Bloquear instalación de certificados digitales en local

Jordan 0 Puntos de reputación
2024-06-25T15:23:08.1366667+00:00

Necesitaría poder bloquear el "Asistente para importar certificados" en todos los equipos de un dominio, para evitar la instalación de nuevos certificados.

A ser posible nos gustaría poder implementar el bloqueo a nivel de GPO.

Se ha probado aplicar una directiva para el bloqueo del proceso certmgr.msc de la siguiente forma:

Se ha creado una directiva nueva

Se ha habilitado la opción "Configuración de usuario/Directivas/Sistema/No ejecutar aplicaciones de Windows especificas" y se ha añadido la entrada certmgr.msc

Tras distribuir las políticas de grupo y actualizarlas en el equipo, he visto que no servía la solución. Ya que al hacer doble click sobre el certificado, continuaba apareciendo el asistente.

Se os ocurre alguna forma de poder bloquear dicho asistente?

Windows 10
Windows 10
Un sistema operativo de Microsoft que se ejecuta en equipos y tabletas personales.
118 preguntas
Windows Server
Windows Server
Familia de sistemas operativos de servidor de Microsoft que admiten administración de nivel empresarial, almacenamiento de datos, aplicaciones y comunicaciones.
146 preguntas
0 comentarios No hay comentarios
{count} votos

2 respuestas

Ordenar por: Muy útil
  1. Ian Xue (Shanghai Wicresoft Co., Ltd.) 34.196 Puntos de reputación Proveedor de Microsoft
    2024-06-26T03:02:05.3866667+00:00

    Hola,

    Por favor, localice el archivo C:\Windows\System32\cryptuiwizard.dll y abra la ficha Seguridad en las propiedades del archivo. Haga clic en Avanzado y cambie el propietario a administrador. A continuación, añada una entrada para denegar el control total al usuario para el que desea desactivar el asistente de importación de certificados.

    User's image

    Si quieres hacer esto en todos los ordenadores del dominio, puedes crear un GPO y añadir un script de inicio del ordenador como el siguiente

    $file = "C:\Windows\System32\cryptuiwizard.dll"
    takeown.exe /f $file
    $ACL = Get-Acl -Path $file
    $AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("Everyone", "FullControl", "Deny")
    $ACL.AddAccessRule($AccessRule)
    Set-Acl -Path $file -AclObject $ACL
    

    Saludos cordiales,Ian Xue


    Si la respuesta es útil, haz clic en "Aceptar respuesta" y dale un voto positivo.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios No hay comentarios

  2. Jonathan Eduardo Pereira Castillo 1950 Puntos de reputación Proveedor de Microsoft
    2024-06-25T17:40:02.39+00:00

    Hola Jordan,

    ¡Bienvenido a Preguntas y respuestas de Microsoft!

    Entiendo que deseas bloquear el “Asistente para importar certificados” en todos los equipos de un dominio mediante GPO. Aunque has intentado bloquear el proceso certmgr.msc sin éxito, hay otras formas que podrías considerar para lograr este objetivo.

    Es importante mencionar que estas configuraciones pueden afectar otras funcionalidades del sistema, por lo que te recomiendo probarlas en un entorno controlado antes de aplicarlas en toda la red.

    Una opción sería utilizar las Directivas de Restricción de Software para prevenir la ejecución del asistente de certificados. Aquí te dejo una guía general de cómo podrías configurarlo:

    1. Abre la consola de Administración de Directivas de Grupo (gpedit.msc) en tu servidor.
    2. Navega a Configuración de usuario -> Directivas -> Plantillas Administrativas -> Sistema -> Directivas de Restricción de Software.
    3. Crea una nueva política de restricción de software si no existe una ya.
    4. Dentro de la política, selecciona Reglas Adicionales.
    5. Crea una nueva regla de ruta de acceso para bloquear el ejecutable del asistente de certificados, que suele ser certmgr.msc o mmc.exe con el snap-in de certificados cargado.
    6. Aplica la política al dominio o a las unidades organizativas (OU) correspondientes.

    Además, asegúrate de que los usuarios no tengan permisos de administrador local, ya que esto podría permitirles eludir las restricciones impuestas por las políticas de grupo.

    ¡Espero que estos consejos ayuden a resolver el problema! Si necesitas más ayuda, estoy a tu disposición.

    Saludos

    Jonathan.

     


    Si la respuesta es la solución correcta, haga clic en "Aceptar respuesta" y vote cortésmente por ella. Si tiene preguntas adicionales sobre esta respuesta, haga clic en "Comentar". Nota: Siga los pasos de nuestra documentación para habilitar las notificaciones por correo electrónico si desea recibir notificaciones por correo electrónico relacionadas con este tema.

    0 comentarios No hay comentarios