Categoría Sistema Operativo Windows
Categoría Sistema Operativo Windows

Impedir que nadie instale programas

Impedir que nadie instale programas en Windows 11/10/8/7

En un entorno donde múltiples usuarios comparten un ordenador, como en familias, oficinas o escuelas, es común querer restringir la instalación de software para mantener la seguridad, evitar malware, controlar el uso de recursos o cumplir con políticas de licencia.

Windows ofrece varias herramientas integradas para prevenir instalaciones no autorizadas, aunque algunas dependen de la edición del sistema operativo (por ejemplo, Home vs. Pro/Enterprise).

En este artículo informativo, exploraremos métodos paso a paso para bloquear la instalación de programas en Windows 11, 10, 8 y 7.

Ten en cuenta que Windows 7 ya no recibe soporte de Microsoft, lo que representa un riesgo de seguridad, pero los métodos básicos aún aplican. Recuerda crear un punto de restauración del sistema antes de aplicar cambios, especialmente en el Registro o Políticas de Grupo.

1. Usar Cuentas de Usuario Estándar (No Administrativas)

La forma más simple y efectiva de prevenir instalaciones es limitar a los usuarios a cuentas estándar, que no tienen privilegios para modificar el sistema. La mayoría de los instaladores requieren derechos de administrador para ejecutarse.

Pasos (aplicables a Windows 11/10/8/7):

  1. Abre la Configuración (Windows + I en Windows 11/10) o busca «Cuentas de usuario» en el Panel de Control (en Windows 8/7).
  2. Ve a «Cuentas» > «Familia y otros usuarios» (en Windows 11/10) o «Administrar otra cuenta» (en Windows 8/7).
  3. Agrega una nueva cuenta: selecciona «Agregar cuenta» y elige una cuenta local o Microsoft sin privilegios administrativos.
  4. Inicia sesión en la nueva cuenta y verifica que no pueda instalar software (aparecerá un mensaje pidiendo credenciales de administrador).
  5. Elimina privilegios administrativos de otras cuentas existentes si es necesario.

Este método funciona en todas las ediciones, incluyendo Home, y no requiere herramientas avanzadas. Sin embargo, algunos programas portables (que no requieren instalación) aún podrían ejecutarse.

2. Restringir Instalaciones a la Microsoft Store

En Windows 11/10, puedes limitar las descargas de apps solo a la Microsoft Store, bloqueando instaladores de terceros (.exe,.msi, etc.).

Pasos (Windows 11/10):

  1. Abre Configuración (Windows + I).
  2. Ve a «Aplicaciones» > «Aplicaciones y características».
  3. En «Elegir dónde obtener aplicaciones», selecciona «Solo la Microsoft Store (recomendado)».
  4. Reinicia el equipo para aplicar los cambios.

Esto no aplica directamente a Windows 8/7, donde la Store es limitada. En ediciones Home, es una opción sencilla para bloquear apps no aprobadas.

3. Usar el Editor de Políticas de Grupo (Group Policy Editor)

El Editor de Políticas de Grupo (gpedit.msc) está disponible en ediciones Pro, Enterprise y Education de Windows 11/10/8, y en Professional/Ultimate/Enterprise de Windows 7. No está en Home (requiere trucos o upgrades).

Método 3.1: Desactivar Windows Installer

Esto bloquea la instalación de paquetes.msi.

Pasos:

  1. Presiona Windows + R, escribe «gpedit.msc» y presiona Enter.
  2. Navega a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Installer.
  3. Haz doble clic en «Desactivar Windows Installer».
  4. Selecciona «Habilitado» y, en opciones, elige «Solo para aplicaciones no administradas».
  5. Aplica y reinicia.

Para revertir, selecciona «Deshabilitado».

Método 3.2: No Ejecutar Aplicaciones Específicas de Windows

Bloquea ejecutables como msiexec.exe (el instalador de Windows).

Pasos:

  1. En gpedit.msc, ve a Configuración del usuario > Plantillas administrativas > Sistema.
  2. Haz doble clic en «No ejecutar aplicaciones especificadas de Windows».
  3. Selecciona «Habilitado», luego «Mostrar» en la lista de aplicaciones no permitidas.
  4. Agrega «msiexec.exe» (ruta: C:\Windows\System32\msiexec.exe).
  5. Aplica y reinicia.

