Exportar (0) Imprimir
Expandir todo
Personas que lo han encontrado útil: 52 de 75 - Valorar este tema

Descripción y configuración del Control de cuentas de usuario en Windows Vista

Se aplica a: Windows Vista

Hoy en día, las empresas se enfrentan a la ardua tarea de aplicar la estandarización del escritorio. Este reto se complica debido a que la mayoría de usuarios se ejecutan como administradores locales en sus equipos. Como administrador local, un usuario puede instalar y desinstalar aplicaciones, así como ajustar la configuración de seguridad y del sistema según desee. Esto provoca que a menudo los departamentos de TI no puedan determinar la seguridad y la salud integral de sus entornos. Asimismo, cada aplicación que estos usuarios inician puede usar de manera potencial el acceso de nivel administrativo de sus cuentas para escribir en archivos del sistema y en el Registro, así como para modificar datos en todo el sistema. En este escenario, tareas habituales como explorar el Web y consultar el correo electrónico pueden convertirse en tareas no seguras. Además, todos estos elementos aumentan el costo total de propiedad (TCO) de la organización.

Los departamentos de TI deben disponer de una solución que sea resistente a ataques y proteja, a la vez, la confidencialidad, integridad y disponibilidad de los datos. Por este motivo, el equipo de desarrollo de Microsoft® Windows VistaTM decidió rediseñar el modo en el que interactúan las aplicaciones y la infraestructura de seguridad principal de Windows. El resultado de este proceso es el Control de cuentas de usuario (UAC).

¿Por qué UAC?

Historia de la cuenta de administrador de Windows

De manera predeterminada, al instalar Microsoft Windows® XP por primera vez, el Asistente para la instalación de Windows XP crea todas las cuentas de usuario como cuentas de administrador local. Este tipo de cuenta permite a los usuarios instalar, actualizar y ejecutar software, ya que una cuenta de administrador dispone de acceso a todo el sistema. Al agregar un usuario al grupo de administradores locales, automáticamente se conceden a ese usuario todos los privilegios de Windows. Un privilegio es un atributo de autorización que afecta a las directivas de todos los equipos. Por ejemplo, el privilegio SeBackupPrivilege permite realizar copias de seguridad de archivos y directorios. Los privilegios no deben confundirse con permisos, ya que los permisos se aplican a objetos mientras que los privilegios sólo se aplican a cuentas de usuario. Estos privilegios se recopilan y mantienen en un token de acceso del usuario. El token de acceso también contiene datos específicos del usuario para fines de autorización y Windows los usa para realizar el seguimiento de los recursos a los que puede obtener acceso un usuario. Cada recurso de Windows tiene una Lista de control de acceso (ACL) que registra qué usuarios y servicios tienen permiso para obtener acceso al recurso, y qué nivel de permiso tienen. El modelo de autorización de Windows usa los datos contenidos en el token de acceso de un usuario para determinar qué acceso se le permite o deniega en una ACL de recurso.

Los usuarios administrativos disponen automáticamente de:

  • Permisos de lectura, escritura y ejecución en todos los recursos

  • Todos los privilegios de Windows

noteNota
Windows Vista protege los archivos y carpetas de %systemroot% con permisos diseñados para la Protección de recursos de Windows (WRP), a los que sólo puede tener acceso el servicio del sistema. Los administradores pueden leer archivos y carpetas del sistema, pero no pueden escribir en ellos. Observe que esto no ocurría en versiones anteriores de Windows.

Aunque pueda parecer obvio que no todos los usuarios deberían poder leer, modificar o eliminar los recursos de Windows, los departamentos de TI de muchas empresas no tienen más remedio que hacer administradores a todos los usuarios.

A continuación, se enumeran algunos motivos por los que hoy en día las empresas funcionan con usuarios administradores:

  • Instalación de aplicaciones (los miembros del grupo Usuarios no pueden instalar o desinstalar aplicaciones): muchas empresas no disponen de un método centralizado de implementación de aplicaciones para los usuarios, como por ejemplo, Microsoft Systems Management Server® (SMS), la Directiva de grupo de Instalación de software (GPSI) u otra tecnología de implementación de aplicaciones similar. Las empresas que sí usan tecnologías de implementación de software permiten que los usuarios se ejecuten como administradores debido a instalaciones de aplicaciones ad hoc específicas para departamentos específicos (por ejemplo, una aplicación de hojas de cálculo personalizada para el departamento de marketing).

  • Aplicaciones web personalizadas (controles ActiveX): con el crecimiento de la comunidad de fabricantes independientes de software (ISV), muchas empresas optan por aplicaciones personalizadas diseñadas para sus requisitos de negocio específicos. Muchas de estas aplicaciones personalizadas incorporan un front-end de explorador web que requiere un control ActiveX para poder instalarse. Dado que los controles ActiveX son archivos ejecutables y pueden contener malware, Windows impide que los miembros del grupo Usuarios puedan instalarlos.

  • TCO inferior percibido (menos llamadas a soporte técnico frente a menor superficie de ataques): muchas empresas creen que al permitir que los usuarios se instalen sus propias aplicaciones disminuirá el número y el costo de llamadas al departamento de soporte técnico. Sin embargo, operar en las estaciones de trabajo como administrador también hace que la red sea más vulnerable a "malware" (el término que engloba todo el software malintencionado, incluyendo virus, caballos de Troya, spyware y cierto adware. El malware puede explotar el acceso de nivel de sistema de una cuenta de administrador local para dañar archivos, cambiar configuraciones del sistema e incluso transmitir datos confidenciales fuera de la red.

Garantizar que todos los usuarios se ejecuten como usuarios estándar es la mejor manera de ayudar a mitigar el impacto de malware. Una cuenta de usuario estándar tiene la cantidad mínima de derechos y privilegios de usuario necesaria para realizar tareas básicas de escritorio. Sin embargo, aunque una cuenta de usuario estándar existe de manera predeterminada en Windows XP, muchas tareas rutinarias, como por ejemplo, cambiar la zona horaria e instalar una impresora, requieren tener privilegios administrativos. Muchas aplicaciones también requieren que los usuarios sean administradores de manera predeterminada, ya que comprueban la pertenencia al grupo de administradores antes de ejecutarse. Windows 95 y Windows 98 no disponían de ningún modelo de seguridad. Por ello, los programadores diseñaban las aplicaciones asumiendo que se instalarían y ejecutarían con un usuario administrador. Para Windows NT se creó un modelo de seguridad, pero de manera predeterminada todos los usuarios se creaban como administradores. Asimismo, un usuario estándar de un equipo con Windows XP debe usar la función Ejecutar como o iniciar sesión con una cuenta de administrador para poder instalar aplicaciones y realizar otras tareas administrativas.

Así, hasta el desarrollo de Windows Vista no ha existido un método integrado en el sistema operativo Windows para que un usuario se "elevara" de una cuenta de usuario estándar a una cuenta de administrador sin tener que cerrar sesión, cambiar de usuario o usar Ejecutar como. Es por este motivo que muchos usuarios siguen explorando el Web y leyendo el correo electrónico como administradores.

Reducción del costo total de propiedad

Debido a que UAC permite que los usuarios se ejecuten fácilmente como usuarios estándar, los departamentos de TI confían más en la integridad de sus entornos, es decir, de sus archivos de sistema, registros de auditoría y configuraciones de todo el sistema. Asimismo, los administradores ya no necesitan dedicar horas y horas a tareas de autorización en equipos individuales. De este modo, el personal de TI puede redirigir el tiempo que ahorra al mantenimiento general del sistema y reducir así el TCO de la plataforma de software de la organización. Además, los administradores de TI controlan mejor las licencias de software, ya que pueden garantizar que sólo se instalan las aplicaciones autorizadas. Por tanto, ya no tendrán que preocuparse por software malintencionado o sin licencia que ponga en peligro la red, cause pérdida de datos y periodos de inactividad del sistema o cree responsabilidades de licencia.

¿Cómo funciona UAC?

En respuesta a los retos que se encontraban los clientes al intentar ejecutarse como usuario estándar, Microsoft empezó a investigar el modo de facilitar la ejecución como usuario estándar para todos.

El equipo de desarrollo de Microsoft Windows Vista realizó un enfoque dual:

  1. Trabajar con los programadores de software de Microsoft y de software de terceros para eliminar las solicitudes innecesarias por un exceso de accesos de nivel administrativo a recursos de Windows.

  2. Cambiar la base de la interacción con el sistema operativo de aplicaciones ejecutadas por usuarios estándar mediante la habilitación de directivas de seguridad de control de acceso.

UAC es una característica significativa de Windows Vista y un componente fundamental de la visión general de seguridad que tiene Microsoft.

Definición de modos de usuario

En Windows Vista hay dos tipos de cuentas de usuario: cuentas de usuario estándar y cuentas de administrador. Los usuarios estándar equivalen a la cuenta de usuario estándar de versiones anteriores de Windows. Tienen derechos de usuario y privilegios administrativos limitados: no pueden instalar o desinstalar aplicaciones en %systemroot%, ni cambiar configuraciones del sistema o realizar otras tareas administrativas. Sin embargo, los usuarios estándar sí pueden realizar estas tareas si proporcionan credenciales administrativas válidas cuando se les solicitan. Con UAC habilitado, los miembros del grupo Administradores local se ejecutan con el mismo token de acceso que los usuarios estándar. Un proceso sólo puede usar el token de acceso total del administrador cuando un miembro del grupo de administradores locales así lo aprueba. Este procedimiento es la base del principio del Modo de aprobación de administrador.

En la tabla siguiente se detallan algunas de las tareas que un usuario estándar puede realizar y las tareas que requieren elevación a una cuenta de administrador.

 

Usuarios estándar Administradores

Establecer una conexión de red de área local (LAN)

Instalar y desinstalar aplicaciones

Establecer y configurar una conexión inalámbrica

Instalar un controlador para un dispositivo (p. ej., un controlador de cámara digital)

Modificar la Configuración de pantalla

Instalar actualizaciones de Windows

Los usuarios no pueden desfragmentar el disco duro, pero un servicio lo hace en su nombre

Configurar controles parentales

Reproducir CD/DVD (configurable con la Directiva de grupo)

Instalar un control ActiveX

Grabar CD/DVD (configurable con la Directiva de grupo)

Abrir el Panel de control de Firewall de Windows

Cambiar el fondo de escritorio del usuario actual

Cambiar el tipo de cuenta de un usuario

Abrir Fecha y hora en el Panel de control y cambiar la zona horaria

Modificar la configuración de UAC en el complemento Editor de directivas de seguridad (secpol.msc)

Usar el Escritorio remoto para conectarse a otro equipo

Configurar el acceso al Escritorio remoto

Cambiar la contraseña de la cuenta de usuario propia

Agregar o quitar una cuenta de usuario

Configurar las opciones de energía de la batería

Copiar o mover archivos al directorio Archivos de programa o Windows

Configurar opciones de accesibilidad

Programar tareas automatizadas

Restaurar copias de seguridad de archivos del usuario

Restaurar copias de seguridad de archivos del sistema

Configurar la sincronización del equipo con un dispositivo móvil (smart phone, portátil o PDA)

