Control de Cuentas de Usuario (III)

En estos nuevos posts hablaremos de las posibles configuraciones que permite realizar el Control de Cuentas de Usuarios, para poder adaptarlo a nuestras necesidades.Iremos viendo ante todo los posibles riesgos (no tan graves como deshabilitarlo) que conlleva cada configuración. El administrador no puede conseguir asegurar nunca un sistema operativo al máximo, pero si puede asumir los riesgos que corre.


Las posibles configuraciones del UAC la vamos a dividir en dos grandes grupos, los usuarios estándar y los administradores. Windows Vista nos proporciona la posibilidad de definir su comportamiento de forma independiente a ambos tipos de usuarios. En este post lo dedicaremos a la configuración de UAC para los usuario estándar.


 Configuración de UAC para los Usuarios


Los usuarios estándar no van a poder realizar jamás tareas administrativas con sus credenciales. Pero ¿Qué ocurre si el administrador necesita realizar una tarea administrativa cuando se encuentra bajo la sesión de uno de estos usuarios?. Ante este tipo de situación antes, utilizabamos el comando runas para ejecutar la acción, pero no siempre resultaba lo suficientemente cómodo y rápido.


Ahora mediante políticas (locales o de grupo) vamos a poder definir el comportamiento del UAC, para favorecer la operativa del sistema operativo en el escenario anteriormente descrito. Para ello debemos abrir la política que deseemos configurar y acceder a la directiva que se encuentra en la ruta: Configuración del Equipo –> Configuración de Windows –> Configuración de Seguridad –> Directivas Locales –> Opciones de Seguridad. En dicha ruta existen una directiva con el nombre «Control de cuentas de usuario: Comportamiento del indicador de elevación para los usuarios estándar».



 


Esta directiva proporciona dos posibles configuraciones:



  • Rechaza solicitudes de elevación automáticamente. Esta configuración impide a los usuarios realizar cualquier tipo de tarea administrativa, ya que su usuario no posee privilegio para ello.



 



  • Pedir credenciales. Esta configuración permite proporcionar al usuario nuevas credenciales para realizar la tarea administrativa, dando mayor funcionalidad al equipo a la hora de su administración. Pero nos muestra por defecto todos los nombres de las cuentas que pueden realizar dicha configuración.


Cuidado con esto, ya que nos acabos de saltar uno de los dos niveles de seguridad que tienen la cuentas de usuarios. ¡Ya tenemos el nombre de una cuenta válida, ahora solo nos queda adivinar su contraseña!




 


Estas son las dos posibilidades que nos proporciona Windows Vista a la hora de configurar el comportamiento de UAC con los usuarios estándar (que carecen de privilegios). En el post de la semana que viene (y prometo que sea el viernes) hablaremos de la configuraciones para los administradores.


 


Referencias


11 comentarios sobre “Control de Cuentas de Usuario (III)”

  1. hay que joderse, lo bueno que es Windows Vista, que además de que no puede virtualizarse en ciertas versiones que no sean «profesionales», encima resulta que ahora tiene una mierda de restricciones…

    http://www.fayerwayer.com/archivo/2006/10/las_restricciones_de_windows_vista.php

    El PC triunfó en su día por la libertad que ofrecía la plataforma, y cada vez se está degradando más y cayendo en los instrumentos manipuladores de la sociedad capitalista y censuradora….

    Que si DRM (me vendas la moto que me vendas, Microsoft lo aplica y no te digo que sea suyo, no me vengas con la misma trola de siempre, que la entiendo, porque MICROSOFT NO ESTÁ OBLIGADO A APLICAR DRM Y PODRÍA NO APLICARLO, PERO LE INTERESA POR SUS ESTRATEGIAS DE NEGOCIO, NO TE JODE, solo que le interesa, porque Linux no aplica DRM y Apple se está planteando eliminarlo? Eh?), que si control por hardware del contenido, …

    ¿Adonde vamos a llegar?

    ¿Alguna explicación que no sea una moto?

    QUE TRISTE.

  2. Estressador, ya llevamos varios comentarios con lo mismo. Windows Vista lleva un DRM igual que lo lleva Winamp e itunes, adobe e IBM. Lo aplican los dueños del contenido. Si te vas a comprar una cocina ve y que te hagan un diseño y luego intenta llevarte una copia de lo que te han diseñado, veras lo que te dicen.

    Se un poco más educado hombre, que encima creo que nos conocemos personalmente, ¿no?

  3. 1 No nos concoemos personalemnte (que yo sepa)
    2 Si compro una cocina por supusto que me dan copia
    3 No explicas las restriciones de Windows Vista de la URL que puse
    4 Tampoco explicas por que no pueden virtualizarse las versiones de Windows Vista que no son «profesionales»
    5 Insisto otra vez mas Microsoft puede si quiere no aplicar DRM, y Apple lo va a quitar en su itunes y en ipod
    6 Como idces tu intentare ser mas educdao

    a ver qeu moto m e vendsdss ahrora……

  4. En principio me gustaría comentar que en principio los post que estamos tratando no corresponden, en ninguna instancia al tema tratado a tal efecto (control de cuentas de usuario, que más que restricción es una ventaja) y por deferencia a Julia aquí se debería hablar de Control de cuentas. Estressador estaría muy gustoso de establecer mailing contigo para no enquistar estos post, y en cuando acabe mis posts de bitlocker, prometo hacer alguno sobre las diferencias entre versiones y ahí dialogamos de ello. Aún así y con permiso de Julian me tomo la licencia de contestar el post, y me gustaría platear una cita con vosotros en un futuro post en el que hablaré de las versiones.

    Para todos aquellos que lo deseen y quieran empaparse, con la ardua tarea de leerse una EULA os dejo la de windows Vista http://download.microsoft.com/documents/useterms/Windows%20Vista_Home%20Basic_English_2cd69850-7680-4987-8b1e-59a3d405c074.pdf.

    Con respecto a las funcionalidades de la virtualización, por contrato se establece el hecho de que el sistema licenciado no «debe» virtualizarse, no que no se pueda (deber y poder son cosas diferentes, alguien ha probado a virtualizar un versión Home de Vista?). Evidentemente la teoría de la virtualización, en producción para «las empresas» tiene un objetivo muy claro, montar laboratorios que establecen evoluciones futuras de sus organizaciones. Puesto que las empresas no utilizan versiones Home en dominio, no se considera la necesidad de establecer una virtualización de las mismas. El objetivo final de la virtualización en producción (no en laboratorios), suele ser los sistemas servidor, sobre los que si queda muy determinada y marcada las funcionalidades para los procesos de virtualización y el establecimiento del licenciamiento.

    En cuanto a las restricciones que nos encontramos en ellas, algunas de ellas ya quedaban establecidas desde Windows NT professional, como la imposibilidad de conectar más de 10 conexiones de forma concurrente y además la licencia «sí» admite el uso de la tecnología de gestión remota como la utilización de la asistencia remota u otra que pudieras poseer (la verdad en windows 2000 y en anteriores yo no tenía RDP y utilizaba otras metodologías y no pasaba nada).

    Con respecto a DRM, bueno ya se ha comentado bastante y Estresador queda patente ya, que no te gusta, a nadie nos acaba de gustar las restricciones cuando antes no existían(aunque supongan una limitación a la hora de conducir, los carnets por puntos han supuesto un gran problema, soy el primer crítico con ellas, pero están ahí, y el hecho de que un Guardia Civil te quite puntos no es una medida impuesta por él, sino que viene evolucionada por una serie de controles que deben establecerse, independientemente de como nos afecten, de la situación en la que nos encontramos al ir conduciendo y de lo que nos pueda limitar la retirada del carnet).

    Como dice Chema, Microsoft (no el único y lo de Apple está por ver) habilita un control que en última instancia depende, del que genera la «licencia», su aplicación.

    Todos coincidereis conmigo que la piratería supone un problema muy importante que debe ser controlado, (yo viví la época de los 8 bits, y la piratería casí acaba con la programación de juegos, una de mis pasiones, puesto que llegó un momento que no se obtenía ningún beneficio invertir en hacer juegos, desgraciadamente hubieran sido frustrados muchísimos programadores y aún así muchos grandes abandonaron por el camino). Que a veces el lucro y el fraude pueda quedar reñido con la propiedad es algo inevitable, pero nos queda luchar de forma clara. Si queremos evitar la imposición de los cánones o demás cuestiones a tratar, lo debemos realizar desde la legalidad, (conozco a más de uno que dicen que hay que luchar contra cualquier canon o restricción y en su vida han comprado una película, un disco de música, un juego o un programa, así lo siento, pero no se debe luchar).

  5. Alla por wikipedia se hace mencion a casos como estos: «EL THREAD HIJACKING» o secuestro de tema en un foro o en este caso en un blog, que consiste en que algún «interesado» intenta «dirigir el hilo de la conversación hacia asuntos que no tienen nada que ver con el tema inicial». Lo mas gracioso del caso es que en la propia wikipedia define que el THREAD HIJACKING suele ser realizados «por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinámica de comportamiento de los foros». Me pregunto si este será el caso.

    Os dejo el vinculo a dicha definición:
    http://es.wikipedia.org/wiki/Hijacking

  6. Este comentario va especialmente dirigido a «estresador», pero es también un repaso a todo lo dicho aquí.

    Yo creo que el figurín este es el del blog el64.blogspot.com, y no es más que un técnico-less que dice que Internet Explorer 7 es muy incómodo en su uso porque muestra demasiadas «advertencias de seguridad», y FireFox no.

    Firefox, con desplegar parches que deben cubrir nuevas vulnerabilidades, y lo que hacen es causar otras nuevas (vaya tela de parche), tiene suficiente.
    http://www.securityfocus.com/bid/22899 –> esta es la última.

    Por si alguien lo duda, las personas que están detrás de este blog, son auténticos profesionales tanto técnica como humanamente, y lo digo con conocimiento de causa, pues he tenido la inmensa suerte de poder trabajar junto a ellos.

    Ser MVP en Windows Security no es algo que regalen con un 3×2 del Carrefour, y te puedo asegurar Sr. Estresador, que Windows sí es un SO seguro porque ha pasado las más estrictas pruebas de la Common Criteria, en su web puedes consultar la información descargable gratuitamente sobre las pruebas que le hicieron.

    http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4

    Después de las cuales, por cierto, tu amigo RedHat obtiene sólo la EAL3+. Si no lo quieres entender, es problema tuyo.

    Te animo a que te descargues el informe en *.pdf y le eches un vistazo. Es público y… !!gratis!! ¡¡sí!! como el Open Source!! ¿o no? ¿El Open Source no es gratis? 😉

    Pero bueno, i64 no necesita ninguna promoción, pues su valía profesional es su mejor aval.

    Dicho esto, y sobre lo que comentas de la virtualización en Windows Vista Home, y en definitiva, las distintas versiones «domésticas» de usuario, ando probándolas exhaustivamente sobre Virtual PC 2007, Virtual Server 2005, VMWare Workstation y GSX Server, y VirtualBox, y prometo publicar varios artículos en mi blog (http://elmundodejavi.blogspot.com) donde lo explicaré todo exhaustivamente, por si te interesa.

    Sobre DRM,no voy a discutir, es como todo: tiene sus cosas buenas y malas. Bien usado es muy bueno, pero mal utilizado puede ser negativo. Las restricciones son buenas hasta que imponen en vez de proteger.

    Y sobre lo que dice Juan Luis del tema de la piratería, coincido absolutamente en todo con él. Como muchas veces dice Chema también, si pirateas música estás fomentando el tráfico de esclavos, pero si pirateas software eres el mejor hacker del mundo (cuando todos sabemos que un hacker no revienta las protecciones del software).

    En fin… que el mundo anda demasiado lleno de Técnicos-Less que tocan la moral más de lo debido.

    Lo dicho, en mi blog hablaré sobre todas estas cuestiones de virtualización en Windows Vista en los próximos meses.

    Saludos a todos, y enhorabuena por el blog.

    Xaó!!

  7. Parece que al querer instalar cualquier programa desde windows vista estando como usuario estanndar siempre habrá que escriber la contraseña de administrador cada vez. No es asi? Saludos
    ¿Me poodrían enviar una copia a zarek_2000@yahoo.es de la respuesta a mi pregunta? Gracias
    Saludos

  8. No todas las aplicaciones van a requerir privilegios administrativos para su instalación.

    ¿Que aplicaciones no necesitan privilegios para su instalación? Aquellas aplicaciones que no suponen ningún peligro para el sistema, es decir las que se ejecutan en la capa de usuario o aplicaciones sin privilegios.

    En definitiva, si tu aplicación no necesita acceder o interactuar con el sistema operativo, no necesitarás privilegios para ejecutarla (Por ejemplo, Windows Live Messenger, lectores ofimáticos de documentos,…)

    Saludos

  9. Hola a todos. Muy interesante el blog.

    (si pueden contestarme tambien a mi mail se los agradezco ya q en mi trabajo tengo restricciones y no puedo acceder aqui, sansms@gmail.com)

    Tengo algunas dudas referidas al Control de cuentas de usuario de windows vista. Hay alguna manera de no desactivarlo y no tener que estar permanentemente aceptando cada vez q voy a abrir o instalar un programa? por ejemplo, el winrar.. un programa super comun, y cada vez que quiero deszipear algo tengo que darle permiso al sistema. O por ejemplo, sin abrir el archivo, utilizando el boton derecho no me deja utilizar la opcion de «extrac here» del menu contextual…

    Bueno, si pueden darme alguna idea para sin arriesgarme a desactivarlo poder usar mi pc de una forma mas fluida y sin tener q darle permisos todo el tiempo…

    Gracias y saludos…

  10. TE SALVA DE ALGUNAS COSAS AUNQUE A VECES RESULTA MUY FASTIDIOSO, SE QUE ESTO NO TIENE QUE VER CON EL TEMA PERO ME PREGUNTABA… WINDOWS VISTA TIENE UNA SAM PROTEGIDA O ALGO?? ESPERO QUE NO SE MOLESTEN Y ME AYUDEN

Responder a anonymous Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *