La mejor configuración de directiva de grupo que necesita modificar para controlar Windows

Si desea cambiar el comportamiento de Windows tomando más control sobre la seguridad o deshabilitando algunas cosas que Microsoft le ofrece, puede hacerlo ajustando la configuración de la Política de grupo. Sí, también puede hacer lo , pero la Política de grupo tiene algunas ventajas más, como que la Política de grupo no cambiará después de una actualización de Windows, a diferencia del Registro. Lo que es más importante, puede configurar la Política de grupo localmente en su sistema o hacer que el directorio activo se aplique a varios sistemas en su dominio. Por lo tanto, esto es especialmente útil para las oficinas y escuelas que ejecutan computadoras con Windows.

La mejor configuración de directiva de grupo

Antes de comenzar, entendamos que la Política de grupo es una herramienta gráfica que le permite editar la configuración nativa del sistema operativo, la configuración del kernel, etc. Sin embargo, modificar la Política de grupo de manera incorrecta puede incluso causar un mal funcionamiento de su sistema operativo. Por lo tanto, si va a realizar algún cambio, asegúrese de exportar la lista antes de realizar cualquier cambio.

Cómo acceder a la política de grupo

Una de las mayores advertencias de la Política de grupo es que está disponible solo en aquellas computadoras que ejecutan versiones de Windows Professional, Education o Enterprise. Aunque está ejecutando Windows Home, puede acceder a la Política de grupo pero con algunas soluciones alternativas, que explicaré a continuación.

Para acceder a la Política de grupo, hay varias formas, una de las más fáciles es abrir el Símbolo del sistema> escribir «gpedit.msc» y hacer clic en Intro. 

Aunque la Política de grupo no forma parte de las ediciones de Windows Home, todavía hay una forma de acceder a ella. Todo lo que tiene que hacer es instalar un Editor de directivas de grupo de terceros descargando este . Ábralo como administrador, comenzará a instalarse en el símbolo del sistema. La instalación tardará entre 2 y 3 minutos. Una vez que finalice el proceso, abra el símbolo del sistema nuevamente y escriba gpedit.msc para acceder a él.

1. Deshabilite cualquier instalación de software

Al no permitir que los usuarios instalen varios programas, puede disminuir la cantidad de mantenimiento y limpieza necesarios cuando se instala algo malo, ya que también es una de las posibles razones del malware. Esto es aún más útil, especialmente en las escuelas, donde desea que los estudiantes accedan solo a lo que necesitan.

Si desea restringir que los usuarios instalen o ejecuten programas, puede configurarlo abriendo Política de grupo> Navegar a Configuraciones de la computadora> Plantillas administrativas> Componentes de Windows> Instalador de Windows y hacer doble clic en la opción Desactivar el Instalador de Windows . Cambie la configuración para habilitar y asegúrese de que la opción diga «Solo para aplicaciones no administradas», para que puedan instalar todas las aplicaciones permitidas por la administración. Ahora haga clic en Aplicar y reinicie la computadora para que se realicen los cambios.

Bloqueo para ejecutar aplicaciones específicas 

Bloquear todas las aplicaciones para instalar es una exageración en muchas situaciones. Si todo lo que desea es bloquear solo algunas aplicaciones, puede realizar estos cambios en la política de grupo.

Abra Política de grupo > Configuración de usuario > Plantillas administrativas > Sistema y haga doble clic en  la opción No ejecutar las aplicaciones de Windows especificadas  . Cambie la configuración para habilitar y haga clic en el botón Mostrar. Ahora puede ingresar a la lista de las aplicaciones que desea bloquear para los usuarios y hacer clic en Aceptar. Ahora haga clic en Aplicar y reinicie el sistema para que se aplique la configuración.

2. Bloquea el acceso al Panel de Control

Es importante establecer límites para el panel de control principalmente en entornos comerciales, ya que le brinda control sobre todo el sistema. Puede bloquear todo el acceso o limitar su acceso.

Para bloquear el acceso, abra Política de grupo > Configuración de usuario > Plantillas administrativas > Panel de control >  y haga doble clic en  Prohibir acceso al Panel de control y configuración de PC y haga clic en habilitar y aplicar. Y los cambios se aplicarán de inmediato.

Mostrar solo elementos específicos del panel de control 

El proceso anterior bloquea el acceso a todo el panel de control. Pero si está buscando limitar el uso. puede hacerlo abriendo Política de grupo> Configuración de usuario> Plantillas administrativas> Panel de control>  y haga doble clic en Mostrar solo elementos específicos del Panel de control  y haga clic en habilitar. Ahora haga clic en la opción Mostrar para especificar cada opción del panel de control para mostrar. Si no está en esta lista, no se mostrará al usuario.

Esto significa que deberá seleccionar y escribir cuidadosamente cada elemento del Panel de control que desee incluir. Puede encontrar los nombres de  .

3. Deshabilitar símbolo del sistema

El símbolo del sistema es, sin duda, muy útil y también una pesadilla al mismo tiempo, ya que brinda a los usuarios la oportunidad de ejecutar comandos y programas para los que no está destinado. También puede ser una herramienta peligrosa en manos de personas sin experiencia. Hay muchas razones para deshabilitar el símbolo del sistema, tal vez tenga hijos que compartan una computadora familiar o permita que los invitados usen su computadora cuando se quedan con usted. O tal vez tiene una computadora comercial que necesita bloquear.

Para deshabilitar, abra Política de grupo > Configuración de usuario > Plantillas administrativas > Sistema y haga doble clic en la opción Impedir el acceso a la línea de comandos . Cambie la Política para habilitar y aplicar. Ahora necesita reiniciar para que se apliquen los cambios.

4. Deshabilitar el Editor del Registro de Windows

Al igual que el símbolo del sistema, el editor de registro puede incluso romper cosas y eludir algunas restricciones de políticas de grupo. Entonces, para salvaguardar la política, puede abrir Política de grupo> Configuración de usuario> Plantillas administrativas> Sistema y hacer doble clic en Impedir el acceso a las herramientas de edición del registro y habilitarlo. Ahora haga clic en Aplicar y reinicie la PC para aplicar los cambios.

5. Bloquee los controladores de medios extraíbles

Los USB u otras formas de dispositivos de medios extraíbles pueden ser peligrosos para la PC. Si alguien accidental o intencionalmente conecta un dispositivo de almacenamiento infectado con virus, puede afectar la PC o incluso el dominio. Cuando se ejecutan muchas computadoras, permitir controladores de medios dificulta la administración del almacenamiento. El bloqueo de controladores de medios extraíbles se usa comúnmente en muchas escuelas y universidades.

Para bloquear los controladores de medios, abra Política de grupo > Configuración de usuario > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble y haga doble clic en Discos extraíbles: Denegar acceso de lectura. Ahora haga clic en la opción habilitar y aplique para detener la PC para leer controladores externos.

Opción de bloqueo de escritura 

La opción anterior solo hará que la PC no lea los archivos en el dispositivo externo. Pero aún puede copiar los archivos en el dispositivo externo. Si desea proteger los archivos, también debe bloquear la opción de escritura. Esto se implementa comúnmente en entornos empresariales.

Para bloquear las opciones de escritura, abra Política de grupo > Configuración de usuario > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble y haga doble clic en Discos extraíbles: Denegar acceso de escritura . Ahora habilite la opción y seleccione aplicar para aplicar los cambios.

Como alternativa, puede usar Todas las clases de almacenamiento extraíble: Denegar todo acceso para bloquear las opciones de lectura y escritura al mismo tiempo.

6. Ocultar unidad de partición de la computadora

Si hay información confidencial en los sistemas, es posible que desee ocultarla de los usuarios específicos para acceder a ella. Puede hacerlo desde la configuración de la directiva de grupo. Pero recuerde que esta configuración solo la ocultará del explorador de archivos y algunas otras aplicaciones, pero las personas aún pueden acceder a ella desde el símbolo del sistema.

De todos modos, puede ocultarlo abriendo Política de grupo> Configuración de usuario> Plantillas administrativas> Componentes de Windows> Explorador de Windows y haciendo doble clic en Ocultar estas unidades especificadas en Mi PC y seleccionando la opción de habilitar. Una vez habilitado, haga clic en el menú desplegable en el panel Opciones y seleccione qué unidades desea ocultar. Las unidades se ocultarán cuando haga clic en Aceptar.

7. Aumente la longitud mínima de la contraseña

La longitud predeterminada de la contraseña de Windows es 8 y debe usar al menos una mayúscula, una minúscula y un número o carácter especial. De hecho, está bien asegurado. Pero puede mejorar la seguridad aumentando la longitud de la contraseña. Puede configurarlo hasta 14 junto con el uso de mayúsculas, minúsculas y números o caracteres especiales.

Puede cambiar eso abriendo Política de grupo> Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas de cuenta> Política de contraseña y haga doble clic en Política de longitud mínima de contraseña y especifique un valor para la longitud y haga clic en y aplicar.

8. Seguimiento de los inicios de sesión de la cuenta

Con la Política de grupo, puede obligar a Windows a rastrear todos los inicios de sesión exitosos y fallidos en la PC. Puede configurarlo para una computadora específica o un usuario específico. De todos modos, esto será útil para rastrear a las personas no autorizadas que intentan iniciar sesión. Puede habilitarlo abriendo Política de grupo> Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría y toque dos veces en Eventos de inicio de sesión de auditoría. 

Aquí marque la casilla de verificación junto a  las opciones «Éxito»  y  «Fracaso» . Cuando haga clic en Aceptar, Windows comenzará a mantener un registro de los inicios de sesión realizados en la PC.

Para ver esos inicios de sesión, abra Ejecutar e ingrese eventvwr para abrir el Visor de eventos de Windows. Ahora expanda los Registros de Windows y luego seleccione la opción Seguridad  . En el panel central, puede ver todos los intentos de inicio de sesión. Puede ver la cuenta que intentó iniciar sesión, la fecha y también la hora. Pero el éxito y los intentos fallidos son menciones con código.

9. Deshabilitar OneDrive

Puede que te guste OneDrive o lo odies por completo. Si usted o su organización no usa OneDrive o simplemente desea eliminarlo de su PC, puede hacerlo con la Política de grupo. Abra Política de grupo > Configuración del equipo > Plantillas administrativas > Componentes de Windows > OneDrive y haga doble clic en Impedir el uso de OneDrive para el almacenamiento de archivos . Ahora habilítelo y haga clic en Aplicar. Necesita reiniciar la PC para los cambios.

10. Mantenga los cambios de políticas de grupo bajo control

De todos modos, estos cambios se pueden revertir a la normalidad utilizando la Política de grupo con el mismo método, pero volviéndolos a desactivar. Puede permanecer a cargo de la directiva de grupo mediante . Para realizar un seguimiento continuo de los cambios realizados en los objetos de directiva de grupo, pruebe 

Terminando

Una vez que haya terminado de ajustar la configuración de la Política de grupo, debe , donde puede configurar el directorio para cada PC en el dominio. También puede Ahora todo lo que necesita hacer es descargar la Política de grupo de Active Directory para aplicarla. Cualquier cambio en el directorio activo se aplicará automáticamente a los sistemas individuales.