GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

Un dia en mi trabajo, se me solicito que bloquee el acceso a internet en varios equipos de trabajo, asi que quise buscar la solucion mas rapida y efectiva. Navegando y buscando en Google, fui a dar con un post, del sitio web: SYSADMIT.COM que me fue de gran ayuda, ahora lo publico en mi blog como mi cuaderno de apuntes y trucos para futuros trabajos, aqui les dejo la explicacion del sitio y mas abajo el enlace al tutorial original.

 

Como todos los administradores de sistemas sabemos a partir del 8 de Abril de 2014 los sistemas operativos Windows XP ya no reciben parches.

Uno de los componentes de todos los sistemas operativos Windows es Internet Explorer.

Si seguimos utilizando Internet Explorer sobre Windows XP corremos un gran riesgo de seguridad ya que no dispondrá de parches de seguridad.

La solución pasa por cambiar el sistema operativo a una versión que disponga de parches de seguridad.

Si aun disponemos de equipos sobre este sistema operativo en fase de migración podemos utilizar un navegador que sí disponga de parches de seguridad como Firefox o Chrome que actualmente sus últimas versiones continúan funcionando sobre Windows XP.

Si conseguimos que las aplicaciones web que utilizan los usuarios funcionen con alguno de estos dos navegadores podemos deshabilitar el uso de Internet Explorer sobre Windows XP.

Esto no supondría una seguridad total ya que igualmente el resto de componentes del sistema operativo no dispondrían de actualizaciones de seguridad pero lograríamos reducir el riesgo.

Disponemos de varias formas para deshabilitar el uso de Internet Explorer sobre Windows XP, una de ellas es utilizando una GPO (directiva de grupo).

En entornos de dominio de Active Directory deberíamos situar los equipos Windows XP en una unidad organizativa (OU) y vincular allí una GPO de equipo con la herramienta: gpmc.msc.

En entornos de grupo de trabajo podemos utilizar el editor de directivas locales: gpedit.msc.

Recordemos que una GPO de equipo, ya sea de dominio (gpmc.msc) o local (gpedit.msc) afecta también a los usuarios Administradores.

También recordemos que no encontraremos editor de directivas locales (gpedit.msc) en sistemas operativos Windows XP Home.

Tampoco las ediciones «Home» pueden ser añadidas a un dominio de Active Directory.

Tipo de GPO y funcionamiento:

Realizaremos una GPO de equipo de restricción de software basada en hash.

Esto significa que el sistema realizará un hash del fichero bloqueado y será bloqueado antes de cargarse en memoria.

Esta GPO no funcionará si cambia el hash del fichero, por ejemplo si es substituido utilizando Windows Update.

Como el sistema operativo no recibirá parches vía Windows Update, la regla de hash funcionará.

Procedimiento para configurar la GPO (en el ejemplo, GPO local):

1) Ejecutamos: gpedit.msc, nos situamos en «Directivas de restricción de software»:GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-01[1]

Botón derecho sobre «Directivas de restricción de software», crear nuevas directivas.

2) Buscamos la ubicación del ejecutable: iexplorer.exe

Utilizamos CMD para la búsqueda:

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-02[1]

3) Configuramos regla de bloqueo por hash para el ejecutable:

Botón derecho sobre «Reglas adicionales» > «Regla de nuevo hash»

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-03[1]

4) Seleccionamos la ubicación del ejecutable: iexplore.exe

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-04[1]

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-05[1]

4) Forzamos a aplicación de las GPO con gpupdate:

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-06[1]

5) Resultado al intentar ejecutar Internet Explorer:

GPO-Deshabilitar-el-uso-de-Internet-Explorer-sobre-Windows-XP-sysadmit-07[1]

 

Espero que les sirva, como a mi me sirvio, es totalmente compatible para Windows XP, 7, 8, 8.1 y 10.

El post original lo puedes encontrar aqui: GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP