El Blog de Enrique Cortés

miércoles, 16 de noviembre de 2016

Evitar que Windows Update instale o actualice un controlador en Windows 10


Nivel técnico : Intermedio
Aplica: Windows 7/8/8.1/10
 
Windows Update descarga e instala actualizaciones acumulativas para Windows 10, actualizaciones de seguridad y también mejoras para el sistema, las denominadas actualizaciones de características, que agregan nuevas funciones y mejoran el rendimiento. Entre estas últimas se encuentran los controladores de dispositivos.
Pero muchos usuarios se encuentran con el problema de que Windows Update instala, de forma automática, controladores no compatibles u obsoletos, que provocan problemas al sistema, incluso errores graves de detención (BSOD). En muchas ocasiones, el usuario por fin consigue encontrar en la web del fabricante del equipo, o del dispositivo que quiere actualizar, un controlador que realmente funciona bien en Windows 10, aunque éste esté desarrollado para versiones anteriores (W7/8/8.1). En este escenario, Windows Update detecta este controlador y descarga e instala una nueva versión para ese dispositivo, con lo que se desata el problema y el mal funcionamiento del equipo.
¿Qué se puede hacer para impedir que Windows Update instale o actualice un controlador que funciona perfectamente?
En este artículo voy a exponer un método de solución a este problema, que ya se aplicaba a partir de Windows Vista, cuando Microsoft introdujo diferentes políticas para Windows Update en la Directiva de Grupo. En versiones anteriores de Windows 10 podíamos aplicar algunos métodos que funcionaban, como éste para la versión 1511 (Thresold 2):
Cómo evitar que Windows Update actualice controladores
 
pero que ya no funciona en la versión de aniversario, versión 1607 (Redstone 1). O incluso el Solucionador de problemas proporcionado por Microsoft (Show or hide updates):
método que todavía funciona en la nueva versión de Windows 10, pero que tiene dos importantes problemas:
a) cuando Windows 10 instala una nueva versión del sistema, o una nueva compilación, todas las actualizaciones ocultas se muestran de nuevo.
b) este método sólo funciona con un controlador determinado elegido por el usuario. Si Windows Update libera un controlador nuevo, se instalará independientemente del anterior.
 
Si estás interesado en este problema, puedes seguir los métodos de resolución de este artículo para solucionarlo. El único inconveniente es que en las ediciones domésticas de windows (como Windows 10 Home), al no incorporar la Directiva de grupo, se debe implementar este método a través del registro.
 
Cada dispositivo de hardware instalado en el equipo tiene un Hardware ID asignado al mismo, por lo que el dispositivo queda identificado de forma exclusiva. De lo que se trata es de impedir que Windows Update instale o actualice un controlador con el mismo Hardware ID. Para ello, sigue estos pasos:
 

Paso 1. Obtener el controlador deseado (el que sabemos que funciona bien) y bloquear el acceso a Internet

 
1. Deja que Windows Update instale ese controlador problemático, que funciona mal y que quieres anular
2. Descarga u obtén el controlador que sabes que funcionará bien en Windows 10 y guárdalo en lugar seguro, a punto para instalar
3. Bloquea el acceso a Internet para que Windows Update no pueda descargar ni instalar ningún tipo de actualización, o bien deshabilita el servicio Windows Update.
 

Paso 2. Copiar el ID de hardware del dispositivo y luego instalar el controlador compatible

 
1. Abre el Administrador de dispositivos y expande la categoría del dispositivo problemático (por ejemplo, si estamos tratando un controlador de la tarjeta gráfica, expande Adaptadores de pantalla). Haz doble clic sobre el dispositivo para abrir la ventana de Propiedades y abre la ficha Detalles.
2. En la ficha Detalles busca el Id de hardware en la lista desplegable, como aparece en esta imagen:
 
Imagen

Es posible que sólo aparezca un ID de hardware, o varios. En el caso de la imagen aparecen 4.
3. Selecciona todos los Id de hardware que aparezcan (clic derecho > Seleccionar todo) y pégalos en un documento en blanco del Bloc de notas. Guarda este archivo en el Escritorio.
4. Abre ahora la ficha Controlador del cuadro de Propiedades y haz clic en Desinstalar. Posiblemente se abra un cuadro de confirmación de desinstalación (esto depende del tipo de controlador); si aparece esta ventana, marca la casilla Eliminar el software de controlador de este dispositivo:
 
Imagen
 
5. Seguidamente deberás reiniciar el sistema para completar correctamente la desinstalación del dispositivo problemático. Mantén el equipo con Internet bloqueado.
6. Al reiniciar procede a la instalación del controlador compatible, el que sabes que funciona correctamente.
7. Una vez finalizada la instalación, vuelve a reiniciar el sistema.
 

Paso 3. Bloquear la actualización del controlador de dispositivo utilizando la Directiva de grupo

 
Este paso sólo puede hacerse en las ediciones Profesional, Enterprise y Education, que disponen de la Directiva de grupo. En las ediciones domésticas puede hacerse directamente a través del registro, proceso que explico más abajo (y que sirve para todas las ediciones).
1. Ejecuta el Editor de directivas de grupo local (gpedit.msc).
2. Navega a la ruta Configuración del equipo, Plantillas administrativas, Sistema, Instalación de dispositivos, Restricciones de instalación de dispositivos.
3. En el panel derecho, busca la directiva Impedir la instalación de dispositivos que coincidan con cualquiera de estos id. de dispositivo
 
Imagen
 
4. Haz doble clic sobre esa directiva para abrir el cuadro de Propiedades, y habilítala marcando la casilla Habilitada. Seguidamente haz clic en Mostrar... Se abrirá el cuadro Mostrar contenido.
5. Abre ahora el Bloc de notas donde guardaste los id. de hardware del dispositivo problemático y copia, uno a uno, cada línea y pégala en cada una de las líneas bajo Valor, como muestra el ejemplo de la imagen:
 
Imagen

6. Haz clic en Aceptar y cierra el Editor de directivas.
7. Reinicia el sistema de nuevo y ya puedes conectarte a Internet. A partir de ahora Windows no podrá instalar, ni de forma manual ni mediante Windows Update, ningún controlador de dispositivo que deba utilizar aquel hardware. Se podrán descargar, porque Windows Update los detecta y los descarga, pero en el momento de intentar instalarlos aparecerá un error:
 
Imagen
 
No debes hacer caso de este error. Es un error esperado por la política que has implementado mediante la Directiva de grupo. Windows Update funcionará perfectamente para descargar e instalar el resto de actualizaciones para el equipo.
 

Bloquear la actualización del controlador de dispositivo a través del registro (paso 3) 


Los usuarios de ediciones domésticas de Windows, que no disponen de la Directiva de grupo local, tendrán que implementar este ajuste mediante el registro (válido, no obstante, para todas las ediciones). Si éste es tu caso, haz lo siguiente (esto sustituye el paso 3):
1. Abre un documento de texto mediante el Bloc de notas (notepad) y copia el siguiente contenido:
Imagen
 
2. En la última clave, la que incluye los Hardware ID, tendrás que sustituir estos cuatro puntos del ejemplo ("1", "2", "3" y "4") por los que guardaste en el bloc de notas (Paso 2, punto 3). Colócalos siempre entre las comillas.
3. A continuación, guarda el archivo como DeviceInstall.reg (con extensión .REG) y haz doble clic sobre él para introducir las órdenes al registro.
4. Reinicia el sistema para implementar el ajuste.
 
Nota: Se pueden producir problemas graves si se modifica el Registro incorrectamente utilizando el Editor del Registro o cualquier otro método. Estos problemas pueden requerir que se reinstale de nuevo el sistema operativo. Modifica el Registro bajo tu propia responsabilidad.
 
 
 
 
 

Desactivar la Pantalla de Bloqueo en Windows 10 Anniversary Update


En Windows 10 existen dos pantallas de bloqueo diferentes. En primer lugar, la Pantalla de Bloqueo de arranque o del equipo, que es la que se muestra cuando arrancamos el equipo y antes de iniciar sesión en la cuenta de usuario. Y en segundo lugar, la Pantalla de Bloqueo del usuario, que es la que se muestra cuando se bloquea la sesión, por ejemplo cuando pulsamos en Bloquear desde el menú de inicio o cuando pulsamos las teclas Windows+L. Ambas pantallas de bloqueo muestran fondos de fantasía, que pueden ser diferentes, y alguna información útil, como un reloj, la fecha y algunas notificaciones:
 
Imagen

En las primeras versiones de Windows 10 (1507-Thresold 1 y 1511-Thresold 2) ambas pantallas de bloqueo podían deshabilitarse de un plumazo mediante una política de Directiva de grupo, que a su vez modificaba el registro. Con este cambio no se mostraba ninguna pantalla de bloqueo y al arrancar el equipo nos aparecía directamente la pantalla de inicio de sesión.
A partir de la nueva actualización de Windows 10, la Actualización de Aniversario (versión 1607-Redston 1), Microsoft ha cambiado de forma solapada y en secreto la disponibilidad de algunas opciones de la Directiva de grupo en relación a las versiones anteriores, por lo que algunos comportamientos del sistema operativo no se pueden controlar como antes. Algunas opciones de directiva ya no están disponibles en la edición Profesional (ni en la edición Home, que aunque no tiene Directiva de grupo, también podían aplicarse esas opciones a través del registro) en favor de las ediciones Enterprise y Education.
Entre estas opciones de directiva no disponibles en esta versión están las relativas a la Pantalla de Bloqueo:
  • No mostrar la pantalla de bloqueo
  • Evitar que se cambie la imagen de las pantallas de bloqueo e inicio de sesión
  • Aplicar una imagen predeterminada específica en las pantallas de bloqueo e inicio de sesión
En esta nueva versión, Microsoft ha eliminado la opción de quitar la pantalla de bloqueo en las ediciones Pro y Home de Windows 10:

Imagen
Ahora, las dos pantallas de bloqueo están fusionadas con la pantalla de inicio de sesión. La primera pantalla de bloqueo, la del equipo, ahora ya no se puede deshabilitar porque forma parte de la Shell de windows. La única manera de desactivar esta pantalla en el arranque del sistema sería modificando la librería LogonController.dll mediante un editor hexadecimal; de hecho, ya corren por la red algunas aplicaciones que realizan dicha tarea para desactivar las pantallas de bloqueo. Sin embargo, no aconsejo semejante intrepidez, ya que puede ocasionar algunos trastornos en el sistema y además cualquier actualización acumulativa para Windows 10 volverá a restablecer esa librería.
Además, la pantalla de bloqueo en Windows 10 actualmente está cobrando un mayor protagonismo. Aplicaciones como Cortana, la Cámara, las Notas y otros elementos están tomando protagonismo en la pantalla de bloqueo. Microsoft ha registrado nuevas patentes con las cuales busca personalizar la experiencia de esta pantalla de bloqueo de manera que los usuarios puedan ver información personal en ella con la seguridad de que ningún otro es capaz de verla. Para ello, la compañía quiere que los usuarios puedan utilizar sistemas de autenticación biométricos para identificarse en esta pantalla de bloqueo de Windows 10 y poder ver así la información correspondiente.
Si no quieres que se muestre ninguna pantalla de bloqueo al arrancar, la única opción oficial posible (de momento) es habilitar el inicio automático de sesión. Con este ajuste, al arrancar el equipo, el sistema iniciará la sesión de usuario automáticamente sin necesidad de escribir ninguna contraseña y no aparecerá ninguna imagen ni pantalla de bloqueo. Evidentemente este ajuste conlleva un riesgo para la seguridad ya que cualquier persona puede iniciar una sesión de usuario que no es la suya.
Si quieres liberarte, al menos, de la segunda pantalla de bloqueo, la que aparece al cerrar la sesión (logoff) o bloquearla (Windows+L), lo puedes conseguir creando una tarea programada. Resulta que en esta nueva versión de Windows 10 Microsoft ha creado un nuevo valor AllowLockScreen en el registro con contenido 1 (uno) para mantener activa esta pantalla de bloqueo, en la siguiente clave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData

Lo lógico sería pensar que si establecemos este valor en 0 (cero) deshabilitamos la pantalla. Realmente es así, pero el valor se vuelve a establecer en 1 (uno) al siguiente reinicio de sesión. Por eso es necesario crear una tarea programada para que se mantenga siempre a 0 (cero). Sigue estos pasos:
1. Inicia el Programador de tareas (control schedtasks)
2. Haz clic en Biblioteca del programador de tareas (columna izquierda) y en Crear tarea... (columna derecha)
3. En la ficha General:
Escribe un nombre para la tarea: Deshabilitar Pantalla de Bloqueo.
Marca la casilla Ejecutar sólo cuando el usuario haya iniciado sesión.
Marca la casilla Ejecutar con los privilegios más altos
Y establece Configurar para: Windows 10. No pulses Aceptar todavía.

4. En la ficha Desencadenadores:
Haz clic en Nuevo...
En Iniciar la tarea: elige Al iniciar la sesión (Cualquier usuario). Y marca sólo la última casilla: Habilitado. Haz clic en Aceptar.
Haz clic otra vez en Nuevo...
En Iniciar la tarea: elige Al desbloquearse la estación de trabajo (Cualquier usuario). Y marca sólo la última casilla: Habilitado. Haz clic en Aceptar.
 
Imagen

5. En la ficha Acciones:
Haz clic en Nueva...
En Nueva acción establece Iniciar un programa
En la casilla Programa o script escribe reg.exe
En la casilla Agregar argumentos (opcional): escribe el siguiente comando:

add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData /t REG_DWORD /v AllowLockScreen /d 0 /f
y haz clic en Aceptar.

Imagen

6. En la ficha Condiciones:
En Energía, desmarca ambas casillas:
Detener si el equipo empieza a usar la batería
Iniciar la tarea sólo si el equipo está conectado a la corriente alterna
Haz clic en Aceptar.
 
En la ficha Configuración no es necesario establecer ningún parámetro.

7. Pulsa ahora Aceptar para guardar toda la configuración de la tarea y que aparezca como tarea creada en la Biblioteca del Programador de tareas.
8. Reinicia la sesión de usuario para implementar los ajustes.
Existe también otra opción, mucho más rápida, que consiste en renombrar la carpeta
Microsoft.LockApp_cw5n1h2txyewy. Puedes hacerlo de la siguiente manera:

1. Pulsa las teclas Windows+R
2. En la casilla Abrir escribe el siguiente comando y pulsa Intro:

%windir%\SystemApps

3. Busca la carpeta Microsoft.LockApp_cw5n1h2txyewy. Haz clic derecho sobre ella y elige Cambiar nombre
4. Añade .disabe al final del nombre. El sistema pedirá confirmación; haz clic en Continuar:
 
Imagen

Con este ajuste, al bloquear la sesión de usuario nos aparecerá directamente la pantalla de inicio de sesión, aunque si dejamos esta pantalla durante 1 minuto sin hacer ninguna acción, automáticamente vuelve a aparecer la pantalla de bloqueo. El problema es que con cualquier actualización de Windows 10 se puede crear una nueva carpeta para la Pantalla de bloqueo, con lo que quedará anulada esta opción.






 

Windows Defender: crear acceso directo a examen sin conexión (Windows Defender Offline)

Nivel técnico : Básico
Aplica: Windows 10
 
A partir de la actualización de aniversario de Windows 10, versión 1607 (Redston1), Microsoft añadió la opción de Examen sin conexión de WD (Windows Defender Offline). Esta nueva función de análisis sin conexión recientemente añadida es muy útil para aquellos usuarios que utilizan normalmente WD como su software de seguridad principal. Algunos malware son capaces de ejecutarse en el inicio del sistema operativo, manteniéndose totalmente inactivos y ocultos mientras está abierta una sesión de Windows y haciendo muy complejo el detectarlos. El escaneo offline (fuera de línea) realiza un examen del equipo antes incluso de iniciarse Windows, lo que permite detectar mucho más efectivamente este tipo de malwares y anularlos antes de que se ejecuten.
La nueva característica Windows Defender Offline permite que WD pueda hacer un escaneo en busca de malwares justo antes del inicio de Windows.
De la misma forma que es posible crear accesos directos para realizar los exámenes en línea de WD (tanto el examen rápido como el completo), también es útil disponer de un acceso directo para iniciar la exploración fuera de línea mediante un solo clic. Este acceso directo puedes situarlo donde desees (en la barra de tareas, en el menú de inicio, en el Escritorio...).
Proteger el equipo con Windows Defender sin Conexión 

Para ejecutar WD Offline desde la interfaz gráfica accede a Configuración > Actualización y seguridad > Windows Defender Offline> Realizar el examen sin conexión:
 
Imagen

Una vez ejecutada la aplicación, tu equipo se reiniciará y los archivos críticos del sistema operativo serán revisados en busca de amenazas. Obviamente, antes de ejecutarla es importante que guardes todos tus trabajos y cierres los programas abiertos, ya que el reinicio se producirá en pocos segundos.
 
Cómo crear acceso directo al examen sin conexión de Windows Defender (WD Offline)
Para crear este acceso directo, utilizaremos la herramienta PowerShell con privilegios elevados que ejecutará la utilidad Start-MpWDOScan de línea de comandos. Para ello, sigue estos pasos:
1. Haz clic derecho en un espacio libre del Escritorio y en el menú contextual que aparece elige Nuevo > Acceso directo
2. En la casilla Escriba la ubicación del elemento, copia y pega el siguiente comando:
PowerShell.exe Start-Process PowerShell -Verb RunAs Start-MpWDOScan 

Imagen

3. Haz clic en Siguiente y ponle un nombre al acceso directo, por ejemplo:
    Windows Defender (Examen sin conexión)
4. Haz clic en Finalizar. Se habrá creado el acceso directo.
5. Haz doble clic sobre él y se abrirá una ventana de comandos iniciando el examen sin conexión de la unidad:
 
Imagen
El equipo se reiniciará inmediatamente mostrándote el siguiente mensaje:

Imagen
 
Windows Defender se iniciará justo al reiniciar el equipo y procederá a realizar el examen en busca de cualquier amenaza malware:
 
Imagen

Cambiar el icono del acceso directo a Windows Defender Offline
 
Por último, puedes sustituir el icono que ha creado el acceso directo por otro de tu agrado, o bien por el icono habitual de WD. Puedes hacerlo de esta forma:
1. Haz clic derecho sobre el acceso directo y elige Propiedades
2. Haz clic en Cambiar icono y pulsa en Examinar
3. Localiza la ruta donde se encuentra el ejecutable de WD

C:\Archivos de Programa\Windows Defender\MSASCui.exe

4. Haz clic en Aceptar y Aplicar para establecer el icono propio. Y así es como quedaría finalmente:
 

Windows Defender: crear accesos directos a examen rápido y examen completo

Nivel técnico : Básico
Aplica: Windows 10

Windows Defender (WD) es la aplicación de seguridad incluida por defecto en Windows 10. Aunque no se trata de un antivirus sofisticado y potente con muchas funciones de protección, es importante tenerlo activado. Si utilizas normalmente WD para escanear el equipo en busca de malware instalado, quizá te resulte interesante tener a mano un acceso directo a la aplicación, que efectuará un examen rápido del sistema con un solo clic; e incluso tener otro acceso directo que realizará un examen completo del equipo. Ambos accesos directos podrás situarlos donde prefieras (en la barra de tareas, en el menú de inicio, en el Escritorio...).
Para ejecutar WD desde la interfaz gráfica accede a Configuración > Actualización y seguridad > Windows Defender > Abrir Windows Defender:
Imagen

Imagen

También puedes abrir WD directamente si ejecutas el siguiente comando:

%ProgramFiles%\Windows Defender\MSASCui

Para poder crear sendos accesos directos a examen rápido y completo de WD, se puede usar la herramienta de línea de comandos MpCmdRun.exe que es parte de WD. Si abres una consola del Símbolo del sistema (CMD), y ejecutas este comando te dará la sintaxis de la aplicación:
MpCmdRun.exe /?

Imagen


A) Crear acceso directo a Windows Defender-Examen rápido (Quick Scan)

1. Haz clic derecho en un espacio libre del Escritorio y en el menú contextual que aparece elige Nuevo > Acceso directo
2. En la casilla Escriba la ubicación del elemento, copia y pega el siguiente comando:
"C:\Archivos de Programa\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1

Imagen

3. Haz clic en Siguiente y ponle un nombre al acceso directo, por ejemplo:
    Windows Defender (Examen rápido)
4. Haz clic en Finalizar. Se habrá creado el acceso directo.
5. Haz doble clic sobre él y se abrirá una ventana de comandos iniciando el examen rápido de la unidad:
 
Imagen

Al finalizar el examen, el sistema te avisará mediante un mensaje emergente:

Imagen

Como alternativa, puedes ejecutar el acceso directo en su interfaz gráfica en lugar de ejecutarlo por CMD. Para ello, sustituye el comando anterior por este otro:
"C:\Archivos de Programa\Windows Defender\MSASCui.exe" -QuickScan

Imagen


B) Crear acceso directo a Windows Defender-Examen completo (Full Scan)

El proceso para crear el acceso directo al examen completo de WD es el mismo que el anterior, cambiando únicamente el comando que ejecutará la aplicación y el nombre:
1. Sustituye el comando anterior por este otro para ejecutar el acceso directo en modo CMD:

"C:\Archivos de Programa\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2

Imagen

O por este otro comando para el modo de interfaz gráfica:

"C:\Archivos de Programa\Windows Defender\MSASCui.exe" -FullScan
 
Imagen


C) Cambiar los iconos de los accesos directos a WD

Por último, puedes sustituir los iconos generales que crean los accesos directos por otros de tu agrado, o bien por los habituales de WD. Puedes hacerlo de esta forma:
1. Haz clic derecho sobre el acceso directo y elige Propiedades
2. Haz clic en Cambiar icono y pulsa en Examinar
3. Localiza la ruta donde se encuentra el ejecutable de WD

C:\Archivos de Programa\Windows Defender\MSASCui.exe

4. Haz clic en Aceptar y Aplicar para establecer el icono propio. Y así es como quedaría finalmente:

Imagen

A partir de la actualización de aniversario de Windows 10 (Redston1), Microsoft añadió la opción de Examen sin conexión de WD (Windows Defender Offline). Esta nueva función de análisis sin conexión recientemente añadida es muy útil para aquellos usuarios que utilizan normalmente WD como su software de seguridad principal. Para estos usuarios es útil disponer también de un acceso directo para iniciar la exploración fuera de línea mediante un solo clic. Accede al siguiente enlace para saber cómo crear un acceso directo a Windows Defender Offline: