se lo pida. Este paso no está contemplado en los escenarios. (Opcional) Una grabadora de CD o DVD. El último escenario muestra cómo convertir en dispositivos de sólo lectura los dispositivos con medios removibles. La directiva se puede establecer sin tener instalada una grabadora de CD o DVD. No obstante, si quiere comprobar que la directiva es efectiva, entonces debe contar con un dispositivo grabador de CD o DVD. Acceso a una cuenta de administrador protegida en DMI-Cliente1. Esta guía denomina a esta cuenta TestAdmin. Los procedimientos de esta guía requieren privilegios de administrador para la mayoría de los pasos. Debe haber iniciado sesión en DMI-Cliente1 utilizando esta cuenta de administrador al principio de cada procedimiento. Nota Windows Vista y Windows Server "Longhorn" introducen el concepto de cuenta de administrador protegida. Esta cuenta es un miembro del grupo Administradores, pero por defecto ese privilegio de seguridad no se utiliza directamente. Cualquier intento de llevar a cabo una tarea que requiera los permisos elevados de un administrador genera un cuadro de diálogo 18 solicitando permiso para realizar esa tarea. Este cuadro de diálogo se explica en la sección "Cómo responder a la página User Account Control", posteriormente en esta guía. Microsoft recomienda el uso de una cuenta de administrador protegida siempre que sea posible, en lugar de una cuenta de administrador integrada. Acceso a una cuenta de usuario normal en DMI-Cliente1. Esta cuenta de usuario no tiene una membresía especial que le garantice cualquier clase de permisos elevados. Esta cuenta se denomina TestUsuario en esta guía. Utilice esta cuenta para iniciar una sesión en el equipo únicamente cuando se le indique. Con una cuenta de usuario normal, cualquier intento por llevar a cabo una tarea que requiera los derechos elevados de un administrador puede provocar un cuadro de diálogo solicitando las credenciales de una cuenta con privilegios de administrador. Este cuadro de diálogo se explica en la sección "Cómo responder a la página User Account Control", posteriormente en esta guía. Procedimientos previos Antes de implementar cualquier directiva destinada a permitir o impedir a los usuarios la instalación de un dispositivo, debe conocer las cadenas de identificación de ese dispositivo. También debe saber cómo desinstalar completamente su unidad de memoria USB y su controlador asociado. Los siguientes procedimientos sirven para configurar su equipo para completar satisfactoriamente los escenarios de esta guía: 1. Cómo responder a la página User Account Control 2. Determinar las cadenas de identificación de dispositivo de la unidad de memoria USB 3. Desinstalar la unidad de memoria USB Cómo responder a la página User Account Control Durante toda la guía se le preguntará por la realización de tareas que sólo pueden ser realizadas por un miembro del grupo Administradores. Cuando en Windows Vista y Windows Server "Longhorn" intenta llevar a cabo una tarea que requiere permisos de administrador, ocurre lo siguiente: Si ha iniciado sesión con la cuenta de administrador integrada (no es recomendable hacerlo), entonces la operación simplemente se lleva a cabo. La cuenta de administrador integrada se encuentra desactivada de forma predeterminada. 19 Si es miembro del grupo Administradores no siendo la cuenta de administrador integrada, entonces se abre el cuadro de diálogo User Account Control solicitándole permiso para continuar. Si hace clic en Continue, la tarea prosigue. Si ha iniciado sesión como usuario normal, entonces podría impedir que se pudiera realizar la tarea. En función de la tarea, se puede abrir una página User Account Control para que proporcione el nombre de usuario y la contraseña de una cuenta de administrador. Si suministra unas credenciales correctas, la tarea se ejecuta en el contexto de seguridad de la cuenta de administrador facilitada. Si no puede proporcionar estas credenciales, se le impedirá la ejecución de la tarea. Importante Antes de suministrar credenciales o permisos para ejecutar una tarea administrativa, asegúrese de que se ha mostrado la página User Account Control en respuesta a una tarea que usted inició. Si la página aparece inesperadamente, haga clic en el botón Details y asegúrese de que la tarea es alguna de las que desea permitir. Esta guía no documenta todas las ocurrencias del cuadro de diálogo User Account Control que se puede encontrar al llevar a cabo estos procedimientos. Si para realizar tareas específicas como administrador se necesitan dar pasos especiales, éstos serán debidamente documentados. Determinar las cadenas de identificación de dispositivo de la unidad de memoria USB Siguiendo estos pasos, puede determinar las