Bloquear Escritorio por inactividad

Una de las cosas mas importantes si te dedicas a administrar una red es la seguridad, en mucha ocasiones solo nos planteamos la seguridad desde el punto de vista de los servidores, parches, actualizaciones, antivirus, y desde el punto de vista del equipo aunque también tomamos estas mismas medidas, pero a veces se nos olvida conceptos básicos de seguridad fisica como por ejemplo, evitar que el usuario deje el equipo sin bloquear.

Esto puede ocasionar grabes riesgos de seguridad, robo de archivos, acceso a información confidencial etc… Desde mi punto de vista el hecho de dejar el equipo sin bloquear cuando no estamos frente a el es tanto o igual de grabe que escribir la contraseña en un post-it.

Recuerdo un episodio de la serie Silicon Valley donde robaron un contrato de 20Millones de dolares por que un alto directivo tenia la contraseña de red pegada en un post-it en el portátil.

Esto, para nosotros como administradores, es mas complicado de evitar pero hacer que el equipo se bloquee automáticamente es bastante mas sencillo.

Para este caso me voy a tener en cuenta que estamos utilizando un dominio windows, con directorio Activo, y por lo tanto activaremos las políticas de Dominio, para “decirles” a todos los equipos que están en red, que a partir del momento de activación de la política, todos los equipos se bloqueen automáticamente al cabo de 2 minutos.

Esto es aplicable tanto si están en el Dominio como si están fuera de el, es decir, fuera de la red corporativa que es realmente donde mas riesgo hay.

Para este proceso iremos a inicio → ejecutar→gpedit.msc o bien en nuestra unidad organizativa.

Después en “User Configuration→Policies→ Administrative Templates→Control Panel→Personalization

Activaremos el Salva Pantallas (Enable Screen Saver)

GPO1Ademas activaremos las opciones “Password Protect The Screen Saver” y la opción “Screen Saver Timeout

opciones_GPOEn mi caso he establecido un tiempo de bloqueo de 130 segundos ≈ 2 minutos.activacion_bloqueo_GPOAdemas como veis en la imagen os he marcado la opción “Force Specific Screen Saver” por si queréis que todos los equipos tengan el mismo salva pantallas (para entornos corporativos, con una fuerte imagen de empresa).

Screen SaverLocation (full path)
Bubbles.scrC:\Windows\System32\Bubbles.scr
Mystify.scrC:\Windows\System32\Mystify.scr
PhotoScreensaver.scr (Photos)C:\Windows\System32\PhotoScreensaver.scr
Ribbons.scrC:\Windows\System32\Ribbons.scr
scrnsave.scr (Blank)C:\Windows\System32\scrnsave.scr
ssText3d.scr (3D Text)C:\Windows\System32\ssText3d.scr

Para esta opción debéis establecer la ruta del archivo donde esta el salva pantallas en una carpeta en red y ademas añadir a la ruta la opción de bloqueo de pantalla “rundll32 user32.dll,LockWorkStation“.

Una vez activadas estas opciones, guardamos la política y esperamos a que se replique a todos los equipos.

Aunque parezca una tontería con esto hemos mejorado la seguridad notablemente.

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies