Windows Vista incluye gran cantidad de nuevas características para proteger los equipos de código malintencionado. En esos términos destaca el Control de cuenta de usuario (UAC), que limita el riesgo de código malintencionado permitiendo a los profesionales de TI implementar usuarios como usuarios estándar en lugar de administradores. Esto ayuda a impedir que los usuarios efectúen cambios en el equipo que sean potencialmente peligrosos, pero no limita su capacidad de controlar elementos simples como la configuración de la zona horaria o de la alimentación. Para aquellos usuarios que inician una sesión como administrador, UAC dificulta al código malintencionado la tarea de causar daños en un equipo. Asimismo, el modo protegido de Internet Explorer ejecuta Internet Explorer sin los privilegios necesarios para instalar el software (ni incluso escribir los archivos fuera de un conjunto limitado de directorios), con lo que se reduce el riesgo de que se pueda utilizar para instalar código malintencionado sin el consentimiento del usuario. Windows Defender detecta muchos tipos de spyware y otros programas de software potencialmente no deseados, y avisa al usuario antes de que las aplicaciones puedan realizar cambios potencialmente malintencionados.

Muchas de las mejoras de seguridad proporcionan métodos de defensa en profundidad, por una parte, protegiendo el equipo contra ataques y, por otra, limitando los daños que pueda causar un atacante después de comprometer la seguridad de un equipo. El Reforzamiento de los servicios de Windows limita el daño que puedan causar los atacantes si consiguen comprometer la seguridad de un servicio con éxito, con lo que se consigue reducir el riesgo que los atacantes efectúen cambios permanentes en el equipo con Windows Vista o que ataquen a otros equipos de la red. Finalmente, el Centro de seguridad de Windows permite que los usuarios comprueben el nivel de seguridad de sus equipos y que reparen rápidamente cualquier posible punto débil.

En las secciones siguientes se describen estas tecnologías de forma más detallada.

Control de cuenta de usuario

Para proteger al usuario de software malintencionado, Microsoft recomienda que se utilicen cuentas con privilegios limitados (conocidas como cuentas de usuario estándar en Windows Vista y como cuentas de usuario limitadas en Windows XP). Estas cuentas de usuario limitadas ayudan a impedir que código malintencionado efectúe cambios en todo el sistema, como instalar un software, ya que si un usuario no dispone de un permiso para instalar una aplicación nueva, entonces también se evita que un código malintencionado que el usuario pueda ejecutar accidentalmente efectúe dichos cambios. En otras palabras, el código malintencionado ejecutado en el contexto de la cuenta de un usuario tiene las mismas restricciones de seguridad que dicho usuario.

En Windows XP y versiones anteriores de Windows, se dan dos grandes problemas al utilizar cuentas de usuario estándar:

• Los usuarios no pueden instalar software, cambiar la hora del sistema, instalar impresoras, cambiar la configuración de la alimentación, agregar un clave WEP para configuraciones inalámbricas o realizar otras tareas comunes que requieren privilegios elevados.

• Muchas aplicaciones requieren privilegios de administrador y no se ejecutan correctamente con privilegios limitados.

Aunque si se inicia la sesión en un equipo como usuario estándar se consigue una mejor protección contra código malintencionado, utilizar este tipo de cuenta resulta tan complicado que muchas organizaciones prefieren otorgar privilegios de administrador a sus usuarios. Sin embargo, al 85 por ciento de las empresas sondeadas en un estudio reciente de Microsoft le gustaría que el 75 por ciento o más de sus escritorios fueran implementados con cuentas de usuario estándar si fuera fácil implementarlo de esta manera. UAC de Windows Vista es un conjunto de características que ofrece las ventajas de las cuentas de usuario estándar sin limitaciones innecesarias. En primer lugar, todos los usuarios (incluidos los administradores) utilizan los privilegios de usuario estándar de forma predeterminada. En segundo lugar, Windows Vista permite que las cuentas de usuario estándar cambien la zona horaria y realicen otras tareas comunes sin tener que suministrar credenciales de administrador, lo que permite a las organizaciones configurar más usuarios con cuentas estándar. En tercer lugar, UAC permite que la mayoría de las aplicaciones, incluso aquellas que requerían privilegios de administrador en Windows XP, se ejecuten correctamente en las cuentas de usuario estándar.

Modo de aprobación de administrador

Con Windows XP y versiones anteriores de Windows, cualquier proceso que un administrador ejecutase automáticamente hacía uso de privilegios de administrador. Esta situación resultaba ser conflictiva porque el código malintencionado podía efectuar cambios en todo el sistema, como instalar un programa de software sin la confirmación del usuario. En Windows Vista, los miembros del grupo de administradores se ejecutan en modo de aprobación de administrador, que (de forma predeterminada) avisa a éstos para que confirmen acciones que requieren algo más que los privilegios estándar.

El modo de aprobación de administrador crea dos tokens de acceso cuando un miembro del grupo local de administradores inicia una sesión: un token con todos los permisos y un segundo token filtrado con protección de cuenta de usuario. El token con menos privilegios está destinado a tareas no administrativas y el token con más privilegios se usa únicamente una vez que el usuario da su consentimiento explícito. Como se muestra en la figura 1, Windows Vista solicita al usuario su consentimiento antes de llevar a cabo una acción que requiera privilegios de administrador.

Muchas organizaciones utilizarán las ventajas de UAC para crear cuentas de usuario estándar en lugar de cuentas de administrador. El modo de aprobación de administrador ofrece protección para usuarios, tales como los desarrolladores, que necesitan privilegios de administrador requiriéndoles confirmación antes de que una aplicación efectúe cambios potencialmente malintencionados. Como la mayoría de mejoras de seguridad de Windows Vista, la solicitud de confirmación está habilitada de forma predeterminada pero puede deshabilitarse mediante la configuración de la directiva de grupo. Además, la solicitud de confirmación puede requerir que el usuario escriba una contraseña administrativa o, para los usuarios estándar, que se les comunique que no se tienen acceso.

Cómo permitir a los usuarios que no son administradores que efectúen cambios de configuración

Las cuentas de usuario estándar en Windows Vista pueden efectuar cambios en la configuración que no comprometan la seguridad del equipo. Por ejemplo, las cuentas de usuario estándar en Windows Vista tienen permiso para cambiar la zona horaria en sus equipos, una configuración muy importante para los usuarios que viajan. En Windows XP, las cuentas de usuario limitadas no disponen de este permiso de forma predeterminada, un inconveniente que hace que muchos profesionales de TI implementen cuentas como administradores y sacrifiquen las ventajas de seguridad de las cuentas de usuario limitadas. Sin embargo, las cuentas de usuario estándar en Windows Vista no tienen permiso para cambiar la hora del sistema, porque muchas aplicaciones y servicios dependen de un reloj del sistema preciso. Como se muestra en la figura 2, a un usuario que intente cambiar la hora se le solicitan sus credenciales de administrador.

Cómo ofrecer compatibilidad de aplicación a usuarios que no son administradores

Algunas aplicaciones no se ejecutan en Windows XP sin privilegios de administrador, ya que intentan efectuar cambios en ubicaciones de archivos y registros que afectan a todo el equipo (por ejemplo, C:\Archivos de programa, C:\Windows; HKEY_LOCAL_MACHINE) y las cuentas de usuario estándar no disponen de los privilegios necesarios. La virtualización de archivos y registros en Windows Vista redirecciona los datos que se escriben en archivos y registros por máquina a ubicaciones por usuario si el usuario no cuenta con privilegios de administrador. Esta característica permite que las cuentas estándar ejecuten aplicaciones que deben escribirse en áreas del registro o del sistema de archivos a las que sólo los administradores pueden tener acceso. Finalmente, esto permitirá que más organizaciones utilicen cuentas de usuario estándar ya que las aplicaciones que de otro modo requerirían privilegios de administrador podrán ejecutarse con éxito sin necesidad de efectuar cambios en la aplicación.

