Cuando administras dispositivos Windows en tu organización con la administración de dispositivos Windows, puedes restringir qué apps se permiten en esos dispositivos agregando parámetros de configuración personalizados en la Consola del administrador de Google. Especifica las apps en un archivo XML que subes como el valor del parámetro de configuración personalizado. Puedes bloquear apps individuales o todos los archivos de apps que coincidan con un tipo determinado, como los archivos EXE o MSI.
Paso 1: Especifica las apps permitidas y bloqueadas en un archivo XML
Para crear el archivo XML, puedes usar la línea de comandos en PowerShell o la GUI en el editor de políticas de grupo de Windows. Estas instrucciones te muestran cómo compilar una sola política, pero puedes combinar políticas relacionadas para apps con el mismo tipo de archivo en un archivo XML. Consulta los ejemplos.
Importante: Para bloquear diferentes tipos de archivos de apps (EXE, MSI, secuencias de comandos, StoreApps y DLL), debes crear parámetros de configuración personalizados separados.
Opción 1: Línea de comandos (PowerShell)
- Usa un generador de GUID en línea para obtener un GUID aleatorio. Nota: En un motor de búsqueda, busca
online GUID generator. - Si quieres bloquear una app específica, obtén su información. Si quieres bloquear todas las apps con un determinado tipo de archivo, puedes omitir este paso.
- En un dispositivo Windows, descarga el archivo ejecutable de la app (el que termina en .exe) que quieras bloquear o permitir.
- Abre PowerShell.
- Ejecuta Get-AppLockerFileInformation -path PathToExe | format-list, donde PathToExe es la ruta de acceso al archivo ejecutable.
- En la respuesta, busca y registra los valores en la línea
Publisher. Los valores tienen el siguiente formato y corresponden a los valores que usarás en el XML:PublisherNameProductNameBinaryName,BinaryVersion
El nombre del publicador es una cadena larga, como
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, y debes incluir la cadena completa.
- Copia el siguiente código XML en un editor de texto:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Edita el XML para reemplazar los marcadores de posición por sus valores. Para ver casos de uso específicos, como agrupar varias políticas en un solo archivo, consulta los ejemplos.
Marcador de posición Valor Tipo El tipo de archivo de la app (debe coincidir con el OMA-URI):
- En el caso de los archivos EXE, ingresa
"Exe". - En el caso de los archivos MSI, ingresa
"Msi". - En el caso de los archivos de secuencia de comandos, ingresa
"Script". - En el caso de los archivos DLL, ingresa
"Dll". - En el caso de las apps de Microsoft Store, ingresa
"Appx".
GUID El GUID que generaste en el paso 1 PolicyName Nombre de la política Puedes usar cualquier cadena. PolicyDescription Una descripción de la política UserOrGroupSid Los usuarios o grupos a los que se aplica la política: - Para aplicar la política a todos los usuarios del dispositivo, ingresa S-1-1-0.
- Para aplicar la política a un usuario específico, ingresa su SID. Para obtener su SID, ejecuta lo siguiente en la línea de comandos:
wmic username get name,sid
donde nombre de usuario es el nombre de usuario del usuario en el dispositivo. Si no conoces el nombre de usuario, ejecuta el siguiente comando para obtener una lista de todos los usuarios del dispositivo:
wmic useraccount get name,sid
-
Solo puedes ingresar un nombre de usuario. Para aplicar la política a más usuarios, colócalos en un grupo o copia la política y actualiza el nombre.
- Para aplicar la política a un grupo específico, ingresa su SID. Para obtener el SID del grupo, ejecuta el siguiente comando en la línea de comandos:
wmic groupName get name,sid
donde groupName es el nombre del grupo en el dispositivo. Si no conoces el nombre del grupo, puedes obtener una lista de todos los grupos del dispositivo ejecutando el siguiente comando:
wmic group get name,sid
Permitir|Rechazar Selecciona la acción para esta política, ya sea que bloquee o permita las apps especificadas. PublisherName El nombre del publicador de la app (PublisherName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo. BinaryName Nombre de archivo del binario (BinaryName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo.
Por ejemplo, para bloquear todos los archivos EXE, ingresa * y, cuando agregues el parámetro de configuración personalizado, selecciona el OMA-URI que termina en /EXE/Policy.
ProductName Es el nombre del producto (ProductName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo. latestVersion Es el número de la versión más reciente de la app a la que se aplica esta política. Para bloquear todas las versiones de la app, ingresa *. earliestVersion Es el número de versión más antiguo de la app al que se aplica esta política. Para bloquear todas las versiones de la app, ingresa *. - En el caso de los archivos EXE, ingresa
-
Guarda el archivo.
Opción 2: GUI (editor de políticas de grupo de Windows)
- Sigue las instrucciones de la sección "Generación del XML" de este artículo de Microsoft. Deja de seguir las instrucciones cuando llegues a la sección "Cómo crear la política".
Nota: En estas instrucciones, se describe cómo crear una política para una app que está instalada en el dispositivo. Para crear una política para una app que no está instalada en el dispositivo, en el paso 6, selecciona Usar un instalador de apps empaquetado como referencia.
- Después de exportar el archivo XML, en el editor de políticas de grupo, quita la política que creaste. De lo contrario, la política se aplica en el dispositivo.
Paso 2: Agrega el parámetro de configuración personalizado
-
En la Consola del administrador de Google, ve a Menú
Dispositivos
Dispositivos móviles y extremos
Configuración
Windows. Es necesario tener el privilegio de administrador de Servicios y dispositivos.
- Haz clic en Configuración personalizada.
- Haz clic en Agregar un parámetro de configuración personalizado.
Configura el parámetro de configuración personalizado:
En el campo OMA-URI, ingresa ApplicationLaunchRestriction y selecciona el OMA-URI que corresponde al tipo de archivo de la app en la política:
- En el caso de los archivos .exe, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
- Para las apps disponibles en Microsoft Store, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
- En el caso de los archivos MSI, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy.
- Para las secuencias de comandos de PowerShell, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy.
- Para los archivos DLL, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy.
Para obtener más información, consulta la documentación del CSP de AppLocker de Microsoft.
En el OMA-URI, reemplaza <Enter Grouping> por una cadena alfanumérica aleatoria que sea única para cada parámetro de configuración personalizado. Por ejemplo, si agregas un parámetro de configuración personalizado para bloquear archivos EXE y otro para bloquear archivos MSI, usa un valor diferente para cada parámetro de configuración personalizado.
Cuando seleccionas el OMA-URI, el campo Nombre se actualiza a "Política". Ingresa un nombre único para identificarla en la lista de parámetros de configuración personalizados.
En Tipo de datos, selecciona Cadena (XML), haz clic en Subir XML y selecciona el archivo de configuración XML que creaste en la primera sección.
(Opcional) Ingresa una descripción que explique la acción del parámetro de configuración personalizado y a quién se aplica.
Haz clic en Siguiente para continuar y seleccionar la unidad organizativa a la que se aplica el parámetro de configuración personalizado, o bien haz clic en Agregar otro para comenzar otro. No se aplican políticas adicionales a una unidad organizativa hasta que haces clic en Siguiente y seleccionas la unidad organizativa.
Elige la unidad organizativa a la que se aplicará la política.
Haz clic en Aplicar.
Si un usuario de la unidad organizacional intenta instalar o abrir una app bloqueada en su dispositivo Windows, recibirá un mensaje de error que indica que el administrador del sistema bloqueó la app.
Ejemplos de archivos XML
Permitir solo apps firmadas (bloquear todas las apps sin firma)
Esta política permite que los usuarios instalen solo apps firmadas, lo que también impide que instalen apps sin firmar con el tipo de archivo especificado en el OMA-URI.
Para bloquear todas las apps sin firmar para todos los tipos de archivos, agrega un parámetro de configuración personalizado para cada tipo de archivo y usa el siguiente código XML para el valor.
Nota: EnRuleCollection, Type debe coincidir con el tipo de archivo de la app. El valor puede ser "Exe" para archivos EXE, "Msi" para archivos MSI, "Script" para archivos de secuencia de comandos, "Dll" para archivos DLL o "Appx" para StoreApps. En FilePublisherRule, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>Cómo bloquear apps específicas
Para bloquear apps, debes incluir una sección <FilePublisherRule> que permita bloques de apps y <FilePublisherRule> para cada app que quieras bloquear.
El formato general es el siguiente:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for first app to block...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for second app to block...
</FilePublisherRule>
</RuleCollection>RuleCollection, Type debe coincidir con el tipo de archivo de la app. El valor puede ser "Exe" para archivos EXE, "Msi" para archivos MSI, "Script" para archivos de secuencia de comandos, "Dll" para archivos DLL o "Appx" para StoreApps. En FilePublisherRule, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
Por ejemplo, esta política impide que los usuarios ejecuten la "App A" y la "App B", que son archivos EXE:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>Bloquear las apps incluidas en el sistema operativo Windows
En esta muestra, basada en el ejemplo de la documentación de Microsoft, se impide que los usuarios usen Correo de Windows. Antes de usarlo, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
Nota: Este archivo de la app es una app de Microsoft Store, por lo que el OMA-URI debe ser ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.