Cómo evitar que los usuarios escriban en el registro en equipos cliente

Es posible proteger una clave de registro específica evitando que el usuario acceda a cualquier clave de registro o valor en el registro o los modifique. Es posible permitir que los usuarios vean la clave de registro, pero no que le cambien el nombre ni que la modifiquen.
Para probar las funciones:
  • Agregue una clave de registro de prueba.
  • Agregue una regla para leer pero no para escribir en la clave de registro.
  • Intente agregar un nuevo valor a la clave de registro.
  1. Para agregar una clave de registro de prueba, en el equipo cliente abra el Editor de registro; para hacerlo, abra una línea de comandos y, a continuación, escriba
    regedit
    .
  2. En Editor de registro, expanda HKEY_LOCAL_MACHINE\Software y, después, cree una nueva clave de registro llamada prueba.
  3. Para impedir que los usuarios escriban en el registro de los equipos cliente, abra una política de control de aplicaciones y, en el panel
    Control de aplicaciones
    , haga clic en
    Agregar
    .
  4. En
    Conjuntos de reglas de control de aplicaciones
    , en la lista
    Reglas
    , haga clic en
    Agregar > Agregar regla
    .
  5. En la ficha
    Propiedades
    , en el cuadro de texto
    Nombre de la regla
    , escriba
    escritura_de_HKLM_no_permitida_desde_regedit
    .
  6. A la derecha de
    Aplicar esta regla a los siguientes procesos
    , haga clic en
    Agregar
    .
  7. En el cuadro de diálogo
    Agregar definición de proceso
    , en
    Nombre del proceso con el que debe coincidir
    , escriba
    regedit.exe
    y a continuación haga clic en
    Aceptar
    .
  8. En el cuadro de diálogo
    Conjunto de reglas de control de aplicaciones
    , en la lista
    Reglas
    , haga clic en
    Agregar > Agregar condición > Intentos de acceso al registro
    .
  9. En la ficha
    Propiedades
    , en el cuadro de texto
    Descripción
    , escriba
    acceso al registro
    .
  10. A la derecha de
    Aplicar esta regla a los siguientes procesos
    , haga clic en
    Agregar
    .
  11. En el cuadro de diálogo
    Agregar definición de clave del Registro
    en el cuadro de texto
    Clave del registro
    , escriba
    HKEY_LOCAL_MACHINE\software\test
    y después haga clic en
    Aceptar
    .
  12. En el cuadro de diálogo
    Conjunto de reglas de control de aplicaciones
    , en la ficha
    Acciones
    , en el cuadro de grupo
    Intento de lectura
    , haga clic en
    Permitir acceso
    ,
    Habilitar registro
    y
    Notificar al usuario
    .
  13. En
    Notificar al usuario
    , escriba
    lectura permitida
    .
  14. En el cuadro de grupo
    Intento de creación, eliminación o escritura
    , haga clic en
    Bloquear acceso
    ,
    Habilitar registro
    y
    Notificar al usuario
    .
  15. En
    Notificar al usuario
    , escriba
    escritura bloqueada
    .
  16. Haga clic en
    Aceptar
    dos veces y asigne la política a un grupo.
    Pruebe la regla.
  17. Para probar una regla que le impida escribir en el registro, una vez aplicada la política, en el Editor de registro expanda HKEY_LOCAL_MACHINE\Software en el equipo cliente.
  18. Haga clic en la clave de registro que creó antes, llamada prueba.
  19. Haga clic con el botón secundario en la clave de prueba, haga clic en
    Nueva
    y, después, haga clic en
    Valor de cadena
    .
    No es necesario poder agregar un nuevo valor a la clave de registro de prueba.