Mis experiencias con User Account Control

¿Qué es UAC? – User Account Control

 

Antecedentes:

Pongamos el siguiente caso: Estamos trabajando sobre una PC con Windows XP o inferior, por lo general XP se instala con credenciales administrativas y se inicia la vez primera de igual forma. En muchos de los casos, el usuario no es consciente que esta trabajando con credenciales administrativas y usa la PC para  navegar por Internet, instalar y desinstalar software o hardware.

 

Este usuario que realiza sus tareas cotidianas con nivel de administrador local, no se da cuenta que al ingresar a Internet, esta exponiendo sus servicios con acceso total a su sistema, vale decir, cualquier intruso puede conectarse a los servicios de esa PC y tomar control remoto de la misma, y ni hablar de los troyanos, malware y toda la clasificación de código maligno indeseable.

 

El resultado: La PC se comporta de manera anormal, algunos procesos funcionan solos, otros ni siquiera responden; de pronto la red se pone lenta, las aplicaciones se congelan, existen errores inesperados, las cosas comienzan a fallar de una manera inexplicable y esto ya se ha propagado por toda la red, no solo se trata de una PC, sino de todas las PCs conectadas a la red.

 

Ahora traslademos este problema a un escenario laboral, donde hay bases de datos, servicios de mensajería y colaboración, aplicaciones que son modificadas. Que pasaría si eso se da en una empresa que tiene mil clientes y hacemos reportes de ventas, compras y cuentas por cobrar?

 

En resumen, el inicio de todos nuestros problemas es la CAPA 8: EL USUARIO FINAL, quien, con conocimiento o sin el, ha causado un perjuicio en nuestra red, a la que tenemos que atender de urgencia, sin importar si es fin de semana, madrugada o feriado, debemos brindar solución a ese problema ya mismo.

 

¿Cuál sería la solución?
Una de las soluciones es indicarle al usuario final que no debe usar su Sistema Operativo con credenciales administrativas, evidentemente, éste no nos hará caso, ya que para eso existe el area de soporte, ellos se encargan de resolver los problemas cada vez que ocurren, y… si en un eventual caso se pierden los datos… siempre hay a quien hacer responsable: el Área de Soporte. Este problema de Capa 8 es el que nos hace perder horas enteras que bien podríamos usar en quehaceres mas productivos.

 

Windows Vista tiene una solucion: se llama User Account Control (UAC).
Cuando instalamos Windows Vista en nuestra PC, se activa una cuenta con nivel de usuario estándar, ya no como Administrador, y cuando instalamos, desinstalamos o realizamos cualquier operacion que requiera privilegios administrativos, nos mostrara una ventana de advertencia:

 


Si hemos iniciado la sesión con un usuario que posee privilegios administrativos, Windows Vista igual nos solicitara una confirmacion para seguir con el proceso, a esto se le llama establecer tokens, y sirve para proteger al sistema de posibles cambios. Si por el contrario, hemos iniciado la sesión con una cuenta de usuario estándar, nos solicitará que ingresemos las credenciales de un usuario con nivel de administrador, si el usuario estándar usa credenciales administrativas, podrá realizar la operación, a estyo se llama Elevar Privilegios.

Pero esto es lo mas basico que realiza Windows Vista, User Account Control tiene muchas herramientas mas…

UAC posee cuatro niveles de advertencia, en cada ventana de advertencia, vemos un icono con el escudo de protección en diferentes colores, cada uno de ellos tiene algo que decir y debemos saber interpretar: 

 









 

 

 

 



Windows necesita su permiso para continuar

Quiere decir que el programa que pertenece a Windows Vista que intentamos abrir o instalar puede afectar a los otros usuarios de ese equipo y por lo tanto necesita de nuestro permiso para dar inicio, debemos leer la informacion que acompaña a esta ventana antes de tomar una decisión.

 



 

 

 

 

 



Un Programa necesita su permiso para continuar

Quiere decir que un programa o aplicación que no pertenece a Windows Vista necesitará de nuestro permiso para iniciarse. Comprueba siempre que tenga el nombre de su fabricante y cual es su procedencia, esta información la puedes ver en la ventana de información, solo debes leerla antes de tomar la decision de ejecutarla. Si no lees un nombre de proveedor o fabricante recomiendo no abrirla o ejecutarla.

 



 

 

 

 



 Un Programa no identificado desea tener acceso a este equipo

Quiere decir que estás frente a un programa no identificado y tampoco tiene firma digital (en el que se pueda confiar). Puede existir un peligro al ejecutar esto, solo ejecuta esto si sabes de donde proviene la fuente y si ésta es confiable, como un driver de CD, software de algún fabricante, etc.

 



 

 



Este programa se bloqueó

Quiere decir que se trata de un programa o aplicación que el administrador del equipo ha bloqueado para impedir que se ejecute en el equipo. En este caso debes ponerte en contacto con el administrador, y si tu eres el administrador, revisa en las politicas de grupo con GPEDIT.MSC.


Como recomendación, siempre crea usuarios con cuenta de nivel estándar para trabajar las cosas diarias, solo usa la cuenta con privilegios de administrador si vas a instalar o desinstalar software o hardware.

La cuenta de usuario estándar te ayudara a proteger tu equipo, ya que desde esta cuenta no se pueden realizar cambios potencialmente peligrosos en el PC

 Ya sabemos que Windows Vista, posee dos niveles de usuarios: estandar y administrador.

 

Usuarios Estandar

Ejecutan aplicaciones con una cuenta de usuario y son miembros del grupo Usuarios.

 

Usuarios Administradores

Son miembros del grupo Administradores local.

 

Cuando un usuario ejecuta una aplicación, se aplican al mismo tiempo de ejecución su testigo de acceso y sus privilegios administrativos asociados (tokens). Es decir, si un miembro del grupo Administradores ejecuta ejecuta una aplicacion, esta se llevara a cabo con todos los derechos y privilegios asignados a un administrador local.

 

Si un usuario ejecuta la misma aplicación, esta se ejecuta con los derechos y privilegios asignados a un usuario estándar.

 

Antes que se ejecute una aplicación identificada como administrativa, Windows Vista pide al usuario su consentimiento para ejecutarla como elevada. Esta característica se conoce como Modo de aprobación administrativo (Admin Approval Mode). El aviso sobre el consentimiento se visualiza de forma predeterminada, aunque el usuario sea un miembro del grupo Administradores local, porque los administradores trabajan como usuarios estandar hasta que una aplicación o un componente del sistema que necesita las credenciales administrativas pide permiso para su ejecución, este proceso es conocido como ELEVACION DE PRIVILEGIOS.


 

¿Cómo trabaja UAC?

 

Trabaja en modo invisible tanto para usuarios estándar como para administradores mientras estos están realizando trabajos no administrativos (usando Word, cambiando las opciones de administración de energía o agregando una impresora). No obstante, si deseamos cambiar la hora del sistema y estamos trabajando con un usuario estándar, Windows Vista nos solicitará que ingresemos el nombre de una cuenta con privilegios administrativos y su respectiva contraseña.

 

¿Qué es una Firma Digital?

 

Para una ejecutable (driver, aplicacion o macro) este debe ser confiable para ser ejecutado sobre Windows Vista, entonces deben poseer un certificado otorgado por Microsoft (en sus productos nativos) o un certificado externo que otorga Thwaite o VeriSign a productos de terceros.

 

Los ejecutables que no tienen firma digital, probablemente sean malware o algun codigo no deseable que puede afectar la estabilidad del sistema.

 

Muchos drivers, sobre todo los antiguos tienen problemas con las firmas digitales, en Windows Vista estos drivers deben ser instalados en forma manual o usando Windows Update que es una herramienta muy completa de Widowws Vista.

 

Elevando Privilegios

 

UAC por defecto, ofrece al usuario la posibilidad de elevar los privilegios y es mas o menos asi:

 


  • Si eres administrador: Solo se te solicita una ventana de confirmación, la cual debes aceptar despues de haber leído el contenido de la ventana de advertencia sobre las firmas digitales o la procedencia de la aplicación que intentas ejecutar.
  • Si eres usuario estándar: Windows Vista te solicita las credenciales administrativas, solo un Administrador puede darte el permiso para continuar, una vez que la aplicacion fue ejecutada con UAC, la cuenta de usuario se recierte y vuelve a ser Usuario Estandar.
  • Si tienes cuenta de Invitado (normalmente esta deshabilitado) no podras solicitar elevar privilegios de administrador.

IMPORTANTE:

 

Tu cuenta que posee privilegios de Administrador, de preferencia debe tener contraseña compleja, el tener una cuenta administrativa sin contraseña, es tan segura como no tener UAC, es decir, no es para nada recomendable, ya que cualquier usuario estandar puede elevar privilegios en el momento que lo desee.

 

Si tu PC con Windows VIsta es usada en modo StandAlone o pertenece a un grupo de trabajo, puedes aplicar politicas para elevar privilegios a los usuarios locales. Ingresas con SECPOL.MSC desde la interfaz de comandos y visualizas la siguiente ventana:

 



Esta configuración por defecto, hace que, cuando iniciamos sesión como usuario estándar y deseamos realizar alguna actividad que requiera de Privilegios Administrativos, como por ejemplo cambiar la hora del sistema, vemos algo asi:



Esta ventana nos avis que no tenemos los privilegios para realizar cambios en el sistema, al dar click en «Continue», vemos la siguiente pantalla:


Debemos ingresar la contraseña de un usuario que tenga privilegios administrativos para ejecutar dicha aplicación.

 

Agregando «Herramientas Administrativas» a todos los programa del Menú Inicio


  • Con esto hacemos que se pueda visualizar las herramientas administrativas en el Menu Inicio de todos los perfiles de usuario, esto con la finalidad de elevar privilegios
  • Click derecho en el Menu Inicio y luego en Propiedades, luego, seleccionar «Personalizar», nos dirigimos al final de las opciones y marcamos «Mostrar en todos los Menus del Programa» (Display on the All Programs Menu):




  • Aceptamos todas las ventanas y preguntas

 


 

5 comentarios sobre “Mis experiencias con User Account Control”

  1. Definitivamente la idea de incluir esta herramienta fué buena, pero lástima que este muy mal implementada, (obviamente que no le llega ni a los talones al sistema de control y seguridad que maneja GNU/Linux) hubiese estado mucho mejor si se hubiese implementado siquiera un pequeño sistema que nos recuerde ciertas acciones realizadas, porque a veces desespera, poco mas y te pide consentimiento hasta para abrir EQUIPO. =S
    Ojalá que con el SP1 se arregle y por el bien de todos los usuarios que usan este Win, yo sigo feliz con GNU/Linux que en cualquiera de sus distribuciones le da 10 vueltas a este engendro de Windows Vista, siendo GNU/Linux en cualquiera de sus sabores mucho mas intuitivo, ligero, seguro, estable, potente y tranparente para el usuario, sin contar además que es libre y apoyado por una verdadera «gran comunidad». =)

    Abrazos y bueno el blogcito…

  2. Pipin, no hay sistema malo, lo que si hay es administradores de sistemas malos y ni que decir de los end user, ya sea OpenSource, software propietario (Mac, Win, etc) el tema se centra en como usamos las herramientas de seguridad y cuanto sabemos de ellas. En la practica he compartido experiencias laborales con colegas de OpenSource y hemos llegado a implementar coexistencia en nuestro centro laboral, sin pasiones de ningun lado y hasta el momento nos va bien

    Gracias por el comentario, espero que este blogcito siga ayudando a las personas, que para eso fue creado.

    Saludos y que estes muy bien

    JELP

  3. Muy cierto lo que dices, ningún sistema es malo y creo que Vista es un gran sistema, (no lo niego) solo que simplemente no cubre mis espectativas mas de lo que ya lo hacen Windows XP/2003 o y ni hablar de GNU/Linux.
    Como lo dije en mi anterior comentario el UAC es bueno pero mal implementado, aunque cumple con su cometido, (ojo que en ningún momento digo lo contrario) claro no con la transparencia que uno quisiera y muchas veces a costa de saturar de notificaciones, pero bueno. Solo espero que lo perfeccionen como bien dije mas arriba y claro que lo mas importante, la seguridad depende también en gran medida del usuario final.
    Para aclarar comento que no soy usuario de Windows Vista, pero lo probé bastante antes de haberlo retirado por completo de mi sistema (tengo la versión OEM Business) y hablo en base a mi experiencia, en ningún momento me he dejado llevar por las críticas que hay en la red (fanatismos aparte) y aclaro porque en mi entorno uso tanto XP como Debian.

    Saludos y reitero mis felicitaciones por el blog, lo estaré siguiendo de manera constante.

Responder a anonymous Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *