# Despliegue con GPO de Active Directory Se mostrarán los procedimiento para llevar a cabo la instalación, actualización y desinstalación del agente usando el GPO de Active Directory. # Requisitos previos Antes de ejecutar cualquier procedimiento en el **Active Directory** es importante tener en cuenta los siguientes requisitos previos: Debe contar con la capacidad de realizar acciones administrativas en **Active Directory** y opcionalmente en los computadores de la organización. En teoría, para llevar a cabo el despliegue de nuestro agente no se requiere realizar ninguna acción en los PC de los empleados, sin embargo, en la primera instalación de pruebas quizás quiera forzar la actualización de la política en alguno de los equipos para no tener que esperar mucho tiempo a que se haga de forma natural. Los computadores de la organización deben estar previamente unidos al dominio, esto significa que ya un administrador de tecnología pasó por el PC y lo ingresó al dominio de la organización y este PC está inventariado en el directorio activo y el empleado cuenta con un usuario de red válido. En el **Active Directory** ya existe una unidad organizacional bien organiza, de tal manera que cuando se lleve a cabo el procedimiento de *NOFRAUD*, se puedan seleccionar de forma correcta los dispositivos o usuarios que serán objeto de la metodología antifraude. Debe copiar o descargar el agente de The Fraud Explorer (normalmente llamado ***endpointInstaller.msi***) al servidor de controlador de dominio desde donde se compartirá a todos los equipos de la organización para que se pueda llevar a cabo su instalación. Es muy importante que de ahora en adelante, cuando el **Active Directory** le pida la ruta del paquete MSI en relación con nuestro agente, use una ruta de red y no una ruta local, es decir, debe usar algo como \\\\dc.nofraud.la\\MSI\\endpointInstaller.msi y no C:\\MSI\\endpointInstaller.msi. El agente de The Fraud Explorer es compatible con sistemas operativos Windows de 32 y 64 bits, desde Windows 7 en adelante, sin embargo, nuestro agente requiere que el **Framework .NET 4.8** de Microsoft esté previamente instalado en los PC donde se llevará a cabo el despliegue. El Framework .NET viene por defecto instalado en Windows y si el sistema operativo cuenta con los últimos parches es altamente probable que este requisito se cumpla de forma automática y no deba realizar nada. El único escenario donde debería instalarlo manualmente es en caso de que los sistemas operativos no estén actualizados. Puede ejecutar el siguiente comando en una consola PowerShell para saber qué versión se encuentra instalada: ```powershell reg query "HKLM\SOFTWARE\Microsoft\Net Framework Setup\NDP\v4\Full" /v Release ``` Si se cumplen estos requisitos, estamos listos para continuar con la aplicación de los procedimientos.

**The Fraud Explorer** es un software que junto con **FraudGPT** detecta el fraude y la corrupción en las organizaciones. Este software está siendo desarrollado por [NOFRAUD.la](https://www.nofraud.la/). Este contenido es privado y únicamente está disponible para clientes de NOFRAUD. Está prohibida su publicación en fuentes abiertas o disponibles al público.

# Video con todos los pasos En vez de seguir los pasos documentados, también puede optar por visualizar este video. El video contiene todos los pasos de la guía ejecutados de forma práctica y cada uno de los pasos está separado por capítulos.

# Abrir Active Directory Abra la aplicación **Active Directory users and Computers** en el controlador de dominio y haga clic en la unidad organizativa OU donde se encuentran todos los usuarios. [![MainWindowAD.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/mainwindowad.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/mainwindowad.png) No importa si existen usuarios que no tendrán la política, más adelante se creará un filtro de seguridad que tendrá una regla para que solamente ciertos usuarios la tengan.

# Grupo de seguridad En la OU donde se encuentran todos los usuarios de la organización, cree un **Security Group** con scope **Global** y añada a él los usuarios que serán objeto de la aplicación de la política en la pestaña miembros. [![SecurityGroupMembers.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/securitygroupmembers.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/securitygroupmembers.png) Para crear un grupo de clic derecho en la OU y posteriormente de clic en **New** y luego **Group**.

# Creación de la política GPO Abra la aplicación **Group Policy Management** para construir la política. Seleccione el bosque por defecto y llegue a la entrada **Group Policy Objects**. [![GroupPolicyManagement.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/grouppolicymanagement.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/grouppolicymanagement.png) De clic derecho sobre **Group Policy Object** y luego seleccione **New**.

# Nombre de la política GPO Escriba un nombre para la nueva política de GPO. [![NewGPO.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/newgpo.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/newgpo.png) Se recomienda usar el nombre **Analytics Software**.

# Eliminación del filtro por defecto Después de ponerle un nombre a la política, se regresa a la pantalla principal del **Group Policy Management**. Allí, de clic en la entrada **Authenticated Users** dentro del **Security Filtering** y luego presione el botón **Remove**. [![DeleteAuthenticatedUsers.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/deleteauthenticatedusers.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/deleteauthenticatedusers.png) Esto eliminará el filtro por defecto para la aplicación de la política. Normalmente la política se aplica a todos los usuarios que se autentiquen en Windows, pero lo que se quiere es poder seleccionar usuarios y ponerlos en un grupo y solo a estos aplicarles la política.

# Creación de un nuevo filtro En la pantalla principal del **Group Policy Management**, de clic en **Add** en la sección de **Security Filtering**. [![SecurityFiltering.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/securityfiltering.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/securityfiltering.png) Allí, escriba el nombre del grupo de seguridad que creó con anterioridad y al que agregó como miembros los usuarios a los que desea que se les aplique ésta política.

# Delegación Estando parados en la política recién creada **Analytics Software**, dar clic en la pestaña **Delegation** y luego en el botón **Advanced**. [![Delegation.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/delegation.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/delegation.png) Se configurará qué grupos tienen permisos para la aplicación de la política.

# Delegación del grupo de seguridad Después de darle clic en **Advanced** en la ventana pasada de **Delegación**, se llega a esta ventana donde deberá darle clic en el botón **Add** y agregar **Authenticated Users** a la lista de Grupos. Asegúrese de que este grupo solamente tiene la opción **Read** habilitada como permitida y lso demas deshabilitados. [![DelegationReadandApplyGroupPolicyEnabled.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/delegationreadandapplygrouppolicyenabled.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/delegationreadandapplygrouppolicyenabled.png) Para finalizar, asegúrese de que el grupo de seguridad creado en el directorio activo, en este caso **Business Analytics Group**, tenga las opciones de **Read** y **Apply group policy** habilitadas.

# Edición de la pólitica Edite la política dando clic derecho sobre ella y luego en **Edit**. [![EditGPO.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/editgpo.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/editgpo.png) Aparecerá esta ventana donde deberá crear una entrada en **Software Installation** dando clic en **User Configuration**, **Policies**, **Software Setings**, **Software Installation**, **New** y cuando se le pregunte por el archivo MSI del agente, ubíquelo en la ruta de red, no en la ruta local del servidor.

# Configuración avanzada Seleccione que desea configurar el despliegue de manera avanzada. [![AdvancedDeployPackage.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/advanceddeploypackage.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/advanceddeploypackage.png) Más adelante se configurarán el resto de opciones, por el momento de clic en OK.

# Propiedades del despliegue En la ventana de propiedades seleccione la pestaña **Deployment**. Aquí verifique que el tipo de despliegue sea **Assigned** y que en las opciones estén activadas las casillas **Uninstall this application when it falls out of the scope of management** y **Install this application at logon**. [![PackageProperties.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/packageproperties.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/packageproperties.png) De clic en OK. Con esto la política quedó correctamente configurada y solo faltaría asignarla (linkearla) a una unidad organizativa.

# Crear el link de la política En la pantalla principal del **Group Policy Management** de clic derecho en la unidad organizativa donde se encuentran todos los usuarios de la organización y donde también está el grupo de seguridad creado y de clic en **Link an existing GPO**. [![LinkExistingGPO.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/linkexistinggpo.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/linkexistinggpo.png) En la lista que se abre, asegúrese de seleccionar la política que acabamos de crear, en este caso la llamada **Analytics Software**. En caso de querer aplicar esta política a otras OU, debe hacer el mismo link para cada OU.

# Aplicar la política con gpupdate Abra una consola de **MS-DOS** en el servidor de controlador de dominio y ejecute el comando: ```powershell gpupdate /force ``` [![gpupdateForce.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/gpupdateforce.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/gpupdateforce.png) Este comando forzará la aplicación de la política desde el servidor Windows.

# Aplicar la política en un PC En el PC que quiera realizar la prueba, abra una consola de **MS-DOS** con los permisos tradicionales (sin administrador) y ejecute el comando: ```powershell gpupdate /force ``` [![rebootGPUPDATE.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/rebootgpupdate.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/rebootgpupdate.png) Este comando irá al servidor de controlador de dominio y preguntará si existe una nueva política para este usuario. En caso afirmativo solicitará que se reinicie la sesión en Windows. Debe decir que SI.

# Comprobación de la política En el PC donde esté haciendo la prueba de despliegue de la política, abra una consola de **MS-DOS** con el usuario normal y ejecute el comando: ```powershell gpresult /r ``` [![gpresult.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/gpresult.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/gpresult.png) Debe aparecer en la sección **Objetos de directiva de grupo aplicados** el nombre de la política que creamos.

# Verificación de la instalación El instalador crea sus archivos en la carpeta **C:\\ProgramData\\Software** y allí se encuentra un archivo de log llamado **app.log**. Si lo abre deberá ver este tipo de entradas donde se indica que le usuario administrador acaba de realizar la instalación del agente. [![ApplogInstall.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/apploginstall.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/apploginstall.png) El agente solo usa el usuario **administrador** para instalar el aplicativo, no para correrlo.

# Reinicio del PC Cuando se reinicia el PC, el agente arranca con los permisos del usuario restringido, como se observa en el archivo **C:\\ProgramData\\Software\\app.log**. [![AgentRunning.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/agentrunning.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/agentrunning.png) En este archivo de log se encontrará toda información relevante de inicio, parada, actualización, desinstalación e incluso errores que pueda presentar el agente durante su ejecución.

# Revisión de instalación con PowerShell Puede ejecutar este comando en una consola de **PowerShell** para obtener mayor información sobre el producto instalado: ```powershell wmi-object Win32-Product | Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize ``` [![PowerShellProductID.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/powershellproductid.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/powershellproductid.png) En esta pantalla se muestra información de valor como el ID del producto y la ruta local que ha creado Windows para almacenar en caché el MSI del agente.

# Archivos que crea el agente En la carpeta **C:\\ProgramData\\Software** se almacena el archivo ejecutable del agente de The Fraud Explorer llamado **businessAnalytics.exe**. Junto a él también se encuentra un archivo de los llamado **app.log**, un archivo de configuración llamado **configApp.xml** y un archivo con instrucciones internas para la desinstalación llamado **uninstall.xml**. [![AgentFiles1.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/agentfiles1.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/agentfiles1.png) En caso de tener que agregar excepciones en el antivirus, el contenido de esta carpeta debería incluirse en las reglas de excepción o para la regla de ejecución el binario **businessAnalytics.exe**.

# Base de datos del agente Internamente el agente de The Fraud Explorer almacena su configuración en un archivo cifrado llamado **endpoint.db3** y localizado en la carpeta **C:\\Users\\empleado\\AppData\\Local\\Software**. Esta carpeta depende al final del usuario que será monitoreado. [![AgentFiles2.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/agentfiles2.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/agentfiles2.png) En este archivo se almacena configuración como la dirección del servidor, las llaves de cifrado para la comunicación con la consola central y otra información relevante para su funcionamiento.

# Entradas de registro de Windows El agente de The Fraud Explorer crea una entrada en el registro de Windows en la ruta **HKEY\_LOCAL\_MACHINE, SOFTWARE, WOW6432Node, Microsoft, Windows, CurrentVersion, Run**. [![WindowsRegistry.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/windowsregistry.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/windowsregistry.png) Esta entrada garantiza que el agente inicie cada vez que el dispositivo sea reiniciado. El agente de The Fraud Explorer no crea ninguna otra entrada en el registro de Windows aparte de esta.

# Aparición en programas instalados Si se entra al panel de control y allí se ingresa a las aplicaciones y características del equipo, se verá que aparece el agente de The Fraud Explorer con el nombre **Business Analytics**. [![InstalledPrograms.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/installedprograms.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/installedprograms.png) Junto con el nombre de la aplicación aparece también la versión del agente. Cuando se realiza una actualización, no se crean entradas nuevas sino que se re-emplaza la actual con la nueva versión.

# Monitoreo del agente En el PC del usuario, se puede abrir el **Administrador de tareas** y en la pestaña **Detalles** buscar el ejecutable **businessAnalytics.exe**. [![Tasks.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/tasks.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/tasks.png) El ejecutable se arranca con los privilegios del usuario que será monitoreado. Se pueden ver además los consumos de recursos que hace el agente. Cuando recién arranca, el agente puede consumir 17 MB de memoria RAM, pero una vez termina de arrancar su uso es de aproximadamente 8 MB.

# Inicio del agente Al crear la entrada en el registro de Windows, automáticamente el agente puede verse en la misma ventana del **Administrador de tareas**, en la pestaña **Inicio**. [![StartAtBoot.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/startatboot.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/startatboot.png) En esta ventana se muestran todas las aplicaciones que arrancan cuando el usuario inicia sesión con su cuenta en Windows. El agente de The Fraud Explorer no arranca como servicio y no interfiere en el proceso de arranque de sistema operativo. En caso de tener problemas con el arranque de Windows, puede descartar directamente que sea el agente de The Fraud Explorer, porque el agente se ejecuta en la etapa final cuando se ha cargado completamente el explorador de Windows.

# Actualización del agente Para actualizar el agente, ingrese de nuevo al **Group Policy Management**, de clic derecho en la política GPO creada en **Group Policy Objects** y luego en **Edit**. En **User Configuration**, **Policies**, **Software Settings**, **Software Installation**, de clic en **New Package**. Cuando sele pida especificar el MSI del agente, seleccione la nueva versión y asegúrese de que especifica una ruta de red en vez de una ruta local. Cuando se le pida especificar si desea ser **Asignado** o **Publicado**, no seleccione ninguna y seleccione la ultima opción de configuración **Avanzada**. [![upgradePackage.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/upgradepackage.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/upgradepackage.png) Elija un nombre que diferencie esta aplicación de la anterior. Puede usar al final la palabra **Upgrade** como referencia.

# Qué se actualizará En las propiedades de la actualización elija que este paquete actualiza un paquete anterior, como se muestra en la imagen a continuación. [![UpgradeTab.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/upgradetab.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/upgradetab.png) Active la casilla **Required upgrade for existing packages** y aplique la configuración.

# Propiedades de la actualización En la ventana de propiedades seleccione la pestaña **Deployment**. Aquí verifique que el tipo de despliegue sea **Assigned** y que en las opciones estén activadas las casillas **Uninstall this application when it falls out of the scope of management** y **Install this application at logon**. [![PackageProperties.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/packageproperties.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/packageproperties.png) De clic en OK. Con esto la política quedó correctamente configurada la actualización.

# Inventario de aplicaciones En este momento deberían aparecer estas dos entradas, una que muestra la primera versión del agente y otra que muestra una versión más actualizada. [![SoftwareInventory.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/softwareinventory.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/softwareinventory.png) En los iconos se ve que la segunda entrada tiene una flecha verde hacia arriba, lo significa que se trata de una actualización.

# Verificación de la actualización En el archivo C:\\ProgramData\\Software\\app.log se observará el proceso de actualización ejecutado. [![ApplogUpgrade.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/T2zapplogupgrade.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/T2zapplogupgrade.png) Se puede comprobar que se actualizó por la presencia de la entrada **Process killed (applies for upgrade/reinstall case)**.

# PowerShell para verificar actualización Si se vuelve a ejecutar el siguiente comando en el **PowerShell**, se dará cuenta de que la versión anterior ya no existe y se ha reemplazado por la nueva versión: ```powershell get-wmiobject Win32_Product | Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize ``` [![PowerShellUpgrade.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/powershellupgrade.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/powershellupgrade.png) Adicionalmente se muestra el nuevo código del producto, que es diferente al anterior.

# Actualización en listado de Aplicaciones Adicionalmente, si abre el Panel de control en el PC del usuario y da clic en **Aplicaciones y características**, verá que solo existe una entrada en el listado de aplicaciones referente al agente de The Fraud Explorer. [![InstalledProgramsUpgrade.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/installedprogramsupgrade.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/installedprogramsupgrade.png) Se podrá ver adicionalmente que la versión cambió y se muestra la versión del nuevo agente.

# Desinstalación del agente Para desinstalar el agente, debe entrar al **Group Policy Management**, seleccionar la política creada **Analytics Software** y dar clic derecho y luego en **Edit**. Ubíquese en la ruta **User Configuration**, **Policies**, **Software Settings**, **Software Installation**, de clic derecho sobre el software asignado y luego en **All Tasks** y **Remove**. [![removePackage.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/removepackage.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/removepackage.png) Seleccione la primera opción y de clic en OK. Esto desinstalará el agente en el próximo reinicio de los PC.

# Verificación de la desinstalación Para verificar en un PC de usuario, se puede volver a ejecutar el comando en la consola de **PowerShell** que muestra el listado de las aplicaciones instaladas: ```powershell get-wmiobject Win32_Product | Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize ``` [![PowerShellUninstalledProduct.png](https://library.nofraud.la/uploads/images/gallery/2025-07/scaled-1680-/powershelluninstalledproduct.png)](https://library.nofraud.la/uploads/images/gallery/2025-07/powershelluninstalledproduct.png) Como se observa, después de ejecutar el comando de desinstalación, ya no aparece la aplicación Business Analytics.