El documento proporciona instrucciones para realizar varias configuraciones y restricciones en el Registro de Windows, incluyendo hacer una copia de seguridad del registro, impedir el acceso a las propiedades de pantalla, hacer que aparezca la cuenta de administrador, eliminar la contraseña del administrador de contenido de Internet Explorer, y restringir las aplicaciones que los usuarios pueden ejecutar.
Configuración avanzada de seguridad y restricciones en Windows mediante RegEdit
1. REGEDIT - SEGURIDAD, REESTRINCCION Y BLOQUEO
¿Qué es el registro?
El Registro de Windows es como una gran base de datos donde todos los programas
que tenemos en el ordenador (incluido el propio Windows) almacenan todas sus
opciones de configuración. Desde Windows, que por ejemplo almacena la
información sobre los dispositivos que tengamos (tarjetas de sonido, de video,
etc) hasta programas, como por ejemplo WinZip, que guarda aquí los nombres de
los últimos archivos que hemos abierto... ¡De todo!
Toda esta información se encuentra estructurada de una manera más o menos
jerárquica, al estilo de la estructura de directorios y archivos de nuestro
disco duro.
El Registro contiene 6 "carpetas" (a las que se llama Claves) principales en
Windows 95, 98 o ME y 5 Claves principales en Windows 2000, XP o 2003.
Dentro de cada clave, puede haber: Subclaves (como en el disco duro, donde puede
haber una carpeta metida dentro de otra) y Valores (como si fueran los archivos
del disco duro). Cada valor tiene un Nombre del valor y una Información del
valor.
¿Para qué utilizar el registro de Windows?
Conocimiento de las bases del registro de Windows puede ser muy importante a la
hora de resolver un problema o para personalizar el comportamiento del sistema
operativo o de las aplicaciones. También puede ser necesario para hacer
respaldos de nuestra configuración.
Es muy útil para realizar restricciones, bloqueos y demás configuraciones en el
sistema operativo.
Precauciones a tener en cuenta
2. Cualquier operación en el registro de Windows, es recomendable hacer una copia
de seguridad del mismo con el fin de poder restaurarlo a su situación original
en el caso de que los cambios que hagamos no sean correctos o borremos por error
algun valor o clave necesario para el buen funcionamiento del sistema.
También podemos restaurar el sistema desde inicio->todos los programas-
>accesorios->herramientas del sistema->resturar sistema.
Las configuraciones de registro que se detallan a continuación fueron probadas
con exito en Windows XP.-
Hacer una copia del registro de Windows
Comenzamos abriendo inicio->ejecutar y escribimos regedit y pulsamos aceptar, se
abrirá el editor del registro con carpetas de tipo HKEY_
En el menu principal hacemos click en registro y luego click en "Exportar
archivo del registro" o "Exportar", se abrirá una nueva ventana para indicarnos
donde queremos guardar nuestra copia del registro (ejemplo: mis documentos). Le
damos un nombre a la copia, por ejemplo backupregistro. Verificamos que el tipo
de archivo sea *.reg y que el Intervalo de exportacion sea 'Todo'.
Listo! Si llegamos a tener algun problema con el registro, solo debemos buscar
nuestra copia (backupregistro), lo abrimos (haciendo doble click) y el registro
volvería a la misma situacion de antes.
Una copia del registro pesa aproximadamente 90MB.
Impedir el acceso a las propiedades de pantalla
Si compartes tu PC con otras personas y no quieres que te cambien el protector
de pantalla puedes impedir el acceso a las propiedades de pantalla, editando el
registro:
Ejecutas Regedit Haz clic en Inicio/ejecutar, escribe Regedit
Una vez estés en el Editor del registro vas a la clave:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Eliges en el menú Edición | Nuevo | Valor DWord
Escribes como nombre del valor: NoDispCPL
Haces luego un clic sobre el nuevo elemento creado y en la caja de información
del valor escribes 1.
1 = activa la protección
0 = desactiva
En este caso no necesitas reiniciar tu PC.
Hacer que aparezca la cuenta de administrador
3. Dentro del regedit navegaremos hasta:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonSpecialAccountsUserList
Si no existe crearemos un nuevo valor: Segundo botón del ratón -> nuevo valor,
que sea DWORD, le damos nombre ->
Administrador -> OK. Hacemos doble click en el y le damos el valor DECIMAL -> 1
Si existe, sólo tendermos que modificar el valor por un 1.
