Evitar la instalación de todos los dispositivos

Anuncio
Guía paso a paso para controlar la
instalación y uso de dispositivos con
Group Policy
Microsoft Corporation
Fecha de publicación: julio de 2006
Autor: Dave Bishop
Editor: Scott Somohano
Revisores técnicos: George Roussos, Emily Hill, Jim Cavalaris, Takashi Eto
Sinopsis
Con los sistemas operativos Microsoft® Windows Server® Code Name "Longhorn" y
Windows Vista™, los administradores pueden determinar los dispositivos que se pueden
instalar en los equipos que administran. La guía resume el proceso de instalación de
dispositivos y muestra varias técnicas para controlar la instalación y el uso de
dispositivos en los equipos administrados.
Este documento sirve de soporte a una versión preliminar de un producto de software
que puede cambiar sustancialmente antes de su versión comercial final, y es información
confidencial y patentada por Microsoft Corporation. Esta información se revela conforme
a un acuerdo de no divulgación entre el receptor y Microsoft. La finalidad de este
documento es meramente informativa y Microsoft no otorga garantías, ni expresa ni
implícitamente, en este documento. La información aquí ofrecida, incluyendo los URL y
otras referencias a sitios Web, está sujeta a cambios sin previo aviso. El usuario asume
los riesgos o los resultados del uso de este documento. A menos que se indique lo
contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio,
direcciones de e-mail, logotipos, personas, lugares y eventos citados son ficticios, y no
hay asociación alguna con empresas, organizaciones, productos, nombres de dominio,
direcciones de e-mail, logotipos, personas, lugares o eventos reales que puedan o
pudieran inferirse. Es responsabilidad del usuario el cumplimiento de todas las leyes de
derechos de autor aplicables. Sin limitar los derechos bajo copyright, ninguna parte de
este documento puede ser reproducida, almacenada o introducida en un sistema de
recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico,
mecánico, por fotocopia, grabación, o de otra manera) con ningún propósito, sin la
autorización previa por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas,
derechos de autor u otros derechos de propiedad intelectual sobre el contenido de este
documento. La posesión de este documento no le otorga ninguna licencia sobre estas
patentes, marcas registradas, derechos de autor u otros derechos de propiedad
intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft.
© 2006 Microsoft Corporation. Todos los derechos reservados.
Microsoft, MS-DOS, Windows, Windows Server, Windows Vista y Active Directory
(Directorio Activo) son marcas registradas o marcas comerciales de
Microsoft Corporation en Estados Unidos y/u otros países.
Las referencias a productos de terceros o sus identificadores hardware son meramente
ilustrativos. Dichos productos no están avalados por Microsoft Corporation.
Todas las demás marcas registradas son propiedad de sus respectivos propietarios.
Contenido
Guía paso a paso para controlar la instalación y uso de dispositivos con Group Policy ... 5
¿Quién debe utilizar esta guía? ................................................................................... 6
Beneficios de controlar la instalación de dispositivos utilizando Group Policy ............ 6
Visión general del escenario ........................................................................................... 6
Panorámica de la tecnología ........................................................................................... 8
Instalación de dispositivos en Windows ................................................................... 8
Configuración de Group Policy para la instalación de dispositivos ........................ 11
Configuración de Group Policy para acceder al almacenamiento removible ......... 14
Requisitos para completar los escenarios ..................................................................... 17
Procedimientos previos .............................................................................................. 18
Cómo responder a la página User Account Control ............................................... 18
Determinar las cadenas de identificación de dispositivo de la unidad de memoria
USB ..................................................................................................................... 19
Desinstalar la unidad de memoria USB .................................................................. 24
Evitar la instalación de todos los dispositivos................................................................ 25
Prerrequisitos para impedir la instalación de todos los dispositivos .......................... 25
Pasos para impedir la instalación de todos los dispositivos ...................................... 25
Paso 1: Configurar la directiva para impedir la instalación de cualquier dispositivo . 25
Paso 2: Configurar la directiva para permitir a los administradores ignorar las
restricciones de instalación de dispositivos ............................................................ 26
Paso 3: Probar como usuario los efectos de la configuración de las restricciones ... 27
Permitir a los usuarios instalar únicamente los dispositivos autorizados ...................... 30
Prerrequisitos para permitir a los usuarios la instalación únicamente de los
dispositivos autorizados .......................................................................................... 30
Pasos para permitir a los usuarios la instalación únicamente de los dispositivos
autorizados ............................................................................................................. 30
Paso 1: Crear una lista de los dispositivos autorizados ............................................. 30
Paso 2: Probar como usuario los efectos de la lista de dispositivos autorizados...... 32
Evitar la instalación de dispositivos prohibidos ............................................................. 34
Prerrequisitos para evitar la instalación de dispositivos prohibidos ........................... 34
Pasos para evitar la instalación de dispositivos prohibidos ....................................... 36
Paso 1: Crear una lista de dispositivos prohibidos .................................................... 36
Paso 2: Probar la lista de dispositivos prohibidos ...................................................... 38
Control de los permisos de lectura y escritura en los medios removibles .................... 40
Prerrequisitos para controlar los permisos de lectura y escritura en los medios
removibles ............................................................................................................... 41
Pasos para controlar los permisos de lectura y escritura en los medios removibles 41
Paso 1: Establecer la directiva de equipo para denegar el acceso de escritura a
clases de dispositivos removibles específicos........................................................ 41
Paso 2: Probar la configuración de la directiva de equipo ......................................... 42
Conclusión ..................................................................................................................... 44
Registro de errores e información ................................................................................. 44
Recursos adicionales ..................................................................................................... 45
5
Guía paso a paso para controlar la
instalación y uso de dispositivos con
Group Policy
Esta guía por pasos describe cómo controlar la instalación y el uso de los dispositivos en
los ordenadores. En concreto, en Microsoft® Windows Server® Code Name "Longhorn" y
Windows Vista™ puede aplicar la directiva de equipo para:

Impedir que los usuarios instalen un dispositivo.

Permitir a los usuarios instalar únicamente los dispositivos que se encuentran en una
lista de dispositivos "autorizados". Si un dispositivo no está en la lista, entonces el
usuario no podrá instalarlo.

Impedir que los usuarios instalen dispositivos que se encuentran en una lista
"prohibidos". Si un dispositivo no está en la lista, entonces el usuario podrá instalarlo.

Denegar a los usuarios el acceso de lectura o escritura a los dispositivos removibles,
o que utilizan medios removibles, como las grabadoras de CD y DVD, las unidades
de disquete, los discos duros externos y los dispositivos portátiles, como los
reproductores de medios, los teléfonos inteligentes o los dispositivos Pocket PC.
Esta guía describe el proceso de instalación de un dispositivo e introduce las cadenas de
identificación que Windows utiliza para emparejar un dispositivo con los paquetes de
controladores de dispositivo disponibles en un ordenador. La guía también ilustra tres
métodos para controlar la instalación de dispositivos. Cada escenario muestra, paso a
paso, un método que puede seguir para permitir o denegar la instalación de un
dispositivo específico o una clase de dispositivos. El cuarto escenario muestra cómo
denegar el acceso de lectura o escritura de los usuarios a los dispositivos que son
removibles o que utilizan dispositivos removibles.
Como ejemplo se utiliza un dispositivo de almacenamiento USB, aunque puede utilizar
un dispositivo diferente para seguir los pasos de esta guía. No obstante, si utiliza un
dispositivo diferente, las instrucciones de la guía no coincidirán exactamente con la
interfaz de usuario que aparecerá en su ordenador.
Importante
Los pasos ofrecidos en esta guía están pensados para su uso en un entorno de
prácticas. Esta guía por pasos no está pensada para que la utilice para implantar
6
las características de Windows Server sin la documentación que le acompaña y
debe utilizarse con prudencia como documento independiente.
¿Quién debe utilizar esta guía?
Esta guía está dirigida a los siguientes usuarios:

Planificadores y analistas de las tecnologías de la información que están evaluando
Windows Vista y Windows Server "Longhorn".

Planificadores y diseñadores de tecnologías de la información en una empresa.

Arquitectos de seguridad que son responsables de implementar un sistema
informático fiable en su empresa.

Administradores que quieren familiarizarse con la tecnología.
Beneficios de controlar la instalación de dispositivos
utilizando Group Policy
La restricción de los dispositivos que los usuarios pueden instalar ofrece los siguientes
beneficios:

Reduce el riesgo del robo de datos. A los usuarios les resulta más difícil hacer
copias no autorizadas de los datos de la empresa si en sus equipos no pueden
instalar dispositivos prohibidos que soporten medios removibles. Por ejemplo, si los
usuarios no pueden instalar un dispositivo CD-R, no podrán hacer copias de los
datos de la empresa en un CD grabable. Esta ventaja no puede impedir el robo de
datos, pero crea otra barrera ante su extracción no autorizada. También puede
reducir el riesgo del robo de datos utilizando Group Policy para impedir a los
usuarios el acceso de escritura a los dispositivos removibles o que utilizan medios
removibles. Al utilizar Group Policy puede otorgar acceso por grupo.

Reduce los costes de soporte. Puede asegurarse de que todos los usuarios
instalen únicamente aquellos dispositivos para cuyo soporte su escritorio de ayuda
está preparado y equipado. Este beneficio reduce los costes de soporte y la
confusión del usuario.
Visión general del escenario
Los escenarios presentados en esta guía ilustran cómo puede controlar la instalación y
uso de dispositivos en los equipos que administra. Los escenarios utilizan Group Policy
en un equipo local para simplificar el uso de procedimientos en el entono de pruebas. En
7
un entorno donde administre varios equipos cliente, debe aplicar estos ajustes mediante
Group Policy implantado por Active Directory. Al hacerlo así, puede aplicar ajustes a
todos los ordenadores que son miembros de un dominio o unidad organizativa en un
dominio. Si desea más información sobre cómo utilizar Group Policy para administrar sus
ordenadores cliente, consulte "Group Policy" en el sitio web de Microsoft
(http://go.microsoft.com/fwlink/?linkid=55625).
A continuación tiene una descripción de los escenarios presentados en esta guía:

Evitar la instalación de todos los dispositivos.
En este escenario, el administrador quiere impedir a los usuarios normales la
instalación de dispositivos, pero no así a los administradores, que podrán instalarlos
y actualizarlos. Para completar este escenario, configurará dos directivas de equipo.
La primera impide que todos los usuarios instalen dispositivos, mientras que la
segunda exime a los administradores de estas restricciones.

Permitir a los usuarios instalar únicamente los dispositivos autorizados.
En este escenario el administrador quiere permitir a los usuarios instalar únicamente
los dispositivos incluidos en una lista de dispositivos autorizados. Este escenario se
basa en el primero y, por tanto, debe completar el primer escenario antes de pasar a
este segundo. Para completar este escenario, creará una lista de dispositivos
autorizados para que los usuarios puedan instalar únicamente los dispositivos
especificados.

Impedir la instalación únicamente de los dispositivos prohibidos.
En este escenario, el administrador quiere que los usuarios normales puedan instalar
la mayoría de los dispositivos, pero también quiere evitar que instalen los
dispositivos incluidos en una lista de dispositivos prohibidos. Para completar este
escenario debe eliminar las directivas que se crean en los dos escenarios anteriores.
Una vez eliminadas, creará una lista de dispositivos prohibidos para que los usuarios
puedan instalar cualquier dispositivo, excepto los especificados.

Controlar el uso de los dispositivos de almacenamiento de medios removibles.
En este escenario, el administrador quiere impedir que los usuarios normales
puedan escribir datos en dispositivos de almacenamiento removibles, o en
dispositivos con medios removibles, como una unidad de memoria USB o una
grabadora de CD o DVD. Para completar este escenario, configurará una directiva
de equipo para permitir el acceso de lectura, pero denegará el acceso de escritura al
dispositivo de muestra y a cualquier dispositivo de grabación de CD o DVD del
equipo.
8
Panorámica de la tecnología
Las siguientes secciones ofrecen una panorámica breve de las principales tecnologías
que se explican en esta guía.
Instalación de dispositivos en Windows
Un dispositivo es una pieza de hardware con la que Windows interactúa para llevar a
cabo alguna función. Windows puede comunicarse con un dispositivo únicamente a
través de una porción de software denominada controlador de dispositivo. Para instalar
un controlador de dispositivo, Windows detecta el dispositivo, reconoce su tipo y,
después, localiza el controlador que coincide con ese tipo.
Windows utiliza dos tipos de identificadores para controlar la instalación y configuración
de dispositivos. Puede utilizar la configuración de Group Policy de Windows Vista y
Windows Server "Longhorn" para especificar cuál de estos identificadores permitir o
bloquear.
Los dos tipos de identificadores son:

Cadenas de identificación del dispositivo.

Clases de configuración de dispositivos.
Cadenas de identificación del dispositivo
Cuando Windows detecta un dispositivo que nunca se ha instalado en el equipo, el
sistema operativo consulta al dispositivo a fin de recuperar su lista de cadenas de
identificación. Un dispositivo normalmente tiene varias cadenas de identificación
asignadas por el fabricante. Las mismas cadenas de identificación del dispositivo son las
que se incluyen en el archivo .inf que forma parte del paquete de controladores de
dispositivos. Windows decide el paquete de controlador que debe instalar emparejando
las cadenas de identificación recuperadas del dispositivo con las incluidas en los
paquetes de controladores.
Windows puede utilizar cada cadena para emparejar un dispositivo con un paquete de
controlador. Las cadenas van desde las muy específicas, que sólo coinciden con una
marca y un modelo concretos de un dispositivo, hasta las muy generales, que
posiblemente se pueden aplicar a una clase completa de dispositivos. Hay dos tipos de
cadenas de identificación de dispositivos:

IDs de hardware. Los IDs de hardware son lo identificadores que proporcionan la
coincidencia más exacta entre un dispositivo y un paquete controlador. La primera
cadena de la lista de IDs de hardware se conoce como ID de dispositivo, porque
coincide con la marca, modelo y versión exactos del dispositivo. Los demás IDs de
9
hardware de la lista coinciden exactamente con los detalles del dispositivo. Por
ejemplo, un ID de hardware puede identificar la marca y el modelo del dispositivo,
pero no la versión específica. Este esquema permite a Windows utilizar un
controlador para una versión diferente del dispositivo, si no está disponible el
controlador para la versión exacta.

IDs compatibles. Windows utiliza estos identificadores para seleccionar un
controlador de dispositivo si el sistema operativo no encuentra una coincidencia con
el ID de dispositivo o cualquiera de los otros IDs de hardware. Los IDs compatibles
se enumeran en orden de idoneidad decreciente. Estas cadenas son opcionales y,
cuando se suministran, son muy genéricas: por ejemplo, Disc. Cuando la
coincidencia se realiza con un ID compatible, normalmente sólo se pueden utilizar
las funciones más básicas del dispositivo.
Al instalar un dispositivo (por ejemplo, una impresora, un dispositivo de almacenamiento
USB o un teclado), Windows busca paquetes de controlador que coincidan con el
dispositivo que intenta instalar. Durante esta búsqueda, Windows asigna un “rango” a
cada paquete de controlador que tenga al menos una coincidencia con un ID de
hardware o compatible. El rango indica lo adecuadamente que coincide el controlador
con el dispositivo. Los números de rango más bajos indican las mejores coincidencias
entre el controlador y el dispositivo. Un rango de cero representa la mejor coincidencia
posible. Una coincidencia con el ID de dispositivo a uno en el paquete de controlador da
como resultado un rango (mejor) inferior que una coincidencia con uno de los otros IDs
de hardware. De forma parecida, una coincidencia con un ID de hardware ofrece un
rango mejor que una coincidencia con cualquiera de los IDs compatibles. Una vez que
Windows ha clasificado todos los paquetes de controlador, instala el que tiene el rango
global más bajo. Si desea más información sobre el proceso de clasificación y selección
de paquetes de controlador, consulte "How Setup Selects Drivers" en el sitio web de
Microsoft (http://go.microsoft.com/fwlink/?LinkId=54881). Si lo que quiere es información
sobre el proceso de instalación de un controlador de dispositivo, consulte la sección
"Technology review" de la guía "Step-by-Step Guide to Device Driver Signing and
Staging" en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkID=69208).
Algunos dispositivos físicos crean uno o más dispositivos lógicos cuando se instalan.
Cada dispositivo lógico podría manipular parte de la funcionalidad del dispositivo físico.
Por ejemplo, un dispositivo multifunción, como los “todo en uno” (escáner/fax/impresora),
podría tener una cadena de identificación de dispositivo diferente para cada función.
Al utilizar las directivas de restricción de la instalación de dispositivos con el fin de
permitir o denegar la instalación de un dispositivo que hace uso de dispositivos lógicos,
debe permitir o impedir todas las cadenas de identificación de dispositivo de ese
dispositivo. Por ejemplo, si un usuario intenta instalar un dispositivo que no funciona bien
y no permitió o impidió todas las cadenas de identificación de los dispositivos físicos y
10
lógicos, podría obtener unos resultados inesperados en su intento de instalación. Si
desea información más detallada sobre los IDs de hardware, consulte "Device
Identification Strings" en el sitio web de Microsoft
(http://go.microsoft.com/fwlink/?linkid=52665).
Clases de configuración de dispositivos
Las clases de configuración de dispositivo son otro tipo de cadena de identificación. El
fabricante asigna la clase de configuración de dispositivo a un dispositivo en el paquete
de controlador del dispositivo. La clase de configuración de dispositivo agrupa los
dispositivos que se instalan y configuran de la misma forma. Por ejemplo, todas las
unidades de CD pertenecen a la clase de configuración de dispositivos de CD-ROM, y
utilizan el mismo co-instalador para instalarse. Un largo número denominado
Identificador globalmente único (GUID) representa la clase de configuración de
dispositivo. Cuando se inicia Windows, éste crea en la memoria una estructura en forma
de árbol con los GUIDs de todos los dispositivos detectados. Junto con el GUID para la
clase de configuración del dispositivo del propio dispositivo, es posible que Windows
tenga que insertar en el árbol el GUID de la clase de configuración de dispositivo del bus
al que se encuentra conectado el dispositivo.
Cuando utiliza las clases de configuración de dispositivo para permitir o impedir que los
usuarios instalen controladores de dispositivo, debe especificar los GUIDs para todas las
clases de configuración de dispositivo del dispositivo, o no alcanzará los resultados que
persigue. La instalación podría fallar (si su intención era permitirla) o podría ser
satisfactoria (si quería que fallase).
Por ejemplo, un dispositivo multifunción, como las impresoras multifuncionales
(escáner/fax/impresora), tienen un GUID para un dispositivo multifunción genérico, un
GUID para la función de impresora, un GUID para la función de escáner, etcétera. Los
GUIDs para las funciones individuales son “nodos hijo” dependientes del GUID del
dispositivo multifunción. Para instalar un nodo hijo, Windows también debe poder instalar
el nodo padre. Debe permitir la instalación de la clase de configuración de dispositivo del
GUID padre para el dispositivo multifunción, además de los GUIDs hijo correspondientes
a las funciones de impresora y escáner.
Si desea más información, consulte "Device Setup Classes" en el sitio web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=52662).
Esta guía no describe ningún escenario que haga uso de las clases de configuración de
dispositivo. No obstante, los principios básicos mostrados con las cadenas de
identificación de dispositivos en esta guía también se pueden aplicar a las clases de
configuración de dispositivo. Una vez descubierta la clase de configuración de dispositivo
11
de un dispositivo específico, puede utilizarla entonces en una directiva para permitir o
impedir la instalación de controladores de dispositivo para esa clase de dispositivos.
Configuración de Group Policy para la instalación de dispositivos
Para activar el control sobre la instalación de dispositivos, Windows Vista y
Windows Server "Longhorn" introducen varias configuraciones de directiva. Estas
configuraciones las puede establecer individualmente en un solo equipo, o puede
aplicarlas a un gran número de equipos mediante el uso de Group Policy en un dominio
Active Directory. Si desea más información sobre cómo utilizar Group Policy para
administrar sus equipos cliente, consulte "Group Policy" en el sitio web de Microsoft
(http://go.microsoft.com/fwlink/?linkid=55625).
Si quiere aplicar las configuraciones a un solo equipo o a muchos equipos de un dominio
Active Directory, utilice Group Policy Object Editor para configurar y aplicar las
configuraciones de la directiva. Si desea más detalles, consulte "Group Policy Object
Editor Technical Reference" en el sitio web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=56390).
A continuación tiene una descripción breve de las directivas de instalación de
dispositivos que se utilizan en esta guía.
Nota
Estas configuraciones de directiva afectan a todos los usuarios que inician una
sesión en el equipo donde se han aplicado dichos ajustes. Estas directivas no se
pueden aplicar a usuarios o grupos específicos, excepto la directiva Allow
administrators to override device installation policy. Esta directiva exime a
los miembros del grupo Administradores local de cualquiera de las restricciones
de instalación de dispositivos que se apliquen al equipo mediante la
configuración de otros ajustes de directiva descritos en esta sección.

Prevent installation of devices not described by other policy settings. Esta
directiva controla la instalación de los dispositivos que no están descritos
específicamente por ninguna otra directiva. Si activa esta directiva, los usuarios no
podrán instalar o actualizar el controlador de los dispositivos a menos que estén
descritos por la directiva Allow installation of devices that match these device
IDs o por la directiva Allow installation of devices for these device classes. Si
desactiva o no configura esta directiva, los usuarios podrán instalar y actualizar el
controlador de cualquier dispositivo que no esté descrito por alguna de estas
directivas: Prevent installation of devices that match these device IDs, Prevent
installation of devices for these device classes o Prevent installation of
removable devices.
12

Allow administrators to override device installation policy. Esta directiva permite
a los miembros del grupo Administradores local instalar y actualizar los controladores
de cualquier dispositivo, sin tener en cuenta la configuración de otras directivas. Si
activa esta directiva, los administradores podrán utilizar el asistente Add Hardware
Wizard o el asistente Update Driver Wizard para instalar y actualizar los
controladores de cualquier dispositivo. Si desactiva o no configura esta directiva, los
administradores estarán sujetos a todas las directivas que restringen la instalación
de dispositivos.

Prevent installation of devices that match these device IDs. Esta directiva
especifica una lista con los IDs de hardware Plug and Play y los IDs compatibles de
los dispositivos que los usuarios no pueden instalar. Si activa esta directiva, los
usuarios no podrán instalar o actualizar el controlador de un dispositivo si cualquiera
de sus IDs de hardware o IDs compatibles coincide con alguno de esta lista. Si
desactiva o no configura esta directiva, los usuarios podrán instalar dispositivos y
actualizar sus controladores, según lo permitido por la configuración de otras
directivas de instalación de dispositivos.
Nota
Esta directiva tiene prioridad sobre cualquier otra que permita a los usuarios
instalar un dispositivo. Esta directiva impide a los usuarios instalar un
dispositivo, aun cuando exista otra directiva que permite su instalación.

Prevent installation of drivers matching these device setup classes. Esta
directiva especifica una lista con los GUIDs de clase de configuración de dispositivos
Plug and Play de los dispositivos que los usuarios no pueden instalar. Si activa esta
directiva, los usuarios no podrán instalar o actualizar los controladores de un
dispositivo que pertenezcan a cualquiera de las clases de configuración de
dispositivo enumeradas. Si desactiva o no configura esta directiva, los usuarios
podrán instalar y actualizar los controladores de los dispositivos según lo permitido
por otras directivas para la instalación de dispositivos.
Nota
Esta directiva tiene prioridad sobre cualquier otra que permita a los usuarios
instalar un dispositivo. Esta directiva impide a los usuarios instalar un
dispositivo, aun cuando exista otra directiva que permite su instalación.

Allow installation of devices that match any of these device IDs. Esta directiva
especifica una lista de IDs de hardware Plug and Play e IDs compatibles que
describen los dispositivos que los usuarios pueden instalar. Esta configuración está
pensada para ser utilizada únicamente cuando está activada la directiva Prevent
installation of devices not described by other policy settings y no tiene prioridad
13
sobre cualquier otra directiva que pueda impedir a los usuarios instalar un
dispositivo. Si activa esta directiva, los usuarios podrán instalar y actualizar cualquier
dispositivo que tenga un ID de hardware o un ID compatible coincidente con un ID
de la lista si esa instalación no se ha denegado específicamente mediante Prevent
installation of devices that match these device IDs, Prevent installation of
devices for these device classes o Prevent installation of removable devices. Si
otra directiva impide a los usuarios instalar un dispositivo, los usuarios no podrán
instalarlo, aun cuando el dispositivo también esté descrito por un valor en esta
directiva. Si desactiva o no configura esta directiva y ninguna otra describe el
dispositivo, la directiva Prevent installation of devices not described by other
policy settings determina si los usuarios pueden instalar el dispositivo.

Allow installation of devices using drivers for these device classes. Esta
directiva especifica una lista de GUIDs de clase de dispositivo que describe los
dispositivos que los usuarios pueden instalar. Esta configuración está pensada para
utilizarse sólo cuando está activada la directiva Prevent installation of devices not
described by other policy settings y no tiene prioridad sobre cualquier otra
directiva que pudiera impedir a los usuarios instalar un dispositivo. Si activa esta
configuración, los usuarios podrán instalar y actualizar cualquier dispositivo con una
clase de dispositivo que coincida con alguno de los GUIDs de clase de esta lista,
siempre que la instalación no quede específicamente denegada por Prevent
installation of devices that match these device IDs, Prevent installation of
devices for these device classes o Prevent installation of removable devices. Si
otra directiva impide a los usuarios instalar un dispositivo, los usuarios no podrán
instalarlo aunque el dispositivo también esté descrito por un valor en esta directiva.
Si desactiva o no configura esta directiva y ninguna otra describe el dispositivo, la
directiva Prevent installation of devices not described by other policy settings
determina si los usuarios podrán instalar el dispositivo.
Algunas de estas directivas tienen prioridad sobre otras. El siguiente diagrama de flujo
ilustra cómo Windows las procesa para determinar si un usuario puede o no instalar un
dispositivo:
14
Configuración de Group Policy para acceder al almacenamiento
removible
En Windows Vista y Windows Server "Longhorn" un administrador puede aplicar Group
Policy para controlar si los usuarios pueden leer o escribir en cualquier dispositivo con
medios removibles. Estas directivas se pueden utilizar como ayuda para impedir que el
material sensible o confidencial se pueda escribir en un medio removible o en un
dispositivo removible con capacidad de almacenamiento, para después sacarlo de la
empresa.
Puede aplicar esta directiva a nivel del equipo para que afecte a cualquier usuario que
inicie una sesión en ese equipo. También puede aplicarla a nivel de usuario y limitar la
ejecución a una cuenta de usuario específica. Si utiliza Group Policy en un entorno
Active Directory, puede aplicar la directiva a grupos de usuarios, además de a cuentas
15
de usuario independientes. Group Policy también le permite aplicar eficazmente estas
directivas a grandes cantidades de equipos. Si desea más información sobre cómo
utilizar Group Policy para administrar sus equipos cliente, consulte "Group Policy" en el
sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkid=55625).
Importante
Estas directivas de acceso al almacenamiento removible no afectan al software
que se ejecuta en el contexto de una cuenta del Sistema, como la tecnología
ReadyBoost en Windows. No obstante, cualquier aplicación que se ejecute bajo
el contexto de seguridad del usuario actual podría verse afectada por estas
restricciones. Por ejemplo, si la directiva Removable Disks: Deny write access
es efectiva para un usuario, aunque ese usuario sea un administrador, entonces
el programa de configuración BitLocker no puede escribir su clave de arranque
en una unidad USB. Considere la aplicación de restricciones sólo a usuarios y
grupos, aparte del grupo Administradores local.
La directiva Removable Storage Access también incluye una configuración para
permitir a un administrador forzar un reinicio. Si hay un dispositivo en uso cuando se
aplica una directiva de restricción, la directiva podría no implementarse hasta que el
equipo se hubiera reiniciado. Utilice la directiva para forzar un reinicio si no quiere
esperar hasta la próxima vez que el usuario reinicie el equipo. Si las directivas de
restricción se pueden ejecutar sin reiniciar el equipo, entonces se ignora la opción de
reinicio.
La directiva se puede encontrar en dos ubicaciones. La directiva que se encuentra en
Computer Configuration\Administrative Templates\System\Removable Storage
Access afecta a un equipo y a cualquier usuario que inicie una sesión en él. La directiva
que se encuentra en User Configuration\Administrative
Templates\System\Removable Storage Access sólo afecta a los usuarios a quienes
se ha aplicado la directiva, incluyendo los grupos si se aplica Group Policy haciendo uso
de Active Directory.
A continuación tiene una breve descripción de las directivas que le permitirán controlar el
acceso de lectura y escritura a las unidades de almacenamiento removible. Cada
categoría de dispositivos soporta dos directivas: una para denegar el acceso de lectura,
y otra para denegar el acceso de escritura.

Time (in seconds) to force reboot. Establece el tiempo (en segundos) que el
sistema esperará para reiniciar, a fin de hacer efectivo un cambio en los permisos de
acceso a los dispositivos de almacenamiento removible. El reinicio sólo se lleva a
cabo si las directivas de restricción no se pueden aplicar sin él.
16
Nota
Si no se fuerza el reinicio y las directivas no se pueden aplicar debido a que
se está utilizando el dispositivo, entonces el cambio no tendrá efecto hasta
que el sistema se haya reiniciado. Si el cambio de directiva afecta a varios
dispositivos, el cambio se implementa de inmediato en todos los dispositivos
que no se están utilizando actualmente. Si cualquiera de los dispositivos
afectados está en uso, de modo que el cambio no se puede implementar
inmediatamente, entonces se ejecutará esta directiva para reiniciar el
equipo, si la activa el administrador.

CD and DVD. Esta directiva permite denegar el acceso de lectura y escritura a los
dispositivos de la clase de almacenamiento removible CD y DVD, incluyendo los
dispositivos conectados a través de USB.
Importante
Algunas aplicaciones de grabación en CD y DVD de terceros interactúan con
el hardware de una forma que no está contemplada por la directiva. Si quiere
evitar toda escritura en CD o DVD, debería considerar la aplicación de
Group Policy para impedir la instalación de ese software.

Custom Classes. Esta directiva permite denegar el acceso de lectura o escritura a
cualquier dispositivo cuyo GUID de clase de dispositivo se encuentre en las listas
proporcionadas.

Floppy Drives. Esta directiva permite denegar el acceso de lectura o escritura a los
dispositivos de la clase Floppy Drive, incluyendo los dispositivos conectados por
USB.

Removable Disks. Esta directiva permite denegar el acceso de lectura o escritura a
los dispositivos removibles que son o emulan discos duros, como las unidades de
memoria USB o las unidades de disco duro USB externas.

Tape Drives. Esta directiva permite denegar el acceso de lectura o escritura a las
unidades de cinta, incluyendo los dispositivos conectados por USB.

WPD Devices. Esta directiva permite denegar el acceso de lectura o escritura a los
dispositivos de la clase Windows Portable Device. En estos dispositivos se incluyen
los dispositivos “inteligentes”, como los reproductores de medios, los teléfonos
móviles, los dispositivos Windows CE, etc.

All Removable Storage classes: Deny all access. Esta directiva tiene prioridad
sobre cualquier otra directiva de esta lista. Si activa esta directiva, deniega el acceso
de lectura y escritura a cualquier dispositivo que esté identificado como que utiliza
almacenamiento removible. Si la desactiva o no la configura, entonces permitirá el
17
acceso de lectura y escritura a las clases de almacenamiento removible, sujeto a
cualesquiera restricciones impuestas por las otras directivas de la lista.
Requisitos para completar los escenarios
Para completar cada uno de los escenarios, debe tener:

Un ordenador cliente ejecutando Windows Vista. Esta guía se refiere a este equipo
como DMI-Cliente1.

Una unidad de memoria USB. Los escenarios descritos en esta guía utilizan una
unidad de memoria USB como dispositivo de ejemplo. Este dispositivo actúa como
una unidad de disco removible; a este dispositivo también se le conoce como
“unidad flash”. La mayoría de las unidades de memoria USB no requieren un
controlador por parte del fabricante y funcionan con los controladores
proporcionados por Windows Vista y Windows Server "Longhorn".
Nota
Las instrucciones asumen que su dispositivo no requiere un controlador
distinto al incluido con Windows Vista y Windows Server "Longhorn". Si su
dispositivo requiere un controlador del fabricante, debe proporcionar ese
controlador cuando Windows se lo pida. Este paso no está contemplado en
los escenarios.

(Opcional) Una grabadora de CD o DVD. El último escenario muestra cómo convertir
en dispositivos de sólo lectura los dispositivos con medios removibles. La directiva
se puede establecer sin tener instalada una grabadora de CD o DVD. No obstante, si
quiere comprobar que la directiva es efectiva, entonces debe contar con un
dispositivo grabador de CD o DVD.

Acceso a una cuenta de administrador protegida en DMI-Cliente1. Esta guía
denomina a esta cuenta TestAdmin. Los procedimientos de esta guía requieren
privilegios de administrador para la mayoría de los pasos. Debe haber iniciado
sesión en DMI-Cliente1 utilizando esta cuenta de administrador al principio de cada
procedimiento.
Nota
Windows Vista y Windows Server "Longhorn" introducen el concepto de
cuenta de administrador protegida. Esta cuenta es un miembro del grupo
Administradores, pero por defecto ese privilegio de seguridad no se utiliza
directamente. Cualquier intento de llevar a cabo una tarea que requiera los
permisos elevados de un administrador genera un cuadro de diálogo
18
solicitando permiso para realizar esa tarea. Este cuadro de diálogo se
explica en la sección "Cómo responder a la página User Account Control",
posteriormente en esta guía. Microsoft recomienda el uso de una cuenta de
administrador protegida siempre que sea posible, en lugar de una cuenta de
administrador integrada.

Acceso a una cuenta de usuario normal en DMI-Cliente1. Esta cuenta de usuario no
tiene una membresía especial que le garantice cualquier clase de permisos
elevados. Esta cuenta se denomina TestUsuario en esta guía. Utilice esta cuenta
para iniciar una sesión en el equipo únicamente cuando se le indique. Con una
cuenta de usuario normal, cualquier intento por llevar a cabo una tarea que requiera
los derechos elevados de un administrador puede provocar un cuadro de diálogo
solicitando las credenciales de una cuenta con privilegios de administrador. Este
cuadro de diálogo se explica en la sección "Cómo responder a la página User
Account Control", posteriormente en esta guía.
Procedimientos previos
Antes de implementar cualquier directiva destinada a permitir o impedir a los usuarios la
instalación de un dispositivo, debe conocer las cadenas de identificación de ese
dispositivo. También debe saber cómo desinstalar completamente su unidad de memoria
USB y su controlador asociado. Los siguientes procedimientos sirven para configurar su
equipo para completar satisfactoriamente los escenarios de esta guía:
1. Cómo responder a la página User Account Control
2. Determinar las cadenas de identificación de dispositivo de la unidad de memoria
USB
3. Desinstalar la unidad de memoria USB
Cómo responder a la página User Account Control
Durante toda la guía se le preguntará por la realización de tareas que sólo pueden ser
realizadas por un miembro del grupo Administradores. Cuando en Windows Vista y
Windows Server "Longhorn" intenta llevar a cabo una tarea que requiere permisos de
administrador, ocurre lo siguiente:

Si ha iniciado sesión con la cuenta de administrador integrada (no es recomendable
hacerlo), entonces la operación simplemente se lleva a cabo. La cuenta de
administrador integrada se encuentra desactivada de forma predeterminada.
19

Si es miembro del grupo Administradores no siendo la cuenta de administrador
integrada, entonces se abre el cuadro de diálogo User Account Control
solicitándole permiso para continuar. Si hace clic en Continue, la tarea prosigue.

Si ha iniciado sesión como usuario normal, entonces podría impedir que se pudiera
realizar la tarea. En función de la tarea, se puede abrir una página User Account
Control para que proporcione el nombre de usuario y la contraseña de una cuenta
de administrador. Si suministra unas credenciales correctas, la tarea se ejecuta en el
contexto de seguridad de la cuenta de administrador facilitada. Si no puede
proporcionar estas credenciales, se le impedirá la ejecución de la tarea.
Importante
Antes de suministrar credenciales o permisos para ejecutar una tarea
administrativa, asegúrese de que se ha mostrado la página User Account
Control en respuesta a una tarea que usted inició. Si la página aparece
inesperadamente, haga clic en el botón Details y asegúrese de que la tarea es
alguna de las que desea permitir.
Esta guía no documenta todas las ocurrencias del cuadro de diálogo User Account
Control que se puede encontrar al llevar a cabo estos procedimientos. Si para realizar
tareas específicas como administrador se necesitan dar pasos especiales, éstos serán
debidamente documentados.
Determinar las cadenas de identificación de dispositivo de la unidad
de memoria USB
Siguiendo estos pasos, puede determinar las cadenas de identificación correspondientes
a su dispositivo. Si los IDs de hardware y compatibles de su dispositivo no coinciden con
los mostrados en esta guía, utilice los IDs apropiados para su dispositivo.
Nota
En los siguientes escenarios debe instalar y después desinstalar su unidad de
memoria USB. Las instrucciones asumen que su dispositivo no requiere ningún
controlador aparte de los que se incluyen con Windows Vista y Windows Server
"Longhorn". Si su dispositivo requiere un controlador del fabricante, debe
suministrarlo cuando Windows se lo pida. Este paso no se incluye en los
escenarios.
Los IDs de hardware y compatibles de su dispositivo los puede determinar de dos
formas. Puede utilizar Device Manager, una herramienta gráfica incluida con el sistema
operativo, o DevCon, una herramienta de la línea de comandos que puede descargar
como parte del Kit de desarrollo de controladores (DDK). El siguiente procedimiento le
20
permitirá ver las cadenas de identificación de dispositivo correspondientes a su unidad
de memoria USB.
Importante
Estos procedimientos son específicos de una unidad de memoria USB. Si está
utilizando un tipo de dispositivo diferente, debe ajustar los pasos en
consecuencia. La diferencia más significativa será la ubicación del dispositivo en
la jerarquía de Device Manager. En lugar de encontrarse en el nodo Disk
Drives, deberá buscar su dispositivo en el nodo apropiado.
Para encontrar las cadenas de identificación utilizando Device Manager
1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
2. Conecte su unidad de memoria USB y deje que la instalación se complete.
3. Para abrir Device Manager, haga clic en el botón Start, escriba
mmc devmgmt.msc en el cuadro Start Search y después pulse INTRO.
4. Si se abre el cuadro de diálogo User Account Control, confirme que la acción
que muestra es la que quiere llevar a cabo, y después haga clic en Continue.
Device Manager se inicia y muestra un árbol que representa todos los
dispositivos detectados en el equipo. En la parte superior del árbol se encuentra
el nodo con el nombre del equipo a continuación. Los nodos inferiores
representan las distintas categorías de hardware en las que se agrupan los
dispositivos del equipo.
5. Haga doble clic en Disk drives para abrir la lista.
21
6. Haga clic con el botón derecho en la entrada de su unidad de memoria USB, y
después haga clic en Properties.
Se abre el cuadro de diálogo Device Properties.
7. Haga clic en la ficha Details.
8. En la lista Property, haga clic en Hardware Ids.
Anote las cadenas mostradas debajo de Value.
22
Nota
Las cadenas no se pueden copiar en el Portapapeles resaltando el texto
y pulsando CTRL+C. Como muchos IDs de hardware tienen varios
caracteres de subrayado, resulta útil copiarlos en un archivo de texto
desde el que luego podrá pegarlos cuando tenga que especificar un
identificador. Este método reduce mucho la posibilidad de cometer un
error cuando hay que añadir un identificador a una lista de dispositivos
permitidos o prohibidos.
9. En la lista Property, haga clic en Compatible Ids.
Anote las cadenas que aparecen debajo de Value.
23
10. Haga clic en OK para cerrar el cuadro de diálogo.
Nota
También puede determinar las cadenas de identificación de su dispositivo
utilizando la utilidad de línea de comandos DevCon, que puede descargar desde
el sitio Microsoft Help and Support. Si desea más información, consulte "La
utilidad de línea de comandos DevCon funciona como una alternativa al
Administrador de dispositivos" en el sitio web de Microsoft
(http://support.microsoft.com/kb/311272/es).
En el sitio Microsoft Developer Network (MSDN) encontrará detalles adicionales
sobre la utilidad DevCon. También encontrará la sintaxis específica necesaria
para utilizar DevCon para determinar los IDs de hardware. Si desea más
24
información, busque la cadena "DevCon HwIDs" en el sitio web MSDN de
Microsoft (http://msdn2.microsoft.com/en-us/default.aspx).
Desinstalar la unidad de memoria USB
En el uso diario normal de una unidad de memoria USB, normalmente podría tirar de la
unidad para desconectarla del puerto USB. No obstante, en esta guía, también debe
desinstalar el dispositivo para asegurarse de iniciar cada escenario con el equipo en el
estado adecuado. Si fracasa al desinstalar y retirar el dispositivo, las directivas que se
prueban en los siguientes escenarios no tendrán efecto y no verá los resultados
esperados. Siga estos mismos pasos durante toda la guía cuando se le inste a
desinstalar y retirar su dispositivo.
Importante
No desconecte físicamente su dispositivo del puerto USB hasta haber llegado al
último paso.
Para desinstalar su dispositivo de memoria USB
1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
2. Para abrir Device Manager, haga clic en el botón Start, escriba
mmc devmgmt.msc en el cuadro Start Search y después pulse INTRO.
3. Si se abre el cuadro de diálogo User Account Control, confirme que la acción
mostrada es la que quiere llevar a cabo, y después haga clic en Continue.
4. Haga clic con el botón derecho en la entrada correspondiente a su unidad de
memoria USB, y después haga clic en Uninstall.
25
5. En el cuadro de diálogo Confirm Device Removal, haga clic en OK para
permitir que se complete el proceso de desinstalación.
6. Cuando Windows completa el proceso de desinstalación, elimina la entrada del
dispositivo del árbol de Device Manager.
7. Desconecte la unidad de memoria USB del puerto USB.
Evitar la instalación de todos los dispositivos
Este escenario documenta los pasos típicos necesarios para implementar la
configuración más restrictiva, según la cual se evita la instalación de todos los
dispositivos y no es posible actualizar los controladores de los dispositivos existentes.
Los usuarios no podrán instalar un dispositivo y utilizarlo sin la intervención de un
administrador. Los administradores sí podrán instalar o actualizar cualquier dispositivo.
Prerrequisitos para impedir la instalación de todos los
dispositivos
Para completar los procedimientos de este escenario, debe desinstalar su unidad de
memoria USB como se describió en la sección "Desinstalar la unidad de memoria USB",
anteriormente en este documento.
Pasos para impedir la instalación de todos los dispositivos
1. Configurar la directiva para impedir la instalación de cualquier dispositivo
2. Configurar la directiva para permitir a los administradores ignorar las restricciones de
instalación de dispositivos
3. Probar como usuario los efectos de la configuración de las restricciones
Paso 1: Configurar la directiva para impedir la instalación
de cualquier dispositivo
Para configurar la directiva que evita la instalación o la actualización de
cualquier dispositivo
1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
2. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba
mmc gpedit.msc en el cuadro Start Search, y después pulse INTRO.
26
3. Si se abre el cuadro de diálogo User Account Control, confirme que la acción
mostrada es la que quiere llevar a cabo y, después, haga clic en Continue.
4. En el panel de navegación de Group Policy Object Editor, haga doble clic en
Computer Configuration para abrirlo. Después, abra, por este orden,
Administrative Templates, System, Device Installation y, por último, Device
Installation Restrictions.
5. En el panel de detalles, haga clic con el botón derecho en Prevent installation of
devices not described by other policy settings y haga clic en Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
6. En la ficha Setting, haga clic en Enabled para activar la directiva.
7. Haga clic en OK para guardar su configuración y regresar a Group Policy Object
Editor.
Paso 2: Configurar la directiva para permitir a los
administradores ignorar las restricciones de instalación de
dispositivos
La siguiente directiva permite a los administradores ignorar las restricciones impuestas
por la configuración de otras directivas de instalación, incluyendo la que acaba de
activar.
27
Para configurar la directiva que permite a los administradores ignorar las
restricciones de instalación de dispositivos
1. En el panel de detalles, haga clic con el botón derecho en Allow administrators to
override device installation policy y, después, haga clic en Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
2. En la ficha Setting, haga clic en Enabled para activar la directiva.
3. Haga clic en OK para guardar su configuración y regresar a Group Policy Object
Editor.
Las dos directivas muestran ahora su estado como “activado”.
4. Cierre Group Policy Object Editor.
Paso 3: Probar como usuario los efectos de la
configuración de las restricciones
Con las dos directivas activadas, puede aplicarlas al equipo e intentar instalar el
dispositivo para ver cómo funcionan las restricciones.
Para probar como usuario los efectos de su configuración de las restricciones
1. Si su dispositivo está instalado, desinstálelo y retírelo siguiendo los pasos de la
sección "Desinstalar la unidad de memoria USB", anteriormente en este documento.
2. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search, y
después pulse INTRO.
3. Cuando haya finalizado el comando GPUdate, cierre la sesión actual y, después,
inicie una sesión como DMI-Cliente1\TestUsuario.
28
4. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc
en el cuadro Start Search y pulse INTRO.
Aparece el siguiente mensaje, indicando que no tiene permisos para hacer cambios
en Device Manager.
5. Haga clic en OK para aceptar el mensaje.
Device Manager se inicia y podrá ver los dispositivos de su equipo.
6. Conecte su unidad de memoria USB.
Hasta que la instalación se completa satisfactoriamente, el dispositivo aparece en
Device Manager bajo el nodo Other devices.
7. Como ha iniciado la sesión como un usuario normal sin permisos administrativos, y
la instalación de dispositivos está ahora restringida, aparece el siguiente cuadro de
diálogo:
29
8. Para simular la respuesta de un usuario típico, haga clic en Locate and install
driver software (recommended).
Se abre una variante del cuadro de diálogo User Account Control, pidiéndole el
nombre de usuario y la contraseña de una cuenta que tenga permisos de
administrador.
9. Como un usuario no debería tener credenciales de administrador, haga clic en
Cancel para abandonar el intento, igual que haría un usuario.
La instalación del controlador del dispositivo falla, y el dispositivo sigue apareciendo
bajo el nodo Other devices, y no es operativo.
30
Permitir a los usuarios instalar únicamente
los dispositivos autorizados
Este escenario se basa en el primer escenario, Evitar la instalación de todos los
dispositivos, donde se prohíbe la instalación de cualquier dispositivo. En este escenario,
añadirá a la directiva una lista de los dispositivos permitidos e incluirá el ID de hardware
de su unidad de memoria USB.
Prerrequisitos para permitir a los usuarios la instalación
únicamente de los dispositivos autorizados
Para completar esta tarea, primero debe completar todos los pasos del primer escenario,
Evitar la instalación de todos los dispositivos.
Pasos para permitir a los usuarios la instalación
únicamente de los dispositivos autorizados
En esta sección añadirá los dispositivos permitidos a las restricciones impuestas en
Evitar la instalación de todos los dispositivos, mediante la creación de una lista con los
dispositivos autorizados.
1. Crear una lista de los dispositivos autorizados
2. Probar como usuario los efectos de la lista de dispositivos autorizados
Paso 1: Crear una lista de los dispositivos autorizados
Para crear una lista de los dispositivos autorizados
1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
2. Si su dispositivo ya está instalado, desinstálelo y retírelo siguiendo los pasos de
la sección "Desinstalar la unidad de memoria USB", anteriormente en este
documento.
3. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba
mmc gpedit.msc en el cuadro Start Search y pulse INTRO.
4. En el panel de navegación de Group Policy Object Editor, haga doble clic en
Computer Configuration para abrirlo. Después, abra, por este orden,
Administrative Templates, System, Device Installation y, por último, Device
Installation Restrictions.
31
5. En el panel de detalles, haga clic con el botón derecho en Allow installation of
devices that match any of these device IDs y después haga clic en Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
6. En la ficha Setting, haga clic en Enabled para activar esta directiva.
7. Haga clic en Show para ver la lista de dispositivos permitidos en el cuadro de
diálogo Show Contents.
Por defecto, la lista está vacía.
8. Haga clic en Add para abrir el cuadro de diálogo Add Item.
9. Introduzca el ID del dispositivo (el primer ID de hardware) de su dispositivo.
32
10. Haga clic en OK para regresar al cuadro de diálogo Show Contents.
Su dispositivo ya aparece en la lista.
11. Haga clic en OK para regresar al cuadro de diálogo de la directiva.
12. Haga clic en OK para guardar la nueva configuración de la directiva.
Paso 2: Probar como usuario los efectos de la lista
de dispositivos autorizados
Con la configuración de la directiva activada, puede aplicarla al equipo e intentar instalar
el dispositivo.
Para probar la lista de dispositivos autorizados
1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search, y
después pulse INTRO.
33
2. Cuando el comando gpudate ha finalizado, cierre la sesión en el equipo e inicie otra
sesión como DMI-Cliente1\TestUsuario.
3. Para abrir Device Manager, haga clic en el botón Start, escriba mmc devmgmt.msc
en el cuadro Start Search, y pulse INTRO.
Aparece el siguiente mensaje, indicando que no tiene permisos para hacer cambios
en Device Manager.
4. Haga clic en OK para cerrar el mensaje.
Device Manager se iniciará y podrá ver los dispositivos de su equipo.
5. Conecte su unidad de memoria USB.
El dispositivo aparece bajo el nodo Other devices de Device Manager hasta que
Windows completa la instalación.
6. Una vez que Windows ha completado la instalación, el dispositivo pasa al nodo Disk
Drives de Device Manager y es completamente operativo.
34
Evitar la instalación de dispositivos
prohibidos
Este escenario presenta una forma alternativa de controlar la instalación de dispositivos.
En los dos primeros escenarios se impedía la instalación de todos los dispositivos,
excepto de los permitidos por una lista de dispositivos autorizados. En este escenario,
permitirá la instalación de todos los dispositivos, excepto los que figuran en una lista de
dispositivos prohibidos. También eliminará la excepción que creó en el primer escenario
para los administradores, de modo que incluso un administrador se vea afectado por la
directiva.
Prerrequisitos para evitar la instalación de dispositivos
prohibidos
Si completó los pasos de Evitar la instalación de todos los disposiivos y Permitir a los
usuarios instalar únicamente los dispositivos autorizados, debe desactivar estas
directivas siguiendo estos pasos:

Activar la instalación de todos los dispositivos.

Eliminar la excepción destinada a los miembros del grupo Administradores que les
permite la instalación de dispositivos.

Eliminar el ID de hardware de la lista de dispositivos aprobados.
35
Para activar la instalación de todos los dispositivos
1. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
2. Para abrir Group Policy Object Editor, haga clic en el botón Start, escriba
mmc gpedit.msc en el cuadro Start Search y, después, pulse INTRO.
3. En el panel de navegación de Group Policy Object Editor, haga doble clic en
Computer Configuration para abrirlo. Después, abra, por este orden,
Administrative Templates, System, Device Installation y, por último, Device
Installation Restrictions.
4. En el panel de detalles, haga clic con el botón derecho en el nodo Prevent
installation of devices not described by other policy settings y, después,
haga clic en Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
5. Haga clic en Disabled para desactivar la directiva.
6. Haga clic en OK para guardar su configuración y regresar a Group Policy Object
Editor.
El siguiente paso es eliminar la directiva que concedía una excepción a los miembros del
grupo Administradores.
Para eliminar las restricciones de Group Policy a los administradores
1. En Group Policy Object Editor, haga clic con el botón derecho en Allow
administrators to override device installation policy y, después, haga clic en
Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
2. En la ficha Setting, haga clic en Disabled para desactivar la directiva.
3. Haga clic en OK para guardar su configuración y regresar a Group Policy Object
Editor.
El siguiente paso consiste en eliminar el ID de hardware de la lista de dispositivos
autorizados que creó en el segundo escenario.
Para eliminar el ID de hardware de la lista de dispositivos autorizados
1. En Group Policy Object Editor, haga clic con el botón derecho en Allow
installation of devices that match any of these device IDs y, después, haga
clic en Properties.
36
Se abre el cuadro de diálogo de la directiva con la configuración actual.
2. En la ficha Setting, haga clic en Show para ver la lista de dispositivos
autorizados.
3. En el cuadro de diálogo Show Contents, seleccione el nombre de su unidad de
memoria USB y, después, haga clic en Remove.
Windows elimina su dispositivo de la lista.
4. Haga clic en OK para cerrar el cuadro de diálogo Show Contents y regresar al
cuadro de diálogo de la directiva.
5. Haga clic en Disabled para desactivar la configuración de directiva.
6. Haga clic en OK para guardar sus cambios y regresar a Group Policy Object
Editor.
Pasos para evitar la instalación de dispositivos prohibidos
Para evitar que los usuarios instalen dispositivos específicos, creará una lista de
dispositivos prohibidos. En esta sección hará lo siguiente:
1. Crear una lista de dispositivos prohibidos
2. Probar la lista de dispositivos prohibidos
Paso 1: Crear una lista de dispositivos prohibidos
Para crear una lista de dispositivos prohibidos
1. Si tiene su dispositivo actualmente instalado, desinstálelo y retírelo como se explica
en "Desinstalar la unidad de memoria USB", anteriormente en este documento.
2. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
3. Si no lo tiene ya abierto, inicie Group Policy Object Editor. Para ello, haga clic en el
botón Start, escriba mmc gpedit.msc en el cuadro Start Search y, después, pulse
INTRO.
4. En el árbol, haga doble clic en Computer Configuration para abrirlo. Después,
abra, por este orden, Administrative Templates, System, Device Installation y
Device Installation Restrictions.
5. En el panel de detalles, haga clic con el botón derecho en Prevent installation of
devices that match these device IDs y, a continuación, haga clic en Properties.
37
Se abre el cuadro de diálogo de la directiva con la configuración actual.
6. En la ficha Setting, haga clic en Enabled para activar esta directiva.
7. Haga clic en Show para ver la lista de dispositivos prohibidos.
8. En el cuadro de diálogo Show Contents, haga clic en Add.
9. En el cuadro de diálogo Add Item, escriba el ID de dispositivo (el primer ID de
hardware) que encontró para su dispositivo.
10. Haga clic en OK para regresar al cuadro de diálogo Show Contents.
Su dispositivo aparece ahora en la lista.
38
11. Haga clic en OK para regresar al cuadro de diálogo de la directiva.
12. Haga clic en OK para guardar su nueva configuración de directiva.
Paso 2: Probar la lista de dispositivos prohibidos
Ahora puede intentar instalar el dispositivo. Puede instalar otros dispositivos porque la
directiva ya no impide su instalación, pero no podrá instalar este dispositivo en concreto,
aun cuando haya iniciado la sesión como miembro del grupo Administradores.
Para probar la lista de dispositivos prohibidos
1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search
y, después, pulse INTRO.
2. Cuando el comando gpudate haya terminado, cierre la línea de comandos.
3. Para abrir Device Manager, haga clic en el botón Start, escriba
mmc devmgmt.msc en el cuadro Start Search y, después, pulse INTRO.
4. Conecte su unidad de memoria USB.
El dispositivo aparece en Device Manager bajo el nodo Other devices.
La instalación no se ha completado y el dispositivo no funciona.
39
5. Windows muestra un mensaje en el área de notificación explicando la razón por
la que ha fallado la instalación:
6. Puede intentar ignorar las restricciones instalando manualmente el controlador
del dispositivo. Haga clic con el botón derecho en el dispositivo y, a
continuación, haga clic en Update Driver Software.
7. El sistema operativo le pide que suministre el controlador del dispositivo.
40
8. Para simular lo que un usuario podría intentar, haga clic en Search
automatically for updated driver software.
Aparece un mensaje explicándole lo que Windows ha encontrado, pero que no
puede instalar el controlador. El último párrafo explica que ha fallado el intento
de instalación porque está prohibido por la directiva que creó.
9. Haga clic en Close.
Control de los permisos de lectura y escritura
en los medios removibles
Este escenario muestra cómo controlar el acceso de lectura y escritura a los dispositivos
removibles o a los que utilizan medios removibles, en los equipos que ejecutan
Windows Vista y Windows Server "Longhorn". En este escenario establecerá Group
Policy para hacer que su unidad de memoria USB sea de sólo lectura. También
configurará Group Policy para conseguir que cualquier grabadora de CD o DVD
conectada a su equipo sea de sólo lectura, desactivando la característica de grabación.
41
Prerrequisitos para controlar los permisos de lectura y
escritura en los medios removibles
Antes de realizar los procedimientos de esta sección, debe desactivar la directiva que
impide la instalación de unidades de memoria USB.
Para desactivar la directiva que impide la instalación de unidades de memoria
USB
1. Si ya tiene instalado su dispositivo, desinstálelo y retírelo siguiendo los pasos de
la sección "Desinstalar la unidad de memoria USB", anteriormente en este
documento.
2. En el panel de detalles de Group Policy Object Editor, haga clic con el botón
derecho en Prevent installation of devices that match these device IDs y, a
continuación, haga clic en Properties.
Se abre el cuadro de diálogo de la directiva con la configuración actual.
3. En la ficha Settings, haga clic en Show para ver la lista de dispositivos
prohibidos.
4. En el cuadro de diálogo Show Contents, haga clic en su unidad de memoria
USB, después en Remove y, por último, en OK.
5. En la ficha Setting, haga clic en Disabled para desactivar esta directiva.
6. Haga clic en OK para guardar su configuración.
Pasos para controlar los permisos de lectura y escritura en
los medios removibles
1. Establecer la directiva de equipo para denegar el acceso de escritura a clases de
dispositivos removibles específicos
2. Probar la configuración de la directiva de equipo
Paso 1: Establecer la directiva de equipo para denegar el
acceso de escritura a clases de dispositivos removibles
específicos
Las directivas que establecerá en este procedimiento bloquearán el acceso de escritura
a muchos dispositivos de almacenamiento removible. Sin embargo, la directiva de
equipo exacta que bloquea el acceso de escritura a su dispositivo puede variar en
42
función de la marca y el modelo concretos del dispositivo. También puede utilizar la
directiva Custom Classes, pero requiere que identifique el GUID de clase de
configuración del dispositivo concreto.
Para denegar el acceso de escritura a clases de dispositivos removibles
1. En el panel de navegación de Group Policy Object Editor, abra, por este orden,
Computer Configuration, Administrative Templates, System y, por último,
Removable Storage Access.
2. Haga clic con el botón derecho en CD and DVD: Deny write access, y después
haga clic en Properties.
3. En el cuadro de diálogo Properties, haga clic en Enabled para activar la
restricción y, después, haga clic en OK.
4. Repita los pasos 2 y 3 para las siguientes directivas de equipo:

Removable Disks: Deny write access

Floppy Drives: Deny write access

WPD Devices: Deny write access
5. Cierre Group Policy Object Editor.
Paso 2: Probar la configuración de la directiva de equipo
Si un dispositivo está en uso, la directiva de restricción del acceso de escritura no puede
implementarse de inmediato. Para aplicar la directiva de equipo, reinicie el equipo.
Para probar su configuración de directiva de equipo
1. Haga clic en el botón Start, escriba gpupdate /force en el cuadro Start Search
y pulse INTRO.
2. Cuando el comando gpudate haya finalizado, reinicie el equipo.
3. Inicie una sesión en el equipo como DMI-Cliente1\TestAdmin.
4. Conecte su unidad de memoria USB y espere hasta que Windows le notifique
que es operativa.
5. Haga clic en Start, después haga clic en Computer y, a continuación, haga
doble clic en su unidad de memoria USB.
6. En el Explorador de Windows, haga clic con el botón derecho en un área abierta
del panel de detalles, haga clic en New y, después, haga clic en Folder.
43
Windows muestra un mensaje de error explicando por qué ha fallado el intento
de crear una carpeta.
7. Haga clic en Continue para intentar superar la restricción.
8. Si se abre el cuadro de diálogo User Account Control, confirme que la acción
que muestra es la que desea llevar a cabo, y haga clic en Continue.
9. Windows muestra un segundo mensaje indicando la razón por la que no puede
escribir en la carpeta.
10. Haga clic en Cancel para cerrar el cuadro de diálogo.
44
Conclusión
En esta guía ha utilizado un dispositivo de ejemplo en un entorno de prácticas para
aprender a controlar si sus usuarios podrán o no instalar un dispositivo. También ha
aprendido a restringir el acceso a los dispositivos de almacenamiento removible o a los
dispositivos que utilizan medios removibles. El control de la instalación y del uso de
dispositivos de este modo mejorará su seguridad, así como la eficacia de su escritorio de
ayuda al limitar los dispositivos que los usuarios pueden instalar a los que están
aprobados y soportados por la empresa. Los escenarios utilizados para mostrar estas
configuraciones han sido los siguientes:

Evitar la instalación de todos los dispositivos.
En este escenario se impide que los usuarios normales instalen cualquier dispositivo,
pero se permite que los administradores puedan instalar o actualizar dispositivos.

Permitir a los usuarios instalar únicamente los dispositivos autorizados.
En este escenario se permite a los usuarios normales instalar únicamente los
dispositivos incluidos en una lista de dispositivos autorizados.

Impedir la instalación únicamente de los dispositivos prohibidos.
En este escenario se permite a los usuarios normales instalar la mayoría de los
dispositivos, pero no pueden instalar los incluidos en una lista de dispositivos
prohibidos.

Controlar el uso de los dispositivos de almacenamiento de medios removibles.
En este escenario se impide a los usuarios normales escribir datos en los
dispositivos de almacenamiento removibles, o en dispositivos con medios
removibles, como una unidad de memoria USB o una grabadora de CD o DVD.
Registro de errores e información
Su información es bienvenida. Si los escenarios incluidos no funcionan como se describe
o si no reflejan el modo en que desea utilizar la tecnología, sea tan amable de
decírnoslo. Utilizaremos esa información que nos proporciona para mejorar la calidad de
esta documentación. Envíe sus comentarios sobre este documento a Vista Feedback
([email protected]).
Si desea ofrecernos comentarios y sugerencias sobre Windows Vista, utilice por favor el
enlace Contact Us que encontrará en la parte inferior de la página web de Windows Vista
(http://www.microsoft.com/windowsvista).
45
Recursos adicionales
Si desea más información sobre la instalación de dispositivos:

Device Management e instalación
http://go.microsoft.com/fwlink/?LinkId=59274

Cómo selecciona Setup los controladores de dispositivos
http://go.microsoft.com/fwlink/?LinkId=54881

Cadenas de identificación de dispositivos
http://go.microsoft.com/fwlink/?LinkId=52665
Si desea más información sobre la herramienta DevCon:

"DevCon" en el sitio web de Microsoft
http://go.microsoft.com/fwlink/?linkid=54880

La herramienta de línea de comandos DevCon funciona como una alternativa al
Administrador de dispositivos
http://support.microsoft.com/kb/311272/es

DevCon HwIDs
http://go.microsoft.com/fwlink/?linkid=56389
Si desea más información sobre User Account Control en Windows Vista:

User Account Control
http://go.microsoft.com/fwlink/?linkid=68249
Si desea más información sobre Group Policy:

Group Policy
http://go.microsoft.com/fwlink/?LinkId=55625
Descargar