Una forma interesante de restringir determinadas aplicaciones es el uso de las GPOs de restricción de software. Aquí vermos cómo crear una regla Hash.

Tenemos varios tipos de reglas de restricción de software:

• Reglas de certificado: con las que se pueden permitir o restringir aplicaciones según el certificado de editor con el que están firmadas.
• Reglas de hash: con las que se crea un algoritmo hash de un ejecutable, permitiendo identificarle aunque se le cambie de ruto y/o nombre al ejecutable, pudiendo así restringir o autorizar el uso de ese ejecutable. Hay que crear una regla hash por cada versión de cada aplicación, pues al cambiar el ejecutable cambia su hash (si queremos evitar que la mula de vueltas a la noria, será necesario crear una regla hash para cada una de las versiones del equino).
• Reglas de ruta (path): estas reglas se basan en la ruta y nombre de un ejecutable. La ventaja que tienen frente a las de hash es que si cambias la versión de una aplicación, se sigue aplicando si la nueva versión tiene el ejecutable en la misma carpeta y con el mismo nombre (la mula no dará vueltas, con independencia de la versión de equino). Lo malo de estas reglas es que basta con que la aplicación esté instalada en otra carpeta o que se renombre el ejecutable para que no funcionen. A mí personalmente no me convencen y prefiero las reglas hash, aunque requieran más mantenimiento (cada vez que sale una nueva versión de una aplicación a restringir o autorizar deberemos crear una nueva regla para ella), pues bien mantenidas evitan que se puedan hacer triquiñuelas para saltárselas, cosa imposible de evitar con las reglas de ruta.
• Reglas de Zona de Internet: se aplican solo a paquetes de instalación de Windows Installer y se restringen o autorizan según la zona (Internet, Intranet, Sitios de confianza y Sitios restringidos).

En concreto, nos vamos a centrar en cómo se crea una regla hash. Está hecho utilizando GPMC (Group Policy Management Console).

Vamos a crear una nueva GPO que restringirá el uso del Buscaminas (parece mentira, pero hay quien se pasa las horas muertas con esa chorrada -(|:oÞ), haciendo en el panel del árbol click derecho sobre la carpeta Objetos de directivas de grupo (podríamos hacerlo sobre una OU o el dominio, y la crearíamos directamente vinculada a ese contenedor; creándola en Objetos de directivas de grupo no quedará vinculada a ningún contenedor, habrá de ser vinculada luego, lo que nos permite tener GPOs preparadas pero no en uso) y seleccionamos Nuevo:

Se abre un cuadro de diálogo en el que se nos pide que establezcamos el nombre de la nueva GPO; lo escribimos:

Volvemos a GPMC y vemos que se ha creado la nueva GPO con el nombre que pusimos. Vamos ahora a establecer la directiva en ella. Para hacerlo, necesitamos editarla. En el panel del árbol, hacemos click derecho sobre la GPO y seleccionamos Ejecutar:

Se abre el editor de directivas de grupo. Las directivas las podemos establecer a nivel de equipo o de usuario, en este caso vamos a establecer nuestra directiva en la rama de usuario. hacemos click en el panel del árbol en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de restricción de software. Vemos, en el panel de detalle, que se nos advierte de que no hay directivas definidas; nótese que la carpeta Directivas de restricción de software no tiene ninguna subcarpeta. En el panel del árbol, hacemos click derecho sobre Directivas de restricción de software y seleccionamos Crear nuevas directivas:

En el panel de detalle, vemos que ha desaparecido la advertencia anterior y en su lugar han aparecido directivas y carpetas. vamos ahora, por fin, a crear nuestra directiva hash de restricción del Buscaminas. En el panel del árbol, hacemos click derecho sobre la carpeta Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de restricción de software\Directivas de restricción de software y seleccionamos en el menú emergente Regla de nuevo hash...:

Se abre el cuadro de diálogo Regla de nuevo hash:

Pulsamos el botón Examinar..., navegamos a la carpeta %SystemRoot%\system32 y seleccionamos el ejecutable del Buscaminas, esto es, winmine.exe:

Una vez pulsamos Aceptar, volvemos al cuadro de diálogo de Regla de nuevo hash. Aquí podemos ver en la caja de texto Hash de archivo el hash generado. Con el desplegable Nivel de seguridad establecemos la restricción del archivo seleccionando No permitido. También podemos escribir una descripción a la nueva regla en la caja de texto Descripción:

Pulsamos Aceptar y comprobamos en el panel de detalle del editor de directivas de grupo que se ha creado la regla hash:

Ya podemos cerrar el editor de directivas de grupo. Para que la directiva se aplique es necesario que vinculemos la GPO a un contenedor desde el cual se vean afectados los equipos a lo que debe aplicarse (en nuestro ejemplo, ya que en la rama de equipo es donde definimos la directiva, si lo hubiéramos hecho en la rama de usuario deberíamos vincularla a un contenedor que afectase a la cuenta de los usuarios a los que se debe aplicar). También podríamos filtrar el alcance de la GPO... pero eso es otra historia. Si tienes dudas sobre directivas de grupo, mira este artículo mío, creo que te puede ser de ayuda:

Directivas de grupo
http://freyes.svetlian.com/GPOS/GPOS.htm

Referencias:

324036 - CÓMO Utilizar directivas de restricción de software en la familia Windows Server 2003
http://support.microsoft.com/kb/324036/es

Software Restriction Policies
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/697cf804-36ae-4925-a56a-bc91b44dfcd9.mspx

Create a hash rule
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/95a4ba78-8c50-49a3-92e1-8307a6688ad7.mspx