Personalizar Menú Inicio en una Template Desktop
Hoy quiero mostraros una forma de dar permisos sobre una template ya sea de Citrix o VMware sobre un sistema Microsoft Windows. La idea es buscar la personalización del menú Inicio para controlar lo que presentamos a los usuarios y a su vez gestionar con permisos qué pueden o no ejecutar.
Partimos de que hemos hecho un hardening severo a través de GPOs de Microsoft, el cual ha hecho que cuando un usuario arranca un escritorio que está presentado a su perfil, el usuario no puede acceder al disco C, no puede ejecutar cmd, powershell…, no puede modificar el sistema de prácticamente ninguna forma. Con lo que me interesa que ese control se lleve a la parte visual sin perder funcionalidad ni perjudicar la experiencia de usuario.
Así que os explico lo que vamos a hacer. Por defecto, el menú de Inicio está definido en la ruta:
1 |
C:\ProgramData\Microsoft\Windows\Start Menu |
Lo que haremos es generar accesos directos de las aplicaciones que nos interesan que vean los usuarios en la carpeta Programs. Y borramos el resto que no nos interesa:
Con esto hemos hecho una primera limpieza. pero siguen quedando restos de carpetas que no queremos que se vean:
El resto de carpetas del menú inicio se encuentran en:
1 |
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs |
Así que las eliminamos para que no se propaguen por los perfiles de los diferentes usuarios:
Con esto ya tenemos personalizado nuestro menú de Inicio. Pero si queremos ir más allá, podemos limitar a nivel de plantilla y gracias a Directorio Activo darle otra vuelta. Así que editamos las propiedades avanzadas de los accesos directos:
Cambiamos los permisos para Everyone y Users (habrá que quitar la herencia desde Start Menu), y añadimos los del usuario o grupo de usuarios de directorio activo que sí que tendrán permisos. Así que el que no esté en ese grupo, al no tener acceso a la C: ni al resto de sistema, no podrá lanzar la aplicación correspondiente.
Dejamos en la carpeta Programs Everyone sólo lectura, de los accesos directos lo eliminamos y dejamos el grupo o usuario que nos interesa y los administradores de dominio y locales.
Simplemente dejar los usuarios que os interesan con Lectura y Ejecución:
Y ya tendréis un Menú de Inicio personalizado y permisos limitados a los usuarios. Es más, se pintarán sólo las aplicaciones que tenga permisos y el resto no se pintarán en el Menú.
Espero que os parezca interesante…
OTRAS ENTRADAS RELACIONADAS CON HARDENING
- Personalizar Menú Inicio en una Template Desktop
- Hardening Windows Search
- Hardening acceso a Impresoras por GPO
- Hardening Citrix XenApp
- Hardening Microsoft Print to PDF
- Hardening Desktop herramienta descompresión
- Hardening editar settings ctrl+alt+supr
- Hardening Adobe Reader DC
- Hardening SystemSettings.exe
¿Te ha gustado la entrada SÍGUENOS EN TWITTER?
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?