4. Usar AppLocker (para Ediciones Enterprise/Education)

AppLocker permite crear reglas para permitir o denegar ejecuciones basadas en firmas digitales, rutas o hashes de archivos. Está disponible en Windows 7 Ultimate/Enterprise, Windows 8/8.1 Enterprise, Windows 10/11 Enterprise/Education. No en Home o Pro estándar.

Requisitos y Configuración Inicial:

  • AppLocker aplica a Windows 7 (Enterprise/Ultimate), 8 (Enterprise), 10/11 (Enterprise/Education).
  • Usa modo de auditoría primero para probar sin bloquear.

Pasos para Bloquear Instalaciones (usando Políticas Locales o de Grupo):

  1. Abre el Editor de Políticas Locales: Windows + R, escribe «secpol.msc» y Enter (o usa gpedit.msc para Grupo).
  2. Navega a Políticas de control de aplicaciones > AppLocker.
  3. Configura propiedades: En la pestaña «Aplicación», selecciona «Aplicar reglas» para colecciones relevantes (ej. Archivos ejecutables y Windows Installer).
  4. Crea reglas: Haz clic derecho en una colección (ej. Reglas de instalador de Windows) > «Crear nueva regla».
  • Elige acción: «Denegar».
  • Condición: Publicador (para firmados), Ruta (ej. bloquear %USERPROFILE%\Downloads*.msi) o Hash de archivo.
  • Aplica a «Todos» o grupos específicos.
  • Agrega excepciones si necesitas permitir ciertos instaladores.
  1. Usa el Asistente para Generar Reglas Automáticamente: Selecciona una carpeta de referencia y genera reglas en masa, luego edita para denegar.
  2. Aplica: Reinicia o fuerza actualización (gpupdate /force en CMD).
  3. Monitorea eventos en el Visor de Eventos > Microsoft-Windows-AppLocker/MSI y EXE.

Modos: «Auditoría solo» para logs sin bloqueo; «Aplicar» para denegar. Prueba en un entorno de laboratorio.

5. Editar el Registro (para Ediciones Home o Sin GPE)

Para Windows Home, donde no hay GPE, modifica el Registro para bloquear instalaciones.

Pasos (Windows 11/10/8/7):

  1. Presiona Windows + R, escribe «regedit» y Enter.
  2. Navega a HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer.
  3. Crea una clave DWORD llamada «DisableMSI» (si no existe) y establece su valor en 1 (para deshabilitar) o 2 (deshabilitar para no admins).
  4. Alternativa: Ve a HKEY_LOCAL_MACHINE\Software\Classes\Msi.Package\DefaultIcon, edita «(Predeterminado)» a «C:\Windows\System32\msiexec.exe,1».
  5. Reinicia.

Advertencia: Editar el Registro puede dañar el sistema; haz una copia de seguridad.

6. Otras Medidas Adicionales

  • Deshabilitar Puertos USB: Previene instalaciones desde dispositivos externos. En el Administrador de Dispositivos, deshabilita controladores USB (reversible).
  • Herramientas de Terceros: Usa software como Install-Block (bloquea basados en palabras clave y requiere contraseña) o Deep Freeze (restaura el sistema al reiniciar, eliminando cambios).
  • Políticas para Apps Empaquetadas: En ediciones Business/Enterprise, usa políticas MDM para bloquear instalaciones de apps Windows por no admins.

Consideraciones por Versión

  • Windows 11/10: Soporte completo para Store restrictions y AppLocker en Enterprise. Usa Configuración moderna.
  • Windows 8: Similar a 10, pero Store menos integrada; AppLocker solo en Enterprise.
  • Windows 7: Sin soporte actual; usa GPE en Professional+ y cuentas estándar. AppLocker en Ultimate/Enterprise.

Conclusión

Estos métodos ayudan a mantener tu sistema seguro al limitar instalaciones. Comienza con cuentas estándar para simplicidad, y avanza a AppLocker para control granular en entornos empresariales. Si administras múltiples PCs, considera Políticas de Grupo en un dominio. Siempre prueba cambios para evitar bloquear software esencial. Si necesitas ayuda avanzada, consulta la documentación oficial de Microsoft o un profesional de TI.

Windows