Usuario "raso" puede instalar programas en Win10

Archivado
Buenas tardes,

estoy administrando una red, y tengo usuarios locales en Windows10. Los dejo como usuarios rasos (sin ser miembros del grupo Administradores) y he visto que se pueden instalar aplicaciones. De momento Spotify y Chrome.

Chrome, de hecho, me dice que no requiere privilegios de administrador.

No entiendo este comportamiento.
¿Cómo evitarlo?

Gracias!
yo empiezo a sospechar que el chrome ese es un virus en potencia, a mi me congelaba el ordenador y se solucionó con una actualización del chrome, luego se me ponían los iconos en negro y al abrir chrome se ponían bien, vamos que sospecho que detrás de todos mis problemas está el bicho ese [sati]
Qué va. Si también me pasa con Spotify....:(
anabela111023 escribió:yo empiezo a sospechar que el chrome ese es un virus en potencia, a mi me congelaba el ordenador y se solucionó con una actualización del chrome, luego se me ponían los iconos en negro y al abrir chrome se ponían bien, vamos que sospecho que detrás de todos mis problemas está el bicho ese [sati]


Chrome es malware, para ser más exactos.
Es un comportamiento normal, aunque también hay que comentar que la instalación de programas en el entorno del usuario está restringida. Los usuarios sólo pueden instalar aquellos programas que no requieran modificar archivos del sistema, sólo dentro de su propio entorno de usuario, y sólo en aquellas carpetas en las que el usuario tenga acceso. Dicho de otro modo, un usuario nunca podrá instalar programas que requieran modificar el registro general del sistema, instalar controladores, instalar un programa para todos los usuarios o instalar en carpetas del sistema (como SYSTEM32 o Program Files).

En tu caso, Spotify me consta que se instala y ejecuta en %APPDATA%, que es una carpeta a la que el Usuario tiene pleno acceso; y los navegadores también lo hacen cuando detectan que la instalación está restringida (Chrome o Firefox lo hacen).

De todas formas, puedes restringir más aun estos comportamientos si juegas con las políticas de grupo para evitar la ejecución de Windows Installer, bloquear la ejecución de msiexec.exe o incluso evitar la ejecución de programas desde las carpetas del contexto del usuario (como %APPDATA%) entre otras cosas (Es la misma táctica que usan algunos para bloquear algunos virus y Ramsomware). No obstante, nada impediría a un usuario a que siguiera usando programas portables o similares.

Más info:
https://www.thewindowsclub.com/how-to-p ... -windows-7
https://blog.brankovucinec.com/2014/10/ ... d-malware/
JuananBow escribió:Es un comportamiento normal, aunque también hay que comentar que la instalación de programas en el entorno del usuario está restringida. Los usuarios sólo pueden instalar aquellos programas que no requieran modificar archivos del sistema, sólo dentro de su propio entorno de usuario, y sólo en aquellas carpetas en las que el usuario tenga acceso. Dicho de otro modo, un usuario nunca podrá instalar programas que requieran modificar el registro general del sistema, instalar controladores, instalar un programa para todos los usuarios o instalar en carpetas del sistema (como SYSTEM32 o Program Files).

En tu caso, Spotify me consta que se instala y ejecuta en %APPDATA%, que es una carpeta a la que el Usuario tiene pleno acceso; y los navegadores también lo hacen cuando detectan que la instalación está restringida (Chrome o Firefox lo hacen).

De todas formas, puedes restringir más aun estos comportamientos si juegas con las políticas de grupo para evitar la ejecución de Windows Installer, bloquear la ejecución de msiexec.exe o incluso evitar la ejecución de programas desde las carpetas del contexto del usuario (como %APPDATA%) entre otras cosas (Es la misma táctica que usan algunos para bloquear algunos virus y Ramsomware). No obstante, nada impediría a un usuario a que siguiera usando programas portables o similares.

Más info:
https://www.thewindowsclub.com/how-to-p ... -windows-7
https://blog.brankovucinec.com/2014/10/ ... d-malware/


He leído que es un comportamiento "normal" a partir de Windows10, ¿no? Yo quiero restringir la instalación para poder tener control de para qué se usa el PC, y de la porquería que instala un usuario.

Vamos, que versiones de Windows anteriores no dejaban instalar nada, y W10 ha cambiado esto, ¿es así?

Probaré con los enlaces que me has dicho. Manda cojones que para algo tan básico tenga que irme a las tripas del SO o modificar entradas de registro.

Gracias!
No, es un coportamiento normal del Vista en adelante seguro. Aunque no me atrevería a descartar al XP.

Esencialmente la política es que el usuario puede hacer lo que le de la puñetera gana dentro de su "corral", y lo que ocurra dentro no afecte a los demás. Cualquier cosa que instale o haga un usuario no debería afectar al resto de usuarios o al sistema en general. Y el resto de usuarios no deberían saber nada de lo que ocurre dentro de la cuenta del usuario vecino.

Creo que de ninguna forma podrías evitar que el usuario llene de mierda su cuenta salvo utilizando algún tipo de programa congelador. No obstante, siempre puedes borrar el contenido de su cuenta (no así al usuario) desde las propiedades avanzadas del sistema. https://winaero.com/blog/delete-user-pr ... indows-10/
JuananBow escribió:No, es un coportamiento normal del Vista en adelante seguro. Aunque no me atrevería a descartar al XP.

Esencialmente la política es que el usuario puede hacer lo que le de la puñetera gana dentro de su "corral", y lo que ocurra dentro no afecte a los demás. Cualquier cosa que instale o haga un usuario no debería afectar al resto de usuarios o al sistema en general. Y el resto de usuarios no deberían saber nada de lo que ocurre dentro de la cuenta del usuario vecino.


Por esa regla de tres, un usuario instala un software que toca registro o funciona con un servicio y ya está afectando al rendimiento del sistema para todos los usuarios. Por no hablar de instalaciones "accidentales" de virus o troyanos.

No lo entiendo....
Es que precisamente eso no puedes hacerlo como usuario. Básicamente, el instalador de programas Windows Installer en modo usuario funciona como un mero descompresor.

El registro, como el resto del sistema, también está estratificado por usuarios. Hay claves que sólo un Administrador puede modificar, y un usuario tampoco puede ver la parte del registro de otros usuarios. Y con los servicios, no se puede modificar su estado como usuario, creo recordar; y menos aun añadir o modificar uno. Igualmente sucede con las infecciones. Quedan restringidas a aquello que pueda ver y modificar el usuario.
JuananBow escribió:Es que precisamente eso no puedes hacerlo como usuario. Básicamente, el instalador de programas Windows Installer en modo usuario funciona como un mero descompresor.

El registro, como el resto del sistema, también está estratificado por usuarios. Hay claves que sólo un Administrador puede modificar, y un usuario tampoco puede ver la parte del registro de otros usuarios. Y con los servicios, no se puede modificar su estado como usuario, creo recordar; y menos aun añadir o modificar uno. Igualmente sucede con las infecciones. Quedan restringidas a aquello que pueda ver y modificar el usuario.


¿Y si no quiero que el usuario se instale mierdas y que use su PC para trabajar? Me da igual el rendimiento ya, coños! XD XD XD
Pues entonces tendrás que apoyarte en reglas para restringir al máximo los programas a ejecutar, o incluso apoyarte en suites de seguridad de terceros que hagan listas negras o blancas de programas para conseguir tu cometido.

No sé si merece la pena tanto esfuerzo, sinceramente. Tendrás que sopesarlo.
@JuananBow
Sabiéndolo...
Me recomiendas algún soft de restricción o congelado?

Gracias!
11 respuestas
Archivado
Volver a General