Las ventajas de UAC

El hecho de permitir que las cuentas de usuario estándar efectúen cambios de configuración y ofrezcan compatibilidad de aplicación a las cuentas de usuario estándar no afecta directamente al código malintencionado. Sin embargo, estas características hacen que las cuentas de usuario estándar resulten prácticas para aquellos que han iniciado la sesión previamente con cuentas de administrador, ya que les permiten sacar provecho de la protección contra código malintencionado que ofrecen las cuentas de usuario estándar. Para los usuarios que todavía requieran una cuenta de administrador, UAC ofrece niveles de protección que requieren la confirmación del usuario antes de emprender acciones administrativas, con lo que dificultan al código malintencionado la tarea de causar daños en un equipo.

Para entender la protección que ofrecen las UAC contra el código malintencionado, imagine un usuario medio que realiza viajes de negocios y utiliza una cuenta de usuario estándar sin saber la contraseña de un administrador local. Con el fin de mejorar el rendimiento de la red, el usuario descarga una herramienta anunciada en Internet. Sin embargo, dicha herramienta es un caballo de Troya que intenta instalar código malintencionado automáticamente cuando se inicia el equipo. La característica de UAC en Windows Vista impide que esta herramienta realice esta tarea malintencionada porque el usuario no cuenta con los privilegios necesarios. De esta forma, UAC protege a los usuarios al tiempo que minimiza los problemas relacionados con los privilegios restrictivos.

Mejoras de Internet Explorer

En Windows Vista, el modo protegido de Internet Explorer 7 tiene como objetivo que UAC limite a Internet Explorer con los privilegios suficientes para explorar Internet, pero no los suficientes para modificar archivos de usuario o las configuraciones de forma predeterminada. Como resultado, incluso si un sitio malintencionado ataca un punto vulnerable de Internet Explorer, el modo protegido ayuda a reducir los riesgos de que el código del sitio instale software, de la copia de archivos en la carpeta de inicio, de la modificación de la configuración de registro o de piratear la configuración de la página de inicio del explorador o el proveedor de búsqueda. Esta característica, conocida como modo protegido de Internet Explorer, sólo está disponible para la versión de Internet Explorer 7 en Windows Vista. Puesto que estas defensas restringen las capacidades de Internet Explorer, se han agregado algunas características de compatibilidad de forma que se asegura a los usuarios legítimos que puedan instalar software nuevo, descargar archivos y modificar la configuración del sistema, tal y como solían hacer.

Además, Internet Explorer ofrece una nueva protección contra aquellos controles no autorizados ActiveX. Mientras que la plataforma ActiveX puede extender mucho las capacidades del explorador y mejorar las experiencias en línea, algunos desarrolladores malintencionados han tomado la plataforma para escribir aplicaciones malintencionadas que roben información y dañen el sistema del usuario. Muchos de estos ataques se llevaron a cabo contra los controles de ActiveX integrados en el sistema operativo de Windows , aunque los controles nunca fueron ideados para ser usados por aplicaciones de Internet. Internet Explorer 7 ofrece a los usuarios un nuevo y eficaz mecanismo de seguridad para la plataforma ActiveX. ActiveX Opt-In deshabilita automáticamente clases enteras de controles—todos los controles que el usuario no ha habilitado previamente—que reducen al máximo la superficie de ataque. Esta nueva característica funciona directamente para mitigar el posible mal uso que pueda hacerse de los controles preinstalados. A partir de ahora, se solicitará a los usuarios confirmación a través de la Barra de información antes de tener acceso a un control ActiveX instalado previamente pero que todavía no se ha utilizado. Este mecanismo de notificación proporcionará a los usuarios la capacidad de permitir o denegar el acceso al obtener sitios Web que no les resulten familiares. En el caso de los sitios Web malintencionados que intentan ataques automáticos, ActiveX Opt-In protege a los usuarios impidiendo el acceso no deseado y otorga el control al usuario. En el caso en que el usuario decida permitir cargar un control ActiveX, el control correspondiente se habilita fácilmente haciendo clic en la Barra de información.