Buscar

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

Como todos los administradores de sistemas sabemos a partir del 8 de Abril de 2014 los sistemas operativos Windows XP ya no reciben parches.

Uno de los componentes de todos los sistemas operativos Windows es Internet Explorer.

Si seguimos utilizando Internet Explorer sobre Windows XP corremos un gran riesgo de seguridad ya que no dispondrá de parches de seguridad.

La solución pasa por cambiar el sistema operativo a una versión que disponga de parches de seguridad.

Si aun disponemos de equipos sobre este sistema operativo en fase de migración podemos utilizar un navegador que sí disponga de parches de seguridad como Firefox o Chrome que actualmente sus últimas versiones continúan funcionando sobre Windows XP.

Si conseguimos que las aplicaciones web que utilizan los usuarios funcionen con alguno de estos dos navegadores podemos deshabilitar el uso de Internet Explorer sobre Windows XP.

Esto no supondría una seguridad total ya que igualmente el resto de componentes del sistema operativo no dispondrían de actualizaciones de seguridad pero lograríamos reducir el riesgo.

Disponemos de varias formas para deshabilitar el uso de Internet Explorer sobre Windows XP, una de ellas es utilizando una GPO (directiva de grupo).

En entornos de dominio de Active Directory deberíamos situar los equipos Windows XP en una unidad organizativa (OU) y vincular allí una GPO de equipo con la herramienta: gpmc.msc.

En entornos de grupo de trabajo podemos utilizar el editor de directivas locales: gpedit.msc.

Recordemos que una GPO de equipo, ya sea de dominio (gpmc.msc) o local (gpedit.msc) afecta también a los usuarios Administradores.

También recordemos que no encontraremos editor de directivas locales (gpedit.msc) en sistemas operativos Windows XP Home. 

Tampoco las ediciones "Home" pueden ser añadidas a un dominio de Active Directory.

Tipo de GPO y funcionamiento:

Realizaremos una GPO de equipo de restricción de software basada en hash.

Esto significa que el sistema realizará un hash del fichero bloqueado y será bloqueado antes de cargarse en memoria.

Esta GPO no funcionará si cambia el hash del fichero, por ejemplo si es substituido utilizando Windows Update.

Como el sistema operativo no recibirá parches vía Windows Update, la regla de hash funcionará.

Procedimiento para configurar la GPO (en el ejemplo, GPO local):

1) Ejecutamos: gpedit.msc, nos situamos en "Directivas de restricción de software":

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

Botón derecho sobre "Directivas de restricción de software", crear nuevas directivas.

2) Buscamos la ubicación del ejecutable: iexplorer.exe

Utilizamos CMD para la búsqueda:

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

3) Configuramos regla de bloqueo por hash para el ejecutable:

Botón derecho sobre "Reglas adicionales" > "Regla de nuevo hash"

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP


4) Seleccionamos la ubicación del ejecutable: iexplore.exe

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

4) Forzamos a aplicación de las GPO con gpupdate:

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

5) Resultado al intentar ejecutar Internet Explorer:

GPO: Deshabilitar el uso de Internet Explorer sobre Windows XP

9 comentarios:

  1. Hola crack!

    No me había pasado por la cabeza utilizar las GPOs para esto!!!!

    Lo pongo en marcha mañana mismo en la empresa.
    Algunas preguntas:

    1) Esto mismo que explicas es un ejemplo mas del apartado del libro de GPOIT de restricciones por SRP, no?

    2) Para GPOs de dominio: Como funciona sobre XP la versión mínima de los DCs es Windows 2003?

    3) Tengo Internet Explorer 7 y 8, tendría que haber GPOs distintas para cada uno de ellos?

    Gracias crack

    ResponderEliminar
    Respuestas
    1. ¡Efectivamente! Seguro que te será muy útil. Te contesto las cuestiones que planteas:

      1) Sí, es un ejemplo mas del libro GPOIT sobre Software Restriction Policies.

      2) Correcto.

      3) Correcto y ten en cuenta que no solo la versión de IE. También dependerá del nivel de parches que tengan los equipos. Un equipo con SP3 tendrá un ejecutable iexplore.exe distinto a uno con SP2. La regla es que si el binario cambia, el hash es distinto. Mi consejo seria que actualizases a IE8 todos los XP con el mismo nivel de parches, luego los sitúes en una OU y apliques la GPO de equipo sobre la OU. Si necesitas mantener versiones distintas de IE, sitúa los equipos en OUs distintas y luego crea una GPO para cada OU. Recuerda que no es buena idea crear GPOs sobre elementos que luego no se aplicarán.

      Eliminar
    2. Mañana lo monto como dices, actualizaré todos a IE8.

      Felicidades por los libros, ¡¡¡¡¡una maravilla!!!!!!!

      Eliminar
  2. Excelente aporte, muy util sobre todo ahora que ya no tiene soporte y ya salieron nuevas vulnerabilidades

    ResponderEliminar
    Respuestas
    1. ¡Gracias!, me alegro que te haya resultado útil.

      Esta vez Microsoft ha liberado parche para XP:

      http://unaaldia.hispasec.com/2014/05/microsoft-publica-parche-para-internet.html

      Pero no creo que tarden mucho en dejar definitivamente de publicar parches para XP.

      Eliminar
  3. Joya..!!! muchas gracias, muy util contra los vagos del trabajo!

    ResponderEliminar
  4. Tengo Servidor 208 r2 y quiero hacer esta opcion de bloquear internet explorer en equipos windows 8
    se puede hacer lo mismo??

    ResponderEliminar