Eliminar la contraseña del accesor de contenidos de Iexplorer
Proteger el acceso al asesor de contenidos mediante una clave resultará útil
para que ninguno de los usuarios pueda modificar el nivel de seguridad
establecido.
Sin embargo, ¿qué pasa cuando olvidamos la clave?. Desinstalar y reinstalar
Internet Explorer no servirá de nada porque la clave del supervisor del
asesor de contenidos se encuentra en el registro. Para eliminarla
iniciaremos el editor de registro de Windows, con el comando
"regedit.exe" desde el menú Inicio/Ejecutar.
Allí localizaremos la clave:
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindowsCurrentVersionPoliciesRatings
Borramos el parámetro "key", que contiene, encriptada, la clave del asesor de
contenido. Borrándo este valor eliminaremos el password. Luego
reiniciamos el PC.
4. Restringir las aplicaciones que los usuarios pueden
ejecutar
Windows proporciona la posibilidad de restringir las aplicaciones que los
usuarios pueden ejecutar en una estación de trabajo. Para ello,
iniciaremos la herramienta de edición del registro de sistema, con el
comando “regedit.exe”, desde el menú Inicio/Ejecutar y localizaremos la
clave:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Alli crearemos o modificaremos el valor DWORD 'RestrictRun' (sin comillas) con
el valor '1' para activar la restricción o '0' para desactivarla. Acto
seguido tendremos que definir las aplicaciones cuya ejecución estará
restringida ya que por defecto la ejecución de todas estará permitida.
Para ello nos trasladaremos hasta la clave:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRe
strictRun
E introduciremos valores alfanuméricos cuyo nombre serán números consecutivos y
como contenido tendrán los nombres de los ejecutables de cada aplicación.
Restringir el acceso al editor de registro del sistema
Para obtener la posesión sobre una rama del registro o restringir el acceso a la
misma, abriremos el editor de registro de sistema, con el comando
“regedit.exe” desde el menú Inicio/Ejecutar y localizaremos la clave
cuyas propiedades queramos modificar.
En el menú Editar o desde el menú contextual que aparece al pulsar con el botón
derecho del ratón seleccionaremos la opción Permisos, que abrirá un
5. cuadro de diálogo con los diferentes permisos de acceso existentes para
los usuarios del sistema sobre esa rama.
Pulsaremos sobre el botón Avanzada y nos trasladaremos hasta la pestaña
Propietario. En el cuadro de diálogo 'Cambiar Propietario' selecionaremos
la cuenta que tomará posesión de rama y puslaremos sobre Aplicar. Igual
que si de una carpeta en el explorador de Windows se tratara,
confirmaremos si queremos reemplazar el propietario del resto de claves y
ramas
que cuelgan de la seleccionada.
Impedir que los usuarios del equipo realicen
descargas desde internet
Windows XP ofrece la posibilidad de impedir que los usuarios de un mismo equipo,
realicen descargas de archivos desde Internet, para ello tenemos que
recurrir al registro de Windows de la siguiente forma:
Hacemos clic en el botón Inicio y luego en Ejecutar, escribimos Regedit y
pulsamos el botón Aceptar.
Ahora en el registro nos desplazamos por las siguientes claves:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
Settings/Zones
Al abrirse la última entrada de Zones veremos varias carpetas, la que nos
interesa es la carpeta nº 3. Ahora hacemos clic sobre la carpeta nº 3 y
en el panel derecho veremos los valores que tiene asociados.
6. Buscamos el valor 1803 hacemos doble clic sobre él, en la ventana que nos
muestra escribimos el número 3 y pulsamos el botón Aceptar. La próxima
vez que alguien intente descargar algo desde Internet recibirá un mensaje
de aviso de que la seguridad no le autoriza a descargar ese archivo.
Aclaración: Esta restricción solo afecta al usuario al que se le ha hecho la
restricción, y lógicamente hay que hacer este truco desde la propia
cuenta de usuario a restringir.
Restringir las aplicaciones que los usuarios puedan
realizar
Cuando utilizamos un ordenador compartido con otros usuarios, es posible que
queramos restringir las aplicaciones que puedan usar el resto de usuarios
del PC por motivos variados, la forma correcta de hacerlo es la
siguiente:
Hacemos clic sobre el botón Inicio y luego en Ejecutar, a continuación tecleamos
Regedit y pulsamos el botón Aceptar.
Ahora buscamos la cadena siguiente, para abrirla:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer
Ahora crearemos o modificaremos el valor DWORD RestricRun con el valor "1" para
activar la restricción, y con el valor "0" para desactivarla.
A continuación tendremos que definir que aplicaciones serán restringidas. Para
ello nos iremos a la clave:
7. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Re
stricRun
En este punto introduciremos valores alfanuméricos cuyo nombre serán números
consecutivos y como contenido tendrán los nombres de los ejecutables de
cada aplicación.
Para terminar cerramos el Editor del registro y reiniciamos el ordenador.
El problema está en que si solo se desea deshabilitar uno, la tarea de habilitar
el resto es muy larga... sin embargo tambien existe "DisallowRun" el
cual si bloquea el programa indicado permitiendo que los demás funcionen
normalmente,
ademas de que se crea igual que el anterior exepto en el nombre de la clave, que
es la que ya indique. No se si esto sea de ayuda, pero cuando buscaba
algo asi, note que en todas las paginas habia la misma informacion hasta
que al final encontre la clave "DisallowRun". Suerte pues, espero que
lo entiendan.
Primero vamos a la clave:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer
Ahora crearemos o modificaremos el valor DWORD DisallowRun con el valor "1"
para activar la restricción, y con el valor "0" para desactivarla.
A continuación tendremos que definir que aplicaciones serán restringidas. Para
ello nos iremos a la clave:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Di
sallowRun
En este punto introduciremos valores alfanuméricos cuyo nombre serán números
consecutivos y como contenido tendrán los nombres de los ejecutables de
cada aplicación.
8. Para terminar cerramos el Editor del registro y reiniciamos el ordenador.
Desabilitar el boton derecho del ratón
Para deshabilitar el boton derecho del ratón y que no pueda mostrar los menús
contextuales cuando hacemos clic sobre el Escritorio o sobre el
Explorador, sigue estos pasos:
Hacemos clic en el Botón Inicio y a continuación en Ejecutar, escribimos Regedit
y pulsamos la tecla Intro seguidamente se abrirá el editor del registro.
Ahora en el Editor del registro nos desplazamos por las siguientes claves:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Si no tenemos la entrada MoViewContexMenu la tenemos que crear. Hacemos clic con
el ratón derecho y luego escogemos el
valor DWORD, luego le cambiamos el nombre poniéndole MoViewContexMenu
Finalmente hacemos doble clic sobre él y le damos el valor "1" para ocultar el
menú contextual o "0" para desocultarlo.
Cerramos el editor de registro y listo ahora cuando hagamos clic con el ratón
derecho en una zona del Escritorio ya no aparecerá el menú contextual.
Cerraremos la sesión y reiniciaremos Windows para que los cambios surtan efecto.
9. Inmovilizar los iconos del escritorio
Windows XP también se pueden inmovilizar los iconos del Escritorio, recurriendo
al registro de Windows. Para realizar este truco haremos lo siguiente:
Abrimos el Registro de Windows y nos desplazamos por la siguiente rama:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Polices/Explorer
Una vez tenemos seleccionada la carpeta Explorer y en el panel derecho hacemos
clic con el ratón derecho para crear una entrada nueva.
Hacemos clic en Nuevo y luego en DWORD, ahora le damos el siguiente nombre
NoSaveSettings.
Luego hacemos doble clic sobre la nueva entrada y le damos el valor 1 y pulsamos
el botón Aceptar. Finalmente cerramos todas las ventanas que tengamos
abiertas y reiniciamos el ordenador.
Ocultar el boton 'apagar el sistema' del boton inicio
Si tu ordenador es utilizado por varios usuarios, en una misma sesión, puede que
desees desactivar el botón de Apagar el sistema que aparece al pulsar el
botón inicio, si este es tu caso sigue estos pasos para ocultar dicho
botón:
Pulsa sobre el botón Inicio y luego en Ejecutar, escribe Regedit y pulsa el
botón Aceptar.
10. Ahora buscaremos las siguientes claves:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer.
Creamos o modificamos el valor del tipo DWORD NoClose con el contenido "1" para
ocultar el botón del menú inicio o "0" para mostrarlo. Aunque siempre
estará disponible desde el administrador de tareas.
Si no está creada la clave que será lo mas probable debes crearla y darle el
nombre NoClose y luego debes darle el valor "1" o "0" según tus
necesidades, tal como hemos explicado en el paso 3.
Restricciones para el escritorio activo
Algunas de las características del escritorio activo de Windows pueden ser
controladas y deshabilitadas de forma individual a través del registro...
Para ello iniciaremos la herramienta de edición del registro de sistema, con el
comando "regedit.exe" desde el menú Inicio/Ejecutar y localizaremos la
clave:
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
PoliciesActiveDesktop
Allí crearemos o modificaremos los valores DWORD existentes, cuyo contenido será
"1" para activar la restricción de configuración de esos elementos o "0"
para desactivar la restricción:
"NoChangingWallpaper" Deshabilita la posibilidad de cambiar el papel tapiz.
"NoAddingComponents" Deshabilita la posibilidad e añadir componentes
"NoDeletingComponents" Deshabilita la posibilidad de eliminar componentes.
11. "NoEditingComponents" Deshabilita la posibilidad de editar componentes.
"NoHTMLWallPaper" Deshabilita el uso de archivos diferentes de mapas de bits
(.bmp) como fondo de escritorio.
Impedir que se desinstalen programas
Ir al registro y buscar la rama:
KEY_CURRENT_USERSoftwareMicrosoftWindwdowsCurrentVersionPoliciesUninstall
Luego creamos un valor DWORD y lo nombramos NoAddRemovePrograms, hacemos doble
clic y le asignamos el valor 1.
Nota: Si la rama UNINSTALL no existe, crearla mediante el menú
Edición/Nuevo/Clave.
Descargar mas de 2 archios al mismo tiempo
Por defecto Windows viene configurado para que no se pueda descargar más de dos
archivos de un mismo servidor web o FTP.
Explicaremos como sacar esta restricción y poner nosotros el máximo número de
descargas que queremos realizar:
1- Vamos a [Ejecutar], tipeamos "regedit" y apretamos ENTER.
12. 2- Una vez adentro del Registro de Windows buscaremos la siguiente cadena:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/InternetSettings
3- Dentro de este punto debemos crear dos claves DWORD. Para poder hacerlo
apretamos el botón derecho del mouse dentro de la carpeta
"InternetSeetings" y en el menú que aparece vamos a "Nuevo - Valor
DWORD". Cuando aparezcan las nuevas claves debemos cambiar el nombre por
defecto por los siguientes:
MaxConnectionsPerServer
y
MaxConnectionsPer1_0Server
4- Una vez que les pusimos los nombres a las dos claves debemos hacerles doble
click y editar el valor numérico por el que nosotros queramos. Por
ejemplo si queremos poder descargar 100 archivos simultáneos de un mismo
server, les hacemos doble click a las dos claves y ponemos el valor 100.
Cambiar el buscador predeterminado de Internet
Explorer
Si en Internet Explorer hacemos clic en se abre una columna de exploración con
el buscador predeterminado por Microsoft que es el MSN, lo que nos limita
bastante al momento de buscar cierta información. Si queremos cambiar
este buscador predeterminado por nuestro preferido Google, debemos hacer
lo siguiente:
Vamos a [Ejecutar] escribimos "regedit" y entramos en la siguiente rama:
HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Search
13. Editamos la opción "SearchAssistant" dándole doble clic y escribimos
http://www.google.com/ie. Cerramos el registro para validar los cambios.
Evitar que cambien la página de inicio
Sobre todo si mucha gente tiene acceso a una PC, puede que nos interese que no
nos cambien la página de Inicio de Internet Explorer. Para ello, podemos
bloquearla, usando el registro (regedit).
Vamos hasta:
HKEY_CURRENT_USER/Software/Policies/Microsoft
En donde creamos una nueva clave llamada Internet Explorer.
Dentro de esta nueva clave, creamos otra clave de nombre Control Panel, y dentro
de ésta, creamos un valor DWORD con el nombre Homepage al que le
asignamos el valor 1 (si queremos cambiarla, será necesario darle valor
0).
Ponerle título a Internet Explorer
Dentro del registro, acceder a la clave:
HKEY_CURRENT_USERSOFTWAREMicrosoftInternetExplorerMain
1) "WindowTittle" --> Titulo
2) "CompanyName"--> ?
3) "Default_search_url" -->Busqueda por defecto
14. Trucos para reestringir internet
Inicio y posteriormente en Ejecutar, donde se debe escribir regedit.exe. Una vez
en el mismo, es necesario localizar la cadena:
HKEY_CURRENT_USERSoftwarePolicies MicrosoftInternet ExplorerRestrictions
_NoBrowserOptions_, bloquea el acceso al menú Herramientas/Opciones de Internet.
_NoBrowserSaveAs_, inhabilita Archivo/Guardar Como.
Que hacer si al inicio arroja virus o falta de archivos
Para eliminar la activación de virus o archivos innecesarios en la partida de
Windows debemos seguir la siguiente ruta dentro del editor de registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
En la ventana veremos el RUN del sistema del equipo lo que nos muestra todos los
programas o archivos que se ejecutan al inicio del PC.
Para eliminar o desactivar los archivos o programas innecesarios de nuestro PC,
solo debemos seleccionar los de la lista que nos muestra la ventana
Regedit y borrarlo presionando la tecla “Supr”. Luego nos preguntará si
deseamos eliminarlo.
Cuando se inicie el PC nuevamente, todos los cambios realizados deberán
funcionar perfectamente sobre la ruta de inicio, quedando sin errores al
iniciar Windows.
15. Permitir solamente leer en los puertos USB.
Los puertos USB son todo un problema. No existe un modo intermedio que me
permita dejar acceso a estos, pero a la vez, impedir que se copien
archivos a diestra y siniestra. Sin embargo una posible solución, la cuál
quizá sea suficiente para la mayoría, sería la de colocar dichos puertos
en modo "Solo Lectura", es decir, al conectar un pendrive USB, podrás
acceder a los archivos de este, pero no podrás copiar nada al mismo.
Para evitar esto, debo entrar al regedit. Hago clic en "Inicio/Ejecutar", y
escribo "regedit". Se debe abrir una ventana tal como la vez abajo. Una
vez que hayamos entrado debemos buscar la siguiente llave:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/StorageDevicesPolicies
De no existir la llave "StorageDevicesPolicies", podemos crearla a mano, y luego
en el lado derecho de la ventana, crear una clave "DWORD", con el nombre
"WriteProtect",y cuyo valor será "1". ¿Como crear la llave WriteProtect?.
Simple, clic derecho en el panel derecho de la ventana, aparecerá el menú
contextual "Nuevo/Valor DWORD".
Ni siquiera necesitas reiniciar. De ahora en adelante siempre que insertes una
pendrive USB, esta trabajará como "Solo Lectura". Si quieres volver al
estado anterior, es decir, totalmente libre, entra a la llave que
mencione arriba, "WriteProtect", y cambia el valor de "1" a "0". Cada vez
que cambies los valores de esta clave deberás reiniciar, sino no
detectará el cambio.
Desactivar puerto USB del PC
16. Para muchos administradores de computadoras y sistemas Windows el puerto de
conexión USB puede suponer una gran amenaza para la seguridad de las
empresas. Una rápida manera de desactivar la lectura y escritura de
cualquier puerto USB, es a traves de la aplicación regedit de Windows. Se
recomienda hacer una copia del registro ante cualquier desastre.
Para desactivar el acceso al puerto USB, en Windows 2000 y Windows XP.
1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
2. En el cuadro “Abrir”, escriba regedit y a continuación haga clic en Aceptar.
3. A continuación haga clic en la siguiente clave del registro:
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services UsbStor
4. En el panel derecho, haga doble clic en Start.
5. En el cuadro de datos haga clic en hexadecimal Valor, tipo 4 y a continuación
haga clic en Aceptar.
6. Salir del editor de registro.
Para activar el puerto deshabilitado haga los mismos pasos que al principio y en
el cuadro de datos haga clic en hexadecimal Valor, tipo 3 y a
continuación haga clic en Aceptar.