Despliegue masivo mediante directiva de grupo de Active Directory (GPO)

Qué cubre esta guía

Este es el procedimiento que sigue un administrador de Windows para empujar Zeuslock a todos los equipos unidos al dominio de una sola vez, sin tocar ninguna máquina individualmente. Se despliegan dos artefactos: las extensiones de navegador de Zeuslock para Edge y Chrome (mediante directivas ADMX), y el MSI del agente de escritorio de Zeuslock (mediante Configuración del equipo → Instalación de software). Los usuarios finales no ven nada: en su siguiente inicio de sesión la extensión está instalada de forma forzada y el servicio del agente está en marcha.

Requisitos previos

• Un dominio de Active Directory con al menos un controlador de dominio en escritura y un SYSVOL operativo.
• La Group Policy Management Console (GPMC) instalada en su estación de administración (componente RSAT).
• Una cuenta con permisos de Administrador del dominio, o miembro de Propietarios del creador de directivas de grupo con derechos de vinculación delegados sobre la OU de destino.
• Equipos unidos al dominio con Windows 10 (1809+) o Windows 11.
• Un recurso compartido UNC legible por el grupo Equipos del dominio para alojar el MSI.
• Un token de inscripción obtenido en Configuración → Despliegue de la Consola del Operador en app.zeuslock.ai.

Parte 1 — Instalación forzada de las extensiones de navegador mediante ADMX

1. Importar el paquete ADMX de Zeuslock

Descargue la última versión en su estación de administración:

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest.zip" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force

Copie los archivos al almacén central de SYSVOL para que todos los DC sirvan las mismas plantillas:

$Store = "\\domain.controller\SYSVOL\domain\Policies\PolicyDefinitions"
Copy-Item "$env:TEMP\zeuslock-admx\Zeuslock.admx" -Destination $Store -Force
Copy-Item "$env:TEMP\zeuslock-admx\en-US\Zeuslock.adml" -Destination "$Store\en-US\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\fr-FR\Zeuslock.adml" -Destination "$Store\fr-FR\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\es-ES\Zeuslock.adml" -Destination "$Store\es-ES\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\de-DE\Zeuslock.adml" -Destination "$Store\de-DE\" -Force

2. Crear la GPO y vincularla

1. Abra GPMC (gpmc.msc).
2. Clic derecho en su dominio → Crear un GPO en este dominio y vincularlo aquí…. Nómbrelo Zeuslock - Extensiones de Navegador.
3. Clic derecho en el nuevo GPO → Editar.
4. Vincúlelo primero a su OU piloto (por ejemplo OU=Piloto,OU=Equipos,DC=corp,DC=local), no a la raíz.

3. Configurar la instalación forzada para Edge

1. Vaya a Configuración del equipo → Directivas → Plantillas administrativas → Microsoft Edge → Extensiones.
2. Abra Configurar la lista de aplicaciones y extensiones de instalación forzada → Habilitada.
3. Pulse Mostrar… y añada exactamente esta entrada:

iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx

4. Repetir para Google Chrome

En Configuración del equipo → Directivas → Plantillas administrativas → Google → Google Chrome → Extensiones, repita los mismos pasos con el mismo identificador de extensión y la misma URL de actualización.

Parte 2 — Desplegar el MSI del agente de escritorio

1. Publicar el MSI en un recurso UNC

Copie ZeuslockAgent.msi a un recurso compartido legible por Equipos del dominio (no solo Usuarios del dominio — la instalación corre como SYSTEM):

$Share = "\\fileserver\Software\Zeuslock"
icacls $Share /grant "Equipos del dominio:(OI)(CI)RX"

2. Inyectar el token de inscripción

El agente necesita ZEUS_ENROLL_TOKEN en el momento de la instalación. La Instalación de software por GPO no pasa propiedades MSI directamente, así que use uno de estos dos enfoques.

• Recomendado: genere un transform con Orca o WiX:

cscript WiRunSQL.vbs ZeuslockAgent.mst "INSERT INTO Property (Property, Value) VALUES ('ZEUS_ENROLL_TOKEN', 'zk_live_xxxxxxxxxxxx')"

• Alternativa: escriba el token en el registro mediante una preferencia GPO antes de que se ejecute el MSI:

New-Item -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Name "EnrollToken" -Value "zk_live_xxxxxxxxxxxx" -PropertyType String -Force

3. Crear el paquete de Instalación de software

1. En GPMC, edite un nuevo GPO llamado Zeuslock - Agente de Escritorio.
2. Vaya a Configuración del equipo → Directivas → Configuración de software → Instalación de software.
3. Clic derecho → Nuevo → Paquete…. Navegue mediante la ruta UNC (nunca por letra de unidad): \\fileserver\Software\Zeuslock\ZeuslockAgent.msi.
4. Elija Asignado. Si generó un transform, cambie a Avanzado y añada ZeuslockAgent.mst en la pestaña Modificaciones antes de aceptar.
5. Vincule el GPO a la misma OU piloto.

4. Opcional — Tarea programada de respaldo

La Instalación de software falla a veces en enlaces lentos o equipos saturados. Combine la GPO con una tarea programada que se ejecute una vez al arranque como SYSTEM:

msiexec /i \\fileserver\Software\Zeuslock\ZeuslockAgent.msi /qn /norestart ZEUS_ENROLL_TOKEN=zk_live_xxxxxxxxxxxx /l*v C:\Windows\Temp\zeuslock-install.log

Verificación

Reinicie un equipo de prueba (no se limite a gpupdate /force: las directivas de Instalación de software solo se aplican durante el arranque, antes del inicio de sesión, porque el MSI instala servicios). Después, en el equipo:

gpresult /h C:\Temp\gpreport.html
Start-Process C:\Temp\gpreport.html

En el informe, confirme que ambas GPO de Zeuslock aparecen bajo GPO aplicados y que el MSI figura en Instalación de software. Después compruebe la directiva y el servicio:

Get-Service ZeuslockAgent
# Estado esperado: Running, tipo de inicio Automatic

Start-Process "chrome.exe" "chrome://policy"
# Busque ExtensionInstallForcelist conteniendo iicgcadhcgbckmpapjihechjpgcdamhd

Errores habituales con GPO

• ADMX en la ruta equivocada. Plantillas colocadas en C:\Windows\PolicyDefinitions\ de un único DC son invisibles desde los demás DC y desde GPMC. Use siempre el almacén central SYSVOL.
• Reinicio olvidado. gpupdate /force aplica la mayoría de directivas, pero no la Instalación de software. El CSE que procesa los MSI solo se ejecuta en la fase de arranque, antes del logon, porque instalar un servicio mientras un usuario está conectado es arriesgado.
• MSI con código 1603 y sin token. El agente se niega a registrarse sin token y devuelve 1603. Aplique el transform .mst, escriba el valor en el registro previamente, o use la tarea programada de respaldo.
• ExtensionInstallBlocklist en conflicto. Un comodín en la lista de bloqueo gana a la lista de instalación forzada, salvo que el ID de la extensión Zeuslock figure también en ExtensionInstallAllowlist.
• Filtros WMI demasiado estrictos. Un filtro tipo Win32_OperatingSystem WHERE Version LIKE '10.0.19%' deja fuera Windows 11. Prefiera Caption LIKE 'Microsoft Windows 1%', o retire el filtro.

Plan de despliegue por anillos

1. Anillo 0 (Día 0): OU piloto de IT — 10 a 20 equipos. Valide la aplicación del ADMX, la instalación del MSI, la lista de extensiones forzadas y el servicio del agente.
2. Anillo 1 (Día 7): una unidad de negocio (50 a 200 equipos). Vigile en la Consola del Operador los volúmenes de hallazgos y los tickets de helpdesk.
3. Anillo 2 (Día 14): las demás unidades de negocio por lotes, con 7 días de separación entre lotes.
4. Anillo 3 (Día 21+): vincule las GPO a la raíz del dominio, excluyendo explícitamente la OU piloto mediante filtrado de seguridad.

Cuando todos los anillos estén en verde, pase la política de Zeuslock de Monitor a Anonymize y finalmente a Block, siguiendo la cadencia recomendada de 6 semanas. Consulte Primera detección paso a paso para ver qué esperar en cuanto el agente empiece a generar incidentes.