Share via

Como hago para restringir la instalación de programas en Windows 11 Enterprise

Carlos hernan Alzate Florez 0 Reputation points
2025-10-15T19:09:09.5666667+00:00

En la oficina donde trabajo actualmente no tenemos Dominio, estamos usando Microsoft Intune para controlar las licencias de los equipos. Normalmente formateamos los equipos y los configuramos con los usuarios asignados por la oficina de sistemas, luego creamos un usuario local para que las personas puedan trabajar con las licencias asignadas.

El problema que tenemos es que es una institución Educativa y los estudiantes estan instalando aplicaciones como Roblox, navegadores, etc., que no están autorizados por la institución y nos podria causar problemas de licenciamiento, actualmente el usuario que se crea es usuario Estandar. Investigue un poco para hacer bloqueos de instalación y para evitar que los usuarios puedan ver las claves del wifi de la red y aplique las siguientes políticas que me bloquean ciertas cosas que las ejecuto con un .bat:

:bloquear_wifi
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Connections" /v "NC_ChangeWifiState" /t REG_DWORD /d "0" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "HideSCANetwork" /t REG_DWORD /d "1" /f
netsh wlan delete profile name=*
echo [EXITO] WiFi bloqueado. Los usuarios no pueden ver/modificar redes.

:bloquear_instalaciones
:: 1. Bloquear Microsoft Store para todos los usuarios
reg add "HKLM\SOFTWARE\Policies\Microsoft\WindowsStore" /v "RemoveWindowsStore" /t REG_DWORD /d "1" /f
:: 2. Denegar permisos en Program Files para el grupo 'Users'
icacls "C:\Program Files" /deny "Users:(OI)(CI)(W,R,X)" /T
icacls "C:\Program Files (x86)" /deny "Users:(OI)(CI)(W,R,X)" /T
:: 3. Bloquear instalaciones MSI para usuarios estándar
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer" /v "DisableUserInstalls" /t REG_DWORD /d "1" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer" /v "EnableUserControl" /t REG_DWORD /d "0" /f
:: 4. Bloquear Panel de Control para usuarios estándar
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoControlPanel" /t REG_DWORD /d "1" /f

:bloquear_usb
:: 1. BLOQUEAR EJECUCIÓN DESDE USB
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices" /v "Deny_Execute" /t REG_DWORD /d "1" /f
:: 2. HACER USB DE SOLO LECTURA
reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v "WriteProtect" /t REG_DWORD /d "1" /f
:: 3. DESHABILITAR AUTORUN
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD /d "255" /f
:: 4. BLOQUEAR ACCESO A UNIDADES REMOVIBLES
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d "4" /f

Pero sigo encontrando que paquetes como Roblox se instalan sin problemas y sin pedir usuario de administrador, que podría hacer para evitar la instalación de programas o qué tipo usuario debo tener para que los estudiantes solo puedan usarlo para estudiar y no realizar otras actividades en horario escolar.

Agradezco la atención prestada y su pronta respuesta.

Carlos Alzate

Windows for business | Windows 365 Business
0 comments

2 answers

Sort by: Most helpful
Most helpful Newest Oldest
  1. HarryPhan-2691 7,850 Reputation points Independent Advisor
    2025-10-16T12:22:35.1466667+00:00

    Hola Carlos,

    El problema fundamental es que las aplicaciones modernas como Roblox a menudo se instalan en el perfil del usuario (AppData) en lugar de Archivos de programa, lo que elude tus bloqueos basados en permisos de carpeta. Esto explica por qué los estudiantes pueden instalarlas sin derechos de administrador.

    La solución más robusta y escalable es aprovechar al máximo Microsoft Intune, que ya tienen implementado. Intune está específicamente diseñado para este tipo de escenarios de control de aplicaciones. Te recomiendo encarecidamente que explores la creación de Políticas de Restricción de Software (SRP) o, preferiblemente, las "Políticas de seguridad de aplicaciones" de Windows Defender (WDAC) directamente desde el centro de administración de Intune.

    Estas políticas pueden definir de forma centralizada qué aplicaciones están permitidas o bloqueadas basándose en reglas de editor, hash o ruta, impidiendo la ejecución de software no autorizado sin importar dónde se instale. Además, puedes utilizar Intune para desplegar configuraciones que restrinjan el acceso a Microsoft Store, redirigiéndolo a un modo privado o bloqueándolo por completo de manera más efectiva que una clave de registro local.

    Implementar estas configuraciones a través de Intune garantiza que se apliquen consistentemente en todos los equipos, sobrevivan a los reinicios y sean mucho más difíciles de eludir para los estudiantes. Esto transformará sus dispositivos en estaciones de trabajo dedicadas al estudio.

    Espero que esta guía te oriente hacia una solución permanente. Si esta respuesta te resulta útil, por favor házmelo saber marcándola como aceptada. ¡Te deseo mucho éxito en la consolidación de tu entorno! 🙂

  2. HarryPhan-2691 7,850 Reputation points Independent Advisor
    2025-10-26T04:40:07.0466667+00:00

    Halo Carlos hernan Alzate Florez

    ¿Podrías aceptar la respuesta para que la información también pueda difundirse a quienes la necesitan? ¡Gracias! 😊

    0 comments

Your answer

Answers can be marked as 'Accepted' by the question author and 'Recommended' by moderators, which helps users know the answer solved the author's problem.