Cómo aplicar la política de grupo en capas en Windows 11/10

Uno de los mayores desafíos para un administrador de TI en una empresa es bloquear el acceso a dispositivos como USB , disco duro externo(External Hard Drive) e incluso impresoras a los dispositivos de la organización. Para hacer esto un poco más fácil, Microsoft ha implementado la función de Política de grupo en capas(Layered Group Policy feature) que brinda a los administradores la capacidad de dividir qué dispositivos se pueden instalar en las máquinas de toda la organización.

¿Qué es la política de grupo(Group Policy) en capas en Windows 11 ?

Esta Política de grupo(Group Policy) tiene como objetivo garantizar que las máquinas se dañen menos, que disminuya la cantidad de casos de soporte y, lo más importante, es reducir el robo de datos. La política asegura restringir cualquier instalación, es decir, se bloquea el uso de dispositivos tanto en el entorno interno como externo. Los administradores de TI pueden optar por usar/instalar dispositivos preautorizados.

Política de grupo en capas en Windows 11

Disponible(Available) aquí, el script se asegura de que no todas las clases estén bloqueadas:

Computer Configuration > System > Device Installation > Device Installation Restrictions

esto significa que si elige bloquear el uso del dispositivo USB , solo lo bloquea. Yendo un paso adelante, la nueva característica resuelve el problema anterior donde se deben crear varios conjuntos para evitar conflictos. En su lugar, tiene capas jerárquicas Instance ID > Device ID > Class > Removable Propiedad de dispositivo extraíble.

Cómo aplicar la política de grupo en capas(Layered Group Policy) en Windows 11

La primera política que debe habilitar es: aplicar un orden de evaluación en capas para Permitir y Evitar políticas de instalación de dispositivos en todos los criterios de coincidencia de dispositivos(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria) .

Una vez hecho esto, hay un conjunto adicional de políticas y debe asegurarse de tener en cuenta el orden jerárquico ( ID de instancia de dispositivo (Device)IDs > Device IDs > Device Clase de configuración de dispositivo > Dispositivos > Removable ). Aquí están las políticas relacionadas con cada uno:

ID de instancia de dispositivo

  • Impedir(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de instancia de dispositivo(IDs)
  • Permita(Allow) la instalación de dispositivos que utilicen controladores que coincidan con estos ID(IDs) de instancia de dispositivo .

ID de dispositivo

  • Impedir(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de dispositivo
  • Permitir(Allow) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de dispositivo

Clase de configuración del dispositivo

  • Impedir(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estas clases de configuración de dispositivos
  • Permitir(Allow) la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos.

Dispositivos extraíbles

  • Impedir la(Prevent) instalación de dispositivos extraíbles

Configure cada uno de ellos agregando la identificación del dispositivo o la identificación de la clase y aplique los cambios.

Microsoft recomienda usar esta directiva sobre la configuración de directiva " Evitar la instalación de dispositivos no descritos por otras configuraciones de(Prevent installation of devices not described by other policy settings) directiva" debido a la estructura en capas.

¿Cómo encontrar el ID de hardware(Hardware ID) o el ID compatible?

Localizar ID compatibles Administrador de dispositivos

  • Abra el Administrador de dispositivos(Device Manager) usando Win + X , luego presione M.
  • Localiza el dispositivo. Haga clic derecho sobre él y luego seleccione Propiedades
  • Cambiar a la pestaña Detalles
  • Haga clic(Click) en el menú desplegable Propiedad(Property) y aquí puede seleccionar el ID de hardware, el ID de clase y otros detalles. El valor exacto estará disponible en la sección de valores.

¿Cómo agregar ID de dispositivos(Device IDs) a la lista Permitir(Allow) ?

Permitir la instalación del dispositivo en la política de grupo

  • Abra la política : permita la instalación de dispositivos que coincidan con cualquiera de estos ID de dispositivo(Allow installation of devices that match any of these device IDs) .
  • Seleccione Habilitado(Select Enabled) y luego haga clic en el botón Mostrar(Show) en Opciones.
  • Agregar ID compatible(Add Compatible ID) o ID de hardware(Hardware ID) a la lista
  • Aplicar los cambios.

También puede bloquear la instalación de dispositivos específicos utilizando las políticas de instalación de Prevent .

¿Cómo permitir que los administradores anulen las restricciones de instalación de dispositivos?

Permitir que los administradores anulen las políticas de restricción de instalación de dispositivos

Hay una política específica para esto que puede habilitar. Una vez habilitado, los miembros del grupo Administradores(Administrators) pueden usar el asistente Agregar hardware(Add Hardware) o el asistente de actualización del controlador para instalar y actualizar el dispositivo.

¿Cómo configurar un tiempo de espera para hacer cumplir el cambio de política?

Si desea aplicar el cambio de política, debe reiniciar. Una configuración le permite configurar un tiempo de espera(Timeout) de reinicio que se muestra al usuario final para asegurarse de que no haya pérdida de datos.

Espero que la publicación le haya explicado claramente sobre la Política de grupo en capas(Layered Group Policy) en Windows 11 .

La política(The policy) también está disponible en Windows 10  como parte de la versión de cliente "C" opcional de julio de 2021(July 2021) y estará disponible de manera más amplia a partir de la versión Update Tuesday de (Update Tuesday)agosto de 2021(August 2021) .



About the author

Soy un MVP de Windows y trabajo con Windows desde 2007. Mi experiencia incluye desarrollo de software, hardware y sonido, y aplicaciones de Windows. Siempre estoy buscando las mejores formas de mejorar la experiencia del usuario en mi trabajo, por lo que si necesita ayuda para diseñar o desarrollar una aplicación de software, definitivamente puedo ofrecerle mis servicios.



Related posts