cadenas de identificación correspondientes a su dispositivo. Si los IDs de hardware y compatibles de su dispositivo no coinciden con los mostrados en esta guía, utilice los IDs apropiados para su dispositivo. Nota En los siguientes escenarios debe instalar y después desinstalar su unidad de memoria USB. Las instrucciones asumen que su dispositivo no requiere ningún controlador aparte de los que se incluyen con Windows Vista y Windows Server "Longhorn". Si su dispositivo requiere un controlador del fabricante, debe suministrarlo cuando Windows se lo pida. Este paso no se incluye en los escenarios. Los IDs de hardware y compatibles de su dispositivo los puede determinar de dos formas. Puede utilizar Device Manager, una herramienta gráfica incluida con el sistema operativo, o DevCon, una herramienta de la línea de comandos que puede descargar como parte del Kit de desarrollo de controladores (DDK). El siguiente procedimiento le 20 permitirá ver las cadenas de identificación de dispositivo correspondientes a su unidad de memoria USB. Importante Estos procedimientos son específicos de una unidad de memoria USB. Si está utilizando un tipo de dispositivo diferente, debe ajustar los pasos en consecuencia. La diferencia más significativa será la ubicación del dispositivo en la jerarquía de Device Manager. En lugar de encontrarse en el nodo Disk Drives, deberá buscar su dispositivo en el nodo apropiado. Para encontrar las cadenas de identificación utilizando Device Manager 1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 2. Conecte su unidad de memoria USB y deje que la instalación se complete. 3. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc en el cuadro Start Search y después pulse INTRO. 4. Si se abre el cuadro de diálogo User Account Control, confirme que la acción que muestra es la que quiere llevar a cabo, y después haga clic en Continue. Device Manager se inicia y muestra un árbol que representa todos los dispositivos detectados en el equipo. En la parte superior del árbol se encuentra el nodo con el nombre del equipo a continuación. Los nodos inferiores representan las distintas categorías de hardware en las que se agrupan los dispositivos del equipo. 5. Haga doble clic en Disk drives para abrir la lista. 21 6. Haga clic con el botón derecho en la entrada de su unidad de memoria USB, y después haga clic en Properties. Se abre el cuadro de diálogo Device Properties. 7. Haga clic en la ficha Details. 8. En la lista Property, haga clic en Hardware Ids. Anote las cadenas mostradas debajo de Value. 22 Nota Las cadenas no se pueden copiar en el Portapapeles resaltando el texto y pulsando CTRL+C. Como muchos IDs de hardware tienen varios caracteres de subrayado, resulta útil copiarlos en un archivo de texto desde el que luego podrá pegarlos cuando tenga que especificar un identificador. Este método reduce mucho la posibilidad de cometer un error cuando hay que añadir un identificador a una lista de dispositivos permitidos o prohibidos. 9. En la lista Property, haga clic en Compatible Ids. Anote las cadenas que aparecen debajo de Value. 23 10. Haga clic en OK para cerrar el cuadro de diálogo. Nota También puede determinar las cadenas de identificación de su dispositivo utilizando la utilidad de línea de comandos DevCon, que puede descargar desde el sitio Microsoft Help and Support. Si desea más información, consulte "La utilidad de línea de comandos DevCon funciona como una alternativa al Administrador de dispositivos" en el sitio web de Microsoft (http://support.microsoft.com/kb/311272/es). En el sitio Microsoft Developer Network (MSDN) encontrará detalles adicionales sobre la utilidad DevCon. También encontrará la sintaxis específica necesaria para utilizar DevCon para determinar los IDs de hardware. Si desea más 24 información, busque la cadena "DevCon HwIDs" en el sitio web MSDN de Microsoft (http://msdn2.microsoft.com/en-us/default.aspx). Desinstalar la unidad de memoria USB En el uso diario normal de una unidad de memoria USB, normalmente podría tirar de la unidad para desconectarla del puerto USB. No obstante, en esta guía, también debe desinstalar el dispositivo para asegurarse de iniciar cada escenario con el equipo en el estado adecuado. Si fracasa al desinstalar y retirar el dispositivo, las directivas que se prueban en los siguientes escenarios no tendrán efecto y no verá los resultados esperados. Siga estos mismos pasos durante toda la guía cuando se le inste a desinstalar y retirar su dispositivo. Importante No desconecte físicamente su dispositivo del puerto USB hasta haber llegado al último paso. Para desinstalar su dispositivo de memoria USB 1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 2. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc en el cuadro Start Search y después pulse INTRO. 3. Si se abre el cuadro de diálogo User Account Control, confirme que la acción mostrada es la que quiere llevar a cabo, y después haga clic en Continue. 4. Haga clic con el botón derecho en la entrada correspondiente a su unidad de memoria USB, y después haga clic en Uninstall. 25 5. En el cuadro de diálogo Confirm Device Removal, haga clic en OK para permitir que se complete el proceso de desinstalación. 6. Cuando Windows completa el proceso de desinstalación, elimina la entrada del dispositivo del árbol de Device Manager. 7. Desconecte la unidad de memoria USB del puerto USB. Evitar la instalación de todos los dispositivos Este escenario documenta los pasos típicos necesarios para implementar la configuración más restrictiva, según la cual se evita la instalación de todos los dispositivos y no es posible actualizar los controladores de los dispositivos existentes. Los usuarios no podrán instalar un dispositivo y utilizarlo sin la intervención de un administrador. Los administradores sí podrán instalar o actualizar cualquier dispositivo. Prerrequisitos para impedir la instalación de todos los dispositivos Para completar los procedimientos de este escenario, debe desinstalar su unidad de memoria USB como se describió en la sección "Desinstalar la unidad de memoria USB", anteriormente en este documento. Pasos para impedir la instalación de todos los dispositivos 1. Configurar la directiva para impedir la instalación de cualquier dispositivo 2. Configurar la directiva para permitir a los administradores ignorar las restricciones de instalación de dispositivos 3. Probar como usuario los efectos de la configuración de las restricciones Paso 1: Configurar la directiva para impedir la instalación de cualquier dispositivo Para configurar la directiva que evita la instalación o la actualización de cualquier dispositivo 1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 2. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba mmc gpedit.msc en el cuadro Start Search, y después pulse INTRO. 26 3. Si se abre el cuadro de diálogo User Account Control, confirme que la acción mostrada es la que quiere llevar a cabo y, después, haga clic en Continue. 4. En el panel de navegación de Group Policy Object Editor, haga doble clic en Computer Configuration para abrirlo. Después, abra, por este orden, Administrative Templates, System, Device Installation y, por último, Device Installation Restrictions. 5. En el panel de detalles, haga clic con el botón derecho en Prevent installation of devices not described by other policy settings y haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 6. En la ficha Setting, haga clic en Enabled para activar la directiva. 7. Haga clic en OK para guardar su configuración y regresar a Group Policy Object Editor. Paso 2: Configurar la directiva para permitir a los administradores ignorar las restricciones de instalación de dispositivos La siguiente directiva permite a los administradores ignorar las restricciones impuestas por la configuración de otras directivas de instalación, incluyendo la que acaba de activar. 27 Para configurar la directiva que permite a los administradores ignorar las restricciones de instalación de dispositivos 1. En el panel de detalles, haga clic con el botón derecho en Allow administrators to override device installation policy y, después, haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 2. En la ficha Setting, haga clic en Enabled para activar la directiva. 3. Haga clic en OK para guardar su configuración y regresar a Group Policy Object Editor. Las dos directivas muestran ahora su estado como “activado”. 4. Cierre Group Policy Object Editor. Paso 3: Probar como usuario los efectos de la configuración de las restricciones Con las dos directivas activadas, puede aplicarlas al equipo e intentar instalar el dispositivo para ver cómo funcionan las restricciones. Para probar como usuario los efectos de su configuración de las restricciones 1. Si su dispositivo está instalado, desinstálelo y retírelo siguiendo los pasos de la sección "Desinstalar la unidad de memoria USB", anteriormente en este documento. 2. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search, y después pulse INTRO. 3. Cuando haya finalizado el comando GPUdate, cierre la sesión actual y, después, inicie una sesión como DMI-Cliente1\TestUsuario. 28 4. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc en el cuadro Start Search y pulse INTRO. Aparece el siguiente mensaje, indicando que no tiene permisos para hacer cambios en Device Manager. 5. Haga clic en OK para aceptar el mensaje. Device Manager se inicia y podrá ver los dispositivos de su equipo. 6. Conecte su unidad de memoria USB. Hasta que la instalación se completa satisfactoriamente, el dispositivo aparece en Device Manager bajo el nodo Other devices. 7. Como ha iniciado la sesión como un usuario normal sin permisos administrativos, y la instalación de dispositivos está ahora restringida, aparece el siguiente cuadro de diálogo: 29 8. Para simular la respuesta de un usuario típico, haga clic en Locate and install driver software (recommended). Se abre una variante del cuadro de diálogo User Account Control, pidiéndole el nombre de usuario y la contraseña de una cuenta que tenga permisos de administrador. 9. Como un usuario no debería tener credenciales de administrador, haga clic en Cancel para abandonar el intento, igual que haría un usuario. La instalación del controlador del dispositivo falla, y el dispositivo sigue apareciendo bajo el nodo Other devices, y no es operativo. 30 Permitir a los usuarios instalar únicamente los dispositivos autorizados Este escenario se basa en el primer escenario, Evitar la instalación de todos los dispositivos, donde se prohíbe la instalación de cualquier dispositivo. En este escenario, añadirá a la directiva una lista de los dispositivos permitidos e incluirá el ID de hardware de su unidad de memoria USB. Prerrequisitos para permitir a los usuarios la instalación únicamente de los dispositivos autorizados Para completar esta tarea, primero debe completar todos los pasos del primer escenario, Evitar la instalación de todos los dispositivos. Pasos para permitir a los usuarios la instalación únicamente de los dispositivos autorizados En esta sección añadirá los dispositivos permitidos a las restricciones impuestas en Evitar la instalación de todos los dispositivos, mediante la creación de una lista con los dispositivos autorizados. 1. Crear una lista de los dispositivos autorizados 2. Probar como usuario los efectos de la lista de dispositivos autorizados Paso 1: Crear una lista de los dispositivos autorizados Para crear una lista de los dispositivos autorizados 1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 2. Si su dispositivo ya está instalado, desinstálelo y retírelo siguiendo los pasos de la sección "Desinstalar la unidad de memoria USB", anteriormente en este documento. 3. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba mmc gpedit.msc en el cuadro Start Search y pulse INTRO. 4. En el panel de navegación de Group Policy Object Editor, haga doble clic en Computer Configuration para abrirlo. Después, abra, por este orden, Administrative Templates, System, Device Installation y, por último, Device Installation Restrictions. 31 5. En el panel de detalles, haga clic con el botón derecho en Allow installation of devices that match any of these device IDs y después haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 6. En la ficha Setting, haga clic en Enabled para activar esta directiva. 7. Haga clic en Show para ver la lista de dispositivos permitidos en el cuadro de diálogo Show Contents. Por defecto, la lista está vacía. 8. Haga clic en Add para abrir el cuadro de diálogo Add Item. 9. Introduzca el ID del dispositivo (el primer ID de hardware) de su dispositivo. 32 10. Haga clic en OK para regresar al cuadro de diálogo Show Contents. Su dispositivo ya aparece en la lista. 11. Haga clic en OK para regresar al cuadro de diálogo de la directiva. 12. Haga clic en OK para guardar la nueva configuración de la directiva. Paso 2: Probar como usuario los efectos de la lista de dispositivos autorizados Con la configuración de la directiva activada, puede aplicarla al equipo e intentar instalar el dispositivo. Para probar la lista de dispositivos autorizados 1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search, y después pulse INTRO. 33 2. Cuando el comando gpudate ha finalizado, cierre la sesión en el equipo e inicie otra sesión como DMI-Cliente1\TestUsuario. 3. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc en el cuadro Start Search, y pulse INTRO. Aparece el siguiente mensaje, indicando que no tiene permisos para hacer cambios en Device Manager. 4. Haga clic en OK para cerrar el mensaje. Device Manager se iniciará y podrá ver los dispositivos de su equipo. 5. Conecte su unidad de memoria USB. El dispositivo aparece bajo el nodo Other devices de Device Manager hasta que Windows completa la instalación. 6. Una vez que Windows ha completado la instalación, el dispositivo pasa al nodo Disk Drives de Device Manager y es completamente operativo. 34 Evitar la instalación de dispositivos prohibidos Este escenario presenta una forma alternativa de controlar la instalación de dispositivos. En los dos primeros escenarios se impedía la instalación de todos los dispositivos, excepto de los permitidos por una lista de dispositivos autorizados. En este escenario, permitirá la instalación de todos los dispositivos, excepto los que figuran en una lista de dispositivos prohibidos. También eliminará la excepción que creó en el primer escenario para los administradores, de modo que incluso un administrador se vea afectado por la directiva. Prerrequisitos para evitar la instalación de dispositivos prohibidos Si completó los pasos de Evitar la instalación de todos los disposiivos y Permitir a los usuarios instalar únicamente los dispositivos autorizados, debe desactivar estas directivas siguiendo estos pasos: Activar la instalación de todos los dispositivos. Eliminar la excepción destinada a los miembros del grupo Administradores que les permite la instalación de dispositivos. Eliminar el ID de hardware de la lista de dispositivos aprobados. 35 Para activar la instalación de todos los dispositivos 1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 2. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba mmc gpedit.msc en el cuadro Start Search y, después, pulse INTRO. 3. En el panel de navegación de Group Policy Object Editor, haga doble clic en Computer Configuration para abrirlo. Después, abra, por este orden, Administrative Templates, System, Device Installation y, por último, Device Installation Restrictions. 4. En el panel de detalles, haga clic con el botón derecho en el nodo Prevent installation of devices not described by other policy settings y, después, haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 5. Haga clic en Disabled para desactivar la directiva. 6. Haga clic en OK para guardar su configuración y regresar a Group Policy Object Editor. El siguiente paso es eliminar la directiva que concedía una excepción a los miembros del grupo Administradores. Para eliminar las restricciones de Group Policy a los administradores 1. En Group Policy Object Editor, haga clic con el botón derecho en Allow administrators to override device installation policy y, después, haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 2. En la ficha Setting, haga clic en Disabled para desactivar la directiva. 3. Haga clic en OK para guardar su configuración y regresar a Group Policy Object Editor. El siguiente paso consiste en eliminar el ID de hardware de la lista de dispositivos autorizados que creó en el segundo escenario. Para eliminar el ID de hardware de la lista de dispositivos autorizados 1. En Group Policy Object Editor, haga clic con el botón derecho en Allow installation of devices that match any of these device IDs y, después, haga clic en Properties. 36 Se abre el cuadro de diálogo de la directiva con la configuración actual. 2. En la ficha Setting, haga clic en Show para ver la lista de dispositivos autorizados. 3. En el cuadro de diálogo Show Contents, seleccione el nombre de su unidad de memoria USB y, después, haga clic en Remove. Windows elimina su dispositivo de la lista. 4. Haga clic en OK para cerrar el cuadro de diálogo Show Contents y regresar al cuadro de diálogo de la directiva. 5. Haga clic en Disabled para desactivar la configuración de directiva. 6. Haga clic en OK para guardar sus cambios y regresar a Group Policy Object Editor. Pasos para evitar la instalación de dispositivos prohibidos Para evitar que los usuarios instalen dispositivos específicos, creará una lista de dispositivos prohibidos. En esta sección hará lo siguiente: 1. Crear una lista de dispositivos prohibidos 2. Probar la lista de dispositivos prohibidos Paso 1: Crear una lista de dispositivos prohibidos Para crear una lista de dispositivos prohibidos 1. Si tiene su dispositivo actualmente instalado, desinstálelo y retírelo como se explica en "Desinstalar la unidad de memoria USB", anteriormente en este documento. 2. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 3. Si no lo tiene ya abierto, inicie Group Policy Object Editor. Para ello, haga clic en el botón Start, escriba mmc gpedit.msc en el cuadro Start Search y, después, pulse INTRO. 4. En el árbol, haga doble clic en Computer Configuration para abrirlo. Después, abra, por este orden, Administrative Templates, System, Device Installation y Device Installation Restrictions. 5. En el panel de detalles, haga clic con el botón derecho en Prevent installation of devices that match these device IDs y, a continuación, haga clic en Properties. 37 Se abre el cuadro de diálogo de la directiva con la configuración actual. 6. En la ficha Setting, haga clic en Enabled para activar esta directiva. 7. Haga clic en Show para ver la lista de dispositivos prohibidos. 8. En el cuadro de diálogo Show Contents, haga clic en Add. 9. En el cuadro de diálogo Add Item, escriba el ID de dispositivo (el primer ID de hardware) que encontró para su dispositivo. 10. Haga clic en OK para regresar al cuadro de diálogo Show Contents. Su dispositivo aparece ahora en la lista. 38 11. Haga clic en OK para regresar al cuadro de diálogo de la directiva. 12. Haga clic en OK para guardar su nueva configuración de directiva. Paso 2: Probar la lista de dispositivos prohibidos Ahora puede intentar instalar el dispositivo. Puede instalar otros dispositivos porque la directiva ya no impide su instalación, pero no podrá instalar este dispositivo en concreto, aun cuando haya iniciado la sesión como miembro del grupo Administradores. Para probar la lista de dispositivos prohibidos 1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search y, después, pulse INTRO. 2. Cuando el comando gpudate haya terminado, cierre la línea de comandos. 3. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc en el cuadro Start Search y, después, pulse INTRO. 4. Conecte su unidad de memoria USB. El dispositivo aparece en Device Manager bajo el nodo Other devices. La instalación no se ha completado y el dispositivo no funciona. 39 5. Windows muestra un mensaje en el área de notificación explicando la razón por la que ha fallado la instalación: 6. Puede intentar ignorar las restricciones instalando manualmente el controlador del dispositivo. Haga clic con el botón derecho en el dispositivo y, a continuación, haga clic en Update Driver Software. 7. El sistema operativo le pide que suministre el controlador del dispositivo. 40 8. Para simular lo que un usuario podría intentar, haga clic en Search automatically for updated driver software. Aparece un mensaje explicándole lo que Windows ha encontrado, pero que no puede instalar el controlador. El último párrafo explica que ha fallado el intento de instalación porque está prohibido por la directiva que creó. 9. Haga clic en Close. Control de los permisos de lectura y escritura en los medios removibles Este escenario muestra cómo controlar el acceso de lectura y escritura a los dispositivos removibles o a los que utilizan medios removibles, en los equipos que ejecutan Windows Vista y Windows Server "Longhorn". En este escenario establecerá Group Policy para hacer que su unidad de memoria USB sea de sólo lectura. También configurará Group Policy para conseguir que cualquier grabadora de CD o DVD conectada a su equipo sea de sólo lectura, desactivando la característica de grabación. 41 Prerrequisitos para controlar los permisos de lectura y escritura en los medios removibles Antes de realizar los procedimientos de esta sección, debe desactivar la directiva que impide la instalación de unidades de memoria USB. Para desactivar la directiva que impide la instalación de unidades de memoria USB 1. Si ya tiene instalado su dispositivo, desinstálelo y retírelo siguiendo los pasos de la sección "Desinstalar la unidad de memoria USB", anteriormente en este documento. 2. En el panel de detalles de Group Policy Object Editor, haga clic con el botón derecho en Prevent installation of devices that match these device IDs y, a continuación, haga clic en Properties. Se abre el cuadro de diálogo de la directiva con la configuración actual. 3. En la ficha Settings, haga clic en Show para ver la lista de dispositivos prohibidos. 4. En el cuadro de diálogo Show Contents, haga clic en su unidad de memoria USB, después en Remove y, por último, en OK. 5. En la ficha Setting, haga clic en Disabled para desactivar esta directiva. 6. Haga clic en OK para guardar su configuración. Pasos para controlar los permisos de lectura y escritura en los medios removibles 1. Establecer la directiva de equipo para denegar el acceso de escritura a clases de dispositivos removibles específicos 2. Probar la configuración de la directiva de equipo Paso 1: Establecer la directiva de equipo para denegar el acceso de escritura a clases de dispositivos removibles específicos Las directivas que establecerá en este procedimiento bloquearán el acceso de escritura a muchos dispositivos de almacenamiento removible. Sin embargo, la directiva de equipo exacta que bloquea el acceso de escritura a su dispositivo puede variar en 42 función de la marca y el modelo concretos del dispositivo. También puede utilizar la directiva Custom Classes, pero requiere que identifique el GUID de clase de configuración del dispositivo concreto. Para denegar el acceso de escritura a clases de dispositivos removibles 1. En el panel de navegación de Group Policy Object Editor, abra, por este orden, Computer Configuration, Administrative Templates, System y, por último, Removable Storage Access. 2. Haga clic con el botón derecho en CD and DVD: Deny write access, y después haga clic en Properties. 3. En el cuadro de diálogo Properties, haga clic en Enabled para activar la restricción y, después, haga clic en OK. 4. Repita los pasos 2 y 3 para las siguientes directivas de equipo: Removable Disks: Deny write access Floppy Drives: Deny write access WPD Devices: Deny write access 5. Cierre Group Policy Object Editor. Paso 2: Probar la configuración de la directiva de equipo Si un dispositivo está en uso, la directiva de restricción del acceso de escritura no puede implementarse de inmediato. Para aplicar la directiva de equipo, reinicie el equipo. Para probar su configuración de directiva de equipo 1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search y pulse INTRO. 2. Cuando el comando gpudate haya finalizado, reinicie el equipo. 3. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin. 4. Conecte su unidad de memoria USB y espere hasta que Windows le notifique que es operativa. 5. Haga clic en Start, después haga clic en Computer y, a continuación, haga doble clic en su unidad de memoria USB. 6. En el Explorador de Windows, haga clic con el botón derecho en un área abierta del panel de detalles, haga clic en New y, después, haga clic en Folder. 43 Windows muestra un mensaje de error explicando por qué ha fallado el intento de crear una carpeta. 7. Haga clic en Continue para intentar superar la restricción. 8. Si se abre el cuadro de diálogo User Account Control, confirme que la acción que muestra es la que desea llevar a cabo, y haga clic en Continue. 9. Windows muestra un segundo mensaje indicando la razón por la que no puede escribir en la carpeta. 10. Haga clic en Cancel para cerrar el cuadro de diálogo. 44 Conclusión En esta guía ha utilizado un dispositivo de ejemplo en un entorno de prácticas para aprender a controlar si sus usuarios podrán o no instalar un dispositivo. También ha aprendido a restringir el acceso a los dispositivos de almacenamiento removible o a los dispositivos que utilizan medios removibles. El control de la instalación y del uso de dispositivos de este modo mejorará su seguridad, así como la eficacia de su escritorio de ayuda al limitar los dispositivos que los usuarios pueden instalar a los que están aprobados y soportados por la empresa. Los escenarios utilizados para mostrar estas configuraciones han sido los siguientes: Evitar la instalación de todos los dispositivos. En este escenario se impide que los usuarios normales instalen cualquier dispositivo, pero se permite que los administradores puedan instalar o actualizar dispositivos. Permitir a los usuarios instalar únicamente los dispositivos autorizados. En este escenario se permite a los usuarios normales instalar únicamente los dispositivos incluidos en una lista de dispositivos autorizados. Impedir la instalación únicamente de los dispositivos prohibidos. En este escenario se permite a los usuarios normales instalar la mayoría de los dispositivos, pero no pueden instalar los incluidos en una lista de dispositivos prohibidos. Controlar el uso de los dispositivos de almacenamiento de medios removibles. En este escenario se impide a los usuarios normales escribir datos en los dispositivos de almacenamiento removibles, o en dispositivos con medios removibles, como una unidad de memoria USB o una grabadora de CD o DVD. Registro de errores e información Su información es bienvenida. Si los escenarios incluidos no funcionan como se describe o si no reflejan el modo en que desea utilizar la tecnología, sea tan amable de decírnoslo. Utilizaremos esa información que nos proporciona para mejorar la calidad de esta documentación. Envíe sus comentarios sobre este documento a Vista Feedback ([email protected]). Si desea ofrecernos comentarios y sugerencias sobre Windows Vista, utilice por favor el enlace Contact Us que encontrará en la parte inferior de la página web de Windows Vista (http://www.microsoft.com/windowsvista). 45 Recursos adicionales Si desea más información sobre la instalación de dispositivos: Device Management e instalación http://go.microsoft.com/fwlink/?LinkId=59274 Cómo selecciona Setup los controladores de dispositivos http://go.microsoft.com/fwlink/?LinkId=54881 Cadenas de identificación de dispositivos http://go.microsoft.com/fwlink/?LinkId=52665 Si desea más información sobre la herramienta DevCon: "DevCon" en el sitio web de Microsoft http://go.microsoft.com/fwlink/?linkid=54880 La herramienta de línea de comandos DevCon funciona como una alternativa al Administrador de dispositivos http://support.microsoft.com/kb/311272/es DevCon HwIDs http://go.microsoft.com/fwlink/?linkid=56389 Si desea más información sobre User Account Control en Windows Vista: User Account Control http://go.microsoft.com/fwlink/?linkid=68249 Si desea más información sobre Group Policy: Group Policy http://go.microsoft.com/fwlink/?LinkId=55625