Configurar actualizaciones automáticas

Conectar y configurar un dispositivo Bluetooth

Buscar el directorio de otro usuario

Migración desde el grupo Usuarios avanzados

En Windows XP, el grupo Usuarios avanzados se diseñó de manera que sus miembros pudieran realizar tareas de sistema, como por ejemplo, instalar aplicaciones, sin conceder permisos de control total de administrador. Los usuarios avanzados también tenían acceso a áreas del sistema de archivos y del Registro a las que normalmente sólo tienen acceso los administradores. Asimismo, estos usuarios permitían una cierta compatibilidad de nivel de aplicación; sin embargo, esto no proporcionaba ninguna solución para un problema fundamental: las aplicaciones que requerían privilegios y derechos de usuario innecesarios. UAC no se sirve del grupo Usuarios avanzados y en Windows Vista este grupo ya no tiene los permisos que se le concedían en Windows XP. UAC permite que los usuarios estándar realicen todas las tareas de configuración habituales; sin embargo, el grupo Usuarios avanzados aún está disponible por compatibilidad con versiones anteriores de Windows. Para usar el grupo Usuarios avanzados en Windows Vista, se debe aplicar una nueva plantilla de seguridad para cambiar los permisos predeterminados en las carpetas del sistema y el Registro, con el fin de conceder al grupo Usuarios avanzados permisos equivalentes a los que tenía en Windows XP.

Modo de aprobación de administrador

Habilitar el Modo de aprobación de administrador en una cuenta de administrador mejora la seguridad cuando el usuario realiza tareas administrativas, ya que se establece una distinción entre una tarea de usuario estándar y una tarea administrativa. Por ejemplo, modificar el Registro del sistema debe ser siempre una tarea administrativa, mientras que explorar Internet debe ser una tarea de usuario estándar. El modelo del token de acceso de UAC acentúa aún más esta distinción. La aplicación o componente que solicita permiso para usar el token de acceso administrativo total pide su consentimiento a una cuenta de administrador en Modo de aprobación de administrador

Arquitectura de UAC

Externamente, el proceso de inicio de sesión de Windows Vista parece ser igual al de Windows XP. Sin embargo, la mecánica interna ha cambiado notablemente. En la siguiente ilustración se detallan las diferencias entre el proceso de inicio de sesión de un administrador y el de un usuario estándar.

UAC logon process

Cuando un administrador inicia sesión, se conceden al usuario dos tokens de acceso: un token de acceso de administrador total y un token de acceso de usuario estándar "filtrado". De manera predeterminada, cuando un miembro del grupo Administradores local inicia sesión, se deshabilitan los privilegios administrativos de Windows y se quitan los derechos de usuario elevados; de este modo el usuario dispone del token de acceso de usuario estándar. A continuación, este token de acceso se usa para iniciar el escritorio (Explorer.exe). Explorer.exe es el proceso primario del cual el resto de procesos iniciados por usuario heredan su token de acceso. Debido a ello, todas las aplicaciones se ejecutan como un usuario estándar de manera predeterminada, a menos que el usuario proporcione consentimiento o credenciales para que la aplicación pueda usar el token de acceso administrativo total. Por otra parte, cuando un usuario estándar inicia sesión, sólo se crea un token de acceso de usuario estándar. A continuación, este token de acceso estándar se usa para iniciar el escritorio.

Ahora, un usuario miembro del grupo de administradores puede iniciar sesión, explorar el Web y leer el correo electrónico usando un token de acceso de usuario estándar. Si el administrador necesita realizar una tarea que requiere el token de acceso de administrador, automáticamente Windows Vista solicita la aprobación al usuario. Esta solicitud se denomina petición de elevación y su comportamiento puede configurarse en el complemento del Editor de directivas de seguridad (secpol.msc) y en la Directiva de grupo. Para obtener información acerca de cómo ajustar la configuración de la Directiva de grupo de UAC, consulte la sección "Configuración de UAC" más adelante en este documento.

noteNota
El término "elevar" se usa de forma consistente en este documento para referirse al proceso en el que Windows Vista solicita al usuario consentimiento o credenciales para poder usar un token de acceso de administrador total.

Todas las aplicaciones que necesiten el token de acceso del administrador deben solicitar al administrador su consentimiento. La única excepción es la relación existente entre procesos primarios y secundarios, ya que los procesos secundarios heredan el token de acceso de usuario del proceso primario. Sin embargo, ambos tipos de procesos (primarios y secundarios) deben tener el mismo nivel de integridad.

Windows Vista marca los procesos con niveles de integridad para protegerlos. Los niveles de integridad son medidas de confianza. Se consideran aplicaciones de "alta" integridad las que realizan tareas que modifican datos del sistema, como por ejemplo, una aplicación de partición del disco, mientras que las aplicaciones de "baja" integridad son aquéllas que realizan tareas que podrían comprometer el sistema operativo, como por ejemplo, un explorador web. Windows Vista no permite que las aplicaciones con niveles bajos de integridad modifiquen datos de aplicaciones con niveles de integridad más elevados.

Cuando un usuario estándar intenta ejecutar una aplicación que requiere un token de acceso de administrador, UAC le solicita credenciales de administrador válidas. En la sección "Experiencia de usuario UAC" de este documento, se detalla este proceso.

En el siguiente diagrama se detalla la arquitectura de UAC.

UAC architecture

Servicio de información de aplicaciones

El Servicio de información de aplicaciones (AIS) es un servicio de SISTEMA que facilita el inicio de aplicaciones que requieren uno o más privilegios elevados o derechos de usuario para ejecutar, por ejemplo, tareas administrativas, así como aplicaciones que requieren mayores niveles de integridad. Para ello, AIS crea un nuevo proceso que inicia estas aplicaciones con el token de acceso total de un administrador cuando se requiere elevación y (en función de la Directiva de grupo) el usuario ha dado su aprobación. Este servicio es una novedad de Windows Vista.

Virtualización

Dado que el entorno empresarial siempre ha sido un escenario en el que los administradores de sistema han intentado bloquear sistemas, muchas aplicaciones de línea de negocio (LOB) no requieren un token de acceso de administrador total. Por ello, los administradores de TI no necesitarán reemplazar la mayoría de aplicaciones anteriores a Windows Vista al ejecutar Windows Vista con UAC habilitado.

Windows Vista incorpora la tecnología de virtualización de archivos y del Registro para aplicaciones que no son compatibles con UAC y que históricamente han necesitado un token de acceso de administrador para ejecutarse correctamente. La virtualización garantiza que incluso aplicaciones que no son compatibles con UAC sean compatibles con Windows Vista. Cuando una aplicación no compatible con UAC intenta escribir en un directorio protegido, como por ejemplo, Archivos de programa, UAC proporciona a la aplicación su propia vista virtualizada del recurso que intenta cambiar mediante una estrategia de copia por escritura. La copia virtualizada se mantiene en el perfil del usuario. A consecuencia de ello, se crea una copia independiente del archivo virtualizado para cada usuario que ejecuta la aplicación no compatible.

La tecnología de virtualización garantiza que las aplicaciones no compatibles no produzcan errores de ejecución sin notificación o errores de manera no determinista. UAC también proporciona virtualización de archivos y del Registro e inicio de sesión de forma predeterminada para aplicaciones anteriores a Windows Vista que escriben en áreas protegidas.

noteNota
La virtualización no se aplica a aplicaciones elevadas y que se ejecutan con un token de acceso administrativo total.

La mayoría de tareas de aplicación funcionan correctamente con las características de virtualización. Aunque la virtualización permite ejecutar la gran mayoría de aplicaciones anteriores a Windows Vista, ésta debe considerarse una corrección a corto plazo y no una solución a largo plazo. Los programadores deberían modificar sus aplicaciones para que fueran compatibles con el programa Windows Vista Logo lo antes posible, en lugar de confiar en la virtualización de archivos, carpetas y del Registro.

Dispone de una guía acerca de cómo ISV puede hacer que sus aplicaciones sean compatibles con UAC en el documento Requisitos del desarrollo de Windows Vista para compatibilidad con el Control de cuentas de usuario (la página puede estar en inglés).

noteNota
Las aplicaciones nativas Windows de 64 bits no admiten la virtualización. Estas aplicaciones deben reconocer UAC y escribir datos en las ubicaciones correctas.

noteNota
La virtualización se deshabilita para una aplicación cuando un programa incluye un manifiesto de aplicación con un atributo de nivel de ejecución solicitado.

Niveles de ejecución solicitados

En Windows Vista, el manifiesto de aplicación (un archivo XML que describe e identifica los ensamblados compartidos y privados en paralelo a los que una aplicación debe enlazarse en el momento de la ejecución) incluye entradas para fines de compatibilidad de aplicaciones con UAC. Las aplicaciones administrativas que incluyen una entrada en el manifiesto de aplicación solicitarán al usuario permiso para tener acceso a su token de acceso. Sin embargo, aunque les falte una entrada en el manifiesto, la mayoría de aplicaciones administrativas anteriores a Windows Vista se puede ejecutar sin problemas y sin necesidad de realizar modificaciones mediante correcciones de compatibilidad de aplicaciones. Las correcciones de compatibilidad de aplicaciones son entradas de base de datos que habilitan aplicaciones no compatibles con UAC para que funcionen correctamente con Windows Vista.

El manifiesto de aplicación de todas las aplicaciones compatibles con UAC debe tener agregado un nivel de ejecución solicitado. Si la aplicación requiere acceso administrativo al sistema, marcarla con un nivel de ejecución solicitado "requiere administrador" garantizará que el sistema identifique el programa como una aplicación administrativa y, por lo tanto, realice los pasos de elevación necesarios. Los niveles de ejecución solicitados permiten que el sistema conozca los privilegios específicos necesarios para una aplicación. Si una aplicación existente requiere acceso administrativo para ejecutarse correctamente en Windows Vista, consulte la sección "Configuración de aplicaciones anteriores a Windows Vista para compatibilidad con UAC" de este documento.

Tecnología de detección de instaladores

Los programas de instalación son aplicaciones diseñadas para implementar software y la mayoría escriben en directorios del sistema y claves del Registro. Normalmente, sólo un usuario administrador puede escribir en estas ubicaciones protegidas del sistema, lo que significa que los usuarios estándar no disponen de acceso suficiente para instalar programas. Windows Vista detecta de forma heurística programas de instalación y solicita credenciales al administrador, o bien la aprobación del usuario administrador, para ejecutar con privilegios de acceso. Del mismo modo, Windows Vista también detecta programas de actualización y desinstalación. Tenga en cuenta que uno de los objetivos del diseño de UAC es evitar que las instalaciones se realicen sin el conocimiento y el consentimiento del usuario, ya que estos procesos escriben en áreas protegidas del sistema de archivos y del Registro.

La detección de instaladores sólo se aplica a:

1. Ejecutables de 32 bits

2. Aplicaciones sin un nivel de ejecución solicitado

3. Procesos interactivos que se ejecutan como un usuario estándar con LUA habilitado

Antes de crear un proceso de 32 bits, se comprueban los siguientes atributos para determinar si se trata de un instalador:

  • El nombre del archivo incluye palabras clave como "install", "setup", "update", etc.

  • Palabras clave en los siguientes campos de recursos de la versión: fabricante, nombre de la compañía, nombre del producto, descripción del archivo, nombre original del archivo, nombre interno y nombre de exportación.

  • Palabras clave en el manifiesto en paralelo incrustado en el ejecutable.

  • Palabras clave en entradas StringTable específicas vinculadas en el ejecutable.

  • Atributos clave en los datos de RC vinculados en el ejecutable.

  • Secuencias de bytes dirigidas dentro del ejecutable.

noteNota
Las palabras clave y las secuencias de bytes derivan de características habituales observadas en varias tecnologías de instalación.

Asegúrese de que revisa exhaustivamente la totalidad de este documento, incluyendo la sección "Paso 5: Crear e incrustar un manifiesto de aplicación en una aplicación".

noteNota
El valor Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación debe habilitarse para la detección de instaladores con el fin de detectar programas de instalación. Este valor está habilitado de manera predeterminada y se puede configurar con el complemento Administrador de directivas de seguridad (secpol.msc) o con la Directiva de grupo (gpedit.msc).

Encontrará información general y una introducción a Microsoft Windows Installer en MSDN (http://go.microsoft.com/fwlink/?LinkId=30197) (la página puede estar en inglés).

Cambios principales en la funcionalidad

Las siguientes actualizaciones son un reflejo de los principales cambios acumulativos en la funcionalidad de Windows Vista

UAC está habilitado de manera predeterminada

Por lo tanto, pueden surgir algunos problemas de compatibilidad con distintas aplicaciones que aún no se hayan actualizado para el componente UAC de Windows Vista. Si una aplicación requiere un token de acceso de administrador (indicado por el error "acceso denegado" que aparece al intentar ejecutarla), puede ejecutarla como administrador usando la opción "Ejecutar como administrador" del menú contextual (clic con el botón secundario). En la sección "Ejecución de programas como un administrador" de este documento se explica cómo hacerlo.

Todas las cuentas de usuario subsiguientes se crean como usuarios estándar

Tanto las cuentas de usuario estándar como las cuentas de usuario administrador se pueden beneficiar de la seguridad mejorada de UAC. De manera predeterminada, la primera cuenta de usuario creada en instalaciones nuevas es una cuenta de administrador local en Modo de aprobación de administrador (habilitado para UAC). Todas las cuentas subsiguientes se crean como usuarios estándar.

La cuenta de administrador integrada está deshabilitada de manera predeterminada en instalaciones nuevas

En Windows Vista, la cuenta de administrador integrada está deshabilitada de manera predeterminada. Si durante una actualización desde Windows XP, Windows Vista determina que la cuenta de administrador integrada es la única cuenta de administrador local activa, la mantiene habilitada y la coloca en Modo de aprobación de administrador. De manera predeterminada, la cuenta de administrador integrada no puede iniciar sesión en el equipo de manera segura. Para obtener más información, consulte las siguientes secciones.

Cuenta no unida a dominio

Si existe al menos una cuenta de administrador local habilitada, el modo seguro no permitirá iniciar sesión con la cuenta de administrador integrada deshabilitada. En su lugar, se puede usar cualquier cuenta de administrador local. Si la última cuenta de administrador local se ha deshabilitado o suprimido, o si se ha disminuido su nivel, el modo seguro permitirá que la cuenta de administrador integrada inicie sesión para la recuperación ante desastres.

Cuenta unida a dominio

La cuenta de administrador integrada deshabilitada no puede iniciar sesión en ningún caso en modo seguro. Una cuenta de usuario miembro del grupo Admins. del dominio puede iniciar sesión en el equipo para crear un administrador local en caso de que no exista ninguno.

ImportantImportante
En caso de no haber iniciado sesión nunca con la cuenta administrativa de dominio, se debe iniciar el equipo en Modo seguro con funciones de red, ya que las credenciales no estarán almacenadas en caché.

noteNota
Una vez separado el equipo, se restablecerá el comportamiento de los equipos no unidos al dominio previamente descrito.

Las peticiones de elevación se muestran en el escritorio seguro de manera predeterminada

En Windows Vista, las peticiones de consentimiento y credenciales se muestran en el escritorio seguro de manera predeterminada.

Nueva configuración de seguridad de UAC y cambios en el nombre de la configuración de seguridad

En la sección "Configuración de UAC" de este documento se detallan las directivas de seguridad de UAC.

Analizador de usuario estándar

Los administradores de TI y programadores de aplicaciones pueden usar el Analizador de usuario estándar para probar la compatibilidad de las aplicaciones con UAC. Esta herramienta genera un registro de las operaciones elevadas de una aplicación que normalmente produciría un error al ejecutarse como un usuario estándar. Para ello, proporciona una guía básica sobre cómo ajustar estas tareas y conseguir la compatibilidad con UAC. Además, el parámetro Auditar el seguimiento de procesos de Windows Vista se puede usar para determinar qué aplicaciones no se están ejecutando como usuario estándar en un entorno empresarial. Para garantizar que UAC no reduce la experiencia del usuario de Windows, Microsoft recomienda probar todos los componentes y aplicaciones con estas herramientas. La sección "Configuración de aplicaciones anteriores a Windows Vista para compatibilidad con UAC" de este documento proporciona más información acerca de estas herramientas, incluyendo información y procedimientos de configuración.

Experiencia de usuario UAC

La experiencia de usuario es distinta para usuarios estándar y administradores en Modo de aprobación de administrador cuando UAC está habilitado. En las siguientes secciones se detallan esas diferencias y se explica el diseño de la interfaz de usuario UAC.

El método recomendado y más seguro de ejecutar Windows Vista para hacer que la cuenta de usuario primaria sea una cuenta estándar. La ejecución como usuario estándar también es un requisito para maximizar la seguridad de un entorno administrado. Con el componente de elevación de UAC integrado, los usuarios estándar pueden realizar fácilmente tareas administrativas introduciendo credenciales válidas para una cuenta de administrador local. El componente de elevación de UAC integrado predeterminado para usuarios estándar se denomina petición de credenciales.

La alternativa a la ejecución como usuario estándar es la ejecución como administrador en Modo de aprobación de administrador. Con el componente de elevación de UAC integrado, los miembros del grupo Administradores local pueden realizar fácilmente una tarea administrativa proporcionando su aprobación. El componente de elevación de UAC integrado predeterminado para una cuenta de administrador en Modo de aprobación de administrador se denomina petición de consentimiento. El comportamiento de la petición de elevación de UAC puede configurarse con el complemento Editor de directivas de seguridad (secpol.msc) y con la Directiva de grupo. En la sección "Administración de UAC con el Editor de directivas de seguridad y la Directiva de grupo locales" de este documento se detalla la configuración de seguridad de UAC y sus valores.

Las peticiones de credenciales y consentimiento

Con UAC habilitado, Windows Vista solicita consentimiento o credenciales para una cuenta de administrador válida antes de iniciar un programa o tarea que requiere un token de acceso de administrador total. Esta petición garantiza que no se puedan instalar aplicaciones malintencionadas sin notificación.

La petición de consentimiento

La petición de consentimiento aparece cuando un usuario intenta realizar una tarea que requiere un token de acceso administrativo. La siguiente captura de pantalla muestra la petición de consentimiento del Control de cuentas de usuario.

Consent prompt

En el siguiente ejemplo se muestra cómo se produce la petición de consentimiento antes de realizar una operación administrativa.

Para ver la petición de consentimiento
  1. Inicie sesión en un equipo con Windows Vista con una cuenta de administrador en Modo de aprobación de administrador.

  2. Haga clic en el botón Inicio y en el botón secundario sobre Mi PC; a continuación, seleccione Administrar del menú.

  3. En la petición de consentimiento del Control de cuentas de usuario, haga clic en Continuar.

La petición de credenciales

La petición de credenciales aparece cuando un usuario estándar intenta realizar una tarea que requiere el token de acceso administrativo de un usuario. El comportamiento predeterminado de la petición de este usuario estándar puede configurarse con el complemento Editor de directivas de seguridad (secpol.msc) y con la Directiva de grupo. También se puede solicitar a los administradores que proporcionen sus credenciales estableciendo el valor de Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador en Pedir credenciales.

La siguiente captura de pantalla muestra la petición de credenciales del Control de cuentas de usuario.

Credential prompt

En el siguiente ejemplo se muestra cómo se solicitan las credenciales a un usuario estándar al intentar realizar una tarea administrativa.

Para ver la petición de credenciales
  1. Inicie sesión en un equipo con Windows Vista con una cuenta de usuario estándar.

  2. Haga clic en el botón Inicio y en el botón secundario sobre Mi PC; a continuación, seleccione Administrar del menú.

  3. En la petición de credenciales del Control de cuentas de usuario, haga clic en el nombre de usuario del administrador que corresponda, escriba la contraseña de esa cuenta de usuario y, a continuación, haga clic en Enviar.

Peticiones de elevación que reconocen aplicaciones

Las peticiones de elevación de UAC tienen una codificación de colores basada en aplicaciones, por lo que permiten identificar inmediatamente las aplicaciones que suponen riesgos potenciales de seguridad. Cuando una aplicación se intenta ejecutar con el token de acceso total de un administrador, Windows Vista analiza el ejecutable para determinar su editor. Previamente, las aplicaciones se separan en tres categorías basadas en el editor del ejecutable: Windows Vista, editor comprobado (firmado) y editor no comprobado (no firmado). En el siguiente diagrama se muestra cómo Windows Vista determina el color de la petición de elevación que se mostrará al usuario. En la siguiente ilustración se detalla la lógica de petición de elevación para cada nivel de confianza.

Application aware elevation prompts

Detalles de la codificación de color de las peticiones de elevación:

  • Fondo rojo e icono de escudo rojo: la aplicación proviene de un editor bloqueado o está bloqueada por la Directiva de grupo.

  • Fondo azul/verde: se trata de una aplicación administrativa de Windows Vista, como un panel de control.

  • Fondo gris e icono de escudo dorado: la aplicación está firmada con Authenticode y es de confianza para el equipo local.

  • Fondo amarillo e icono de escudo rojo: la aplicación no está firmada, o bien está firmada pero no es de confianza para el equipo local.

Las codificación de color de las peticiones de elevación coincide con la de los cuadros de diálogo de Microsoft Internet Explorer.

Icono de escudo

Algunos paneles de control, como por ejemplo, el de Propiedades de fecha y hora, contienen una mezcla de operaciones de administrador y usuario estándar. Los usuarios estándar pueden ver el reloj y cambiar la zona horaria, pero es necesario un token de acceso de administrador total para cambiar la hora del sistema local. La siguiente captura de pantalla muestra el panel de control Propiedades de fecha y hora.

Shield icon

Cuando un usuario necesita modificar la hora, hace clic en el botón del icono de escudo. El icono de escudo indica al sistema que inicie el proceso con un token de acceso de administrador total, lo que requiere una petición de elevación de Control de cuentas de usuario.

Protección de la petición de elevación

La protección del proceso de elevación aumenta al dirigir la petición al escritorio seguro. En Windows Vista, las peticiones de consentimiento y credenciales se muestran en el escritorio seguro de manera predeterminada. Sólo los procesos de Windows pueden obtener acceso al escritorio seguro. Además de las recomendaciones para usuarios estándar y administradores, Microsoft recomienda que el valor Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación se mantenga habilitado para niveles superiores de seguridad.

Cuando un ejecutable solicita elevación, el escritorio interactivo (también llamado escritorio de usuario) cambia al escritorio seguro. El escritorio seguro representa un mapa de bits combinado con alfa del escritorio de usuario y muestra una petición de elevación resaltada y la ventana de la aplicación de llamada correspondiente. Cuando el usuario hace clic en Continuar o Cancelar, el escritorio vuelve a cambiar al escritorio de usuario.

Tenga en cuenta que el malware puede pintar sobre el escritorio interactivo y presentar una imitación del escritorio seguro, pero si este valor está establecido para que solicite aprobación, el malware no ganará elevación aunque engañe al usuario para que haga clic en Continuar en la imitación. Si el valor no está establecido para que pida las credenciales, puede que el malware que imite la petición de credenciales recopile las credenciales del usuario. Observe que esto tampoco proporciona al malware privilegios elevados, y que el sistema tiene otras protecciones que evitan que el malware dirija de manera automatizada la interfaz de usuario incluso con una contraseña recopilada.

ImportantImportante
El malware puede presentar una imitación del escritorio seguro, pero esto sólo ocurrirá si el usuario instala previamente dicho malware en el equipo. Dado que los procesos que requieren un token de acceso de administrador no pueden realizar instalaciones sin notificación cuando UAC está habilitado, el usuario debe proporcionar su consentimiento expreso con un clic en Continuar o proporcionando credenciales de administrador. El comportamiento específico de la petición de elevación de UAC depende de la Directiva de grupo.

En Windows Vista, este valor está habilitado de manera predeterminada y se puede configurar con el complemento Administrador de directivas de seguridad o de manera centralizada con la Directiva de grupo. En la sección "Administración de UAC con el Editor de directivas de seguridad y la Directiva de grupo locales" de este documento se detallan las configuraciones disponibles.

Mantenimiento de aplicaciones anteriores a Windows Vista

Sin embargo, no será necesario volver a diseñar algunas aplicaciones por varios motivos. UAC dispone de protecciones integradas para estas aplicaciones anteriores a Windows Vista, como niveles de ejecución solicitados y virtualización de archivos, carpetas y el Registro.

Desarrollo de aplicaciones compatibles con UAC para Windows Vista

Aunque la comunidad de desarrollo de software ha aceptado ampliamente el concepto de ejecución de aplicaciones con los privilegios y derechos de usuario mínimos requeridos, los fabricantes de aplicaciones lo han pasado por alto en favor de la simplificación del uso software o la mejora de la interfaz de usuario.

Muchos programadores necesitarán modificar sus aplicaciones para que funcionen correctamente con UAC. Las aplicaciones que requieren derechos administrativos sin ser realmente necesarios se deben volver a diseñar para que sean compatibles con UAC. Este nuevo diseño permitirá que los usuarios estándar ejecuten en Windows Vista muchas más aplicaciones de las que pueden ejecutar hoy en día en Windows.

Con el fin de facilitar este proceso de nuevo diseño, Microsoft proporciona la asistencia y las herramientas necesarias a los programadores de aplicaciones. Para obtener más información, consulte la página Compatibilidad de aplicaciones en MSDN (http://go.microsoft.com/fwlink/?LinkId=49973) (la página puede estar en inglés).

Incluso con estos cambios, algunas tareas aún necesitarán un token de acceso de administrador total. Algunos ejemplos son la administración de cuentas de usuario, la instalación de controladores de dispositivos y la ejecución de software de administración empresarial. Con Windows Vista, los programadores deberán determinar cuál de los dos niveles de acceso (estándar o administrativo) requiere cada aplicación para tareas específicas. Si una aplicación no necesita un token de acceso de administrador total para una tarea, sería conveniente definir que sólo requiere comprobaciones de acceso de usuario estándar. Por ejemplo, una aplicación compatible con UAC debe escribir archivos de datos en el perfil de usuario y no en el directorio Archivos de programa.

Programa Windows Vista Logo

El programa Windows Vista Logo será uno de los mayores beneficios derivados de crear aplicaciones compatibles con UAC. Este programa aplica estrictas normas de certificación para garantizar a los clientes que los productos certificados se integren correctamente con Windows Vista.

La certificación Windows Vista Logo supone un punto de diferenciación frente a la competencia y aporta credibilidad a los fabricantes independientes de software (ISV). Al comprar aplicaciones certificadas, los clientes saben que son completamente compatibles con Windows Vista y, por lo tanto, que el ISV tiene en cuenta la integridad y la seguridad de los datos. Actualmente, Microsoft está trabajando en herramientas beta para controlar el flujo de generación y firma de manifiestos por parte de ISV. El certificado del logotipo irá incorporado en la caja y se mostrará de manera prominente. Encontrará más información acerca del proceso de certificación Windows Vista Logo en la página principal de Microsoft Windows Logo.

Implementación de aplicaciones para usuarios estándar

Uno de los mayores desafíos para las empresas es controlar la instalación de aplicaciones. La implementación de herramientas como Microsoft Systems Management Server (SMS) ayuda a los departamentos de TI a centralizar la implementación de aplicaciones y reducir el costo TCO global de la empresa. Con la introducción del modelo de usuario UAC en Windows Vista, el impacto positivo de SMS en el TCO y la facilidad de administración es aún mayor.

Maximización de la seguridad en la implementación de aplicaciones

Los departamentos de TI pueden usar los tres niveles de seguridad siguientes para establecer un modelo del escenario de implementación de aplicaciones:

  • Alta: todas las aplicaciones se empaquetan e implementan con SMS, GPSI u otra tecnología de implementación de aplicaciones similar.

  • Media: el departamento de TI instala las aplicaciones tratando cada caso de manera independiente.

  • Baja: los usuarios estándar pueden instalar aplicaciones cuando lo deseen.

A continuación se describen escenarios de los tres niveles de seguridad anteriores.

Alta: todas las aplicaciones se empaquetan e implementan con SMS, GPSI u otra tecnología de implementación de aplicaciones similar.

En este escenario, todas las aplicaciones, sistemas operativos y revisiones se instalan mediante una tecnología de implementación de aplicaciones. Los beneficios de usar tecnologías como SMS y GPSI en este ejemplo son:

  • Facilidad de administración: la administración centralizada facilita al departamento de TI el mantenimiento de una lista de aplicaciones instaladas y evita que se instalen aplicaciones no deseadas.

  • Menos instalaciones de malware: dado que el malware a menudo viene "incluido" en software legítimo, evitar que los usuarios instalen software contribuirá a evitar muchas instalaciones de malware.

  • TCO global reducido: menos instalaciones de malware y limitación de malware en las ubicaciones de usuario.

Los requisitos para este nivel de seguridad son:
  • Microsoft SMS 4.0 está instalado en un servidor dedicado (si se usa SMS como tecnología de implementación de aplicaciones. En caso contrario, cambiar este requisito por la tecnología elegida).

  • Todos los usuarios disponen de cuentas de usuario estándar e inician sesión en sus equipos con dichas cuentas.

  • Los administradores de dominio tienen dos cuentas: una cuenta de usuario estándar y una cuenta de administrador de dominio con UAC habilitado.

  • El valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador está habilitado y administrado centralmente con la Directiva de grupo.

  • El valor Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación está habilitado y administrado centralmente con la Directiva de grupo.

  • El valor Control de cuentas de usuario: comportamiento del indicador de elevación para los usuarios estándar está configurado como Pedir credenciales y administrado centralmente con la Directiva de grupo.

Beneficios: este modo de implementación de UAC conlleva varios beneficios. La administración centralizada de la configuración de seguridad de UAC con la Directiva de grupo permite al departamento de TI garantizar que la directiva del equipo local no se pueda cambiar para sortear la directiva del departamento. Dado que los usuarios inician sesión en sus equipos como usuarios estándar y no conocen el nombre de usuario o contraseña de una cuenta de administrador local, no pueden modificar la configuración del sistema, instalar software y malware ni manipular intencionada o inintencionadamente el equipo. Aunque todos los usuarios sean usuarios estándar, podrán instalar y actualizar aplicaciones con SMS. Los beneficios específicos de la implementación de software con SMS son los tratados previamente en esta sección.

Media: el departamento de TI instala las aplicaciones tratando cada caso de manera independiente

El nivel medio de seguridad es el más difícil de administrar. En este escenario, todos los usuarios deben enviar una solicitud al departamento de soporte técnico cada vez que deseen instalar una aplicación. A continuación, el departamento de soporte técnico debe usar el Escritorio remoto para instalar la aplicación o bien introducir físicamente las credenciales en el equipo del usuario. Aunque en teoría el departamento de TI debería saber las aplicaciones que están instaladas en cada equipo, el seguimiento de las instalaciones resulta complicado y difícil de administrar. Además, si las credenciales de una cuenta de administrador local se desvelan a un usuario estándar aunque sea una sola vez, se debe asumir que la directiva de seguridad se ve comprometida.

Baja: los usuarios pueden instalar las aplicaciones que deseen

En este escenario, hay tres configuraciones posibles. Las siguientes configuraciones se presentan en niveles de seguridad decrecientes, siendo la primera la más segura:

  1. Los usuarios son usuarios estándar pero saben el nombre de usuario y la contraseña de un administrador local.

    1. El valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador está habilitado.

    2. Los usuarios inician sesión con sus cuentas de usuario estándar y proporcionan las credenciales de una cuenta de administrador local al recibir la petición de credenciales del Control de cuentas de usuario cuando desean realizar tareas administrativas.

    3. Impacto: no existe ningún modo eficaz para que el departamento de TI pueda realizar el seguimiento de la instalación de aplicaciones o del índice de salud de un equipo. Además, los usuarios aún pueden instalar malware por accidente si proporcionan credenciales a una petición de credenciales del Control de cuentas de usuario para un ejecutable que no puedan identificar.

  2. Los usuarios son administradores locales.

    1. El valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador está habilitado.

    2. Los usuarios inician sesión con sus cuentas de administrador y proporcionan consentimiento a la petición de consentimiento del Control de cuentas de usuario cuando desean realizar tareas administrativas.

    3. Impacto: aunque UAC esté habilitado, dado que todos los usuarios inician sesión como administradores, cualquier usuario puede instalar software, manipular la configuración del sistema y sortear la directiva de seguridad del equipo fácilmente. Además, no existe ningún modo eficaz para que el departamento de TI pueda realizar el seguimiento de la instalación de aplicaciones o del índice de salud de un equipo.

  3. UAC está deshabilitado y los usuarios son administradores locales.

    1. El valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador está deshabilitado.

    2. Los usuarios inician sesión con sus cuentas de administrador y realizan tareas administrativas.

    3. Impacto: si UAC está deshabilitado, los usuarios no reciben ninguna notificación cuando las aplicaciones administrativas intentan usar su token de acceso administrativo. Por ello, no existe ningún modo eficaz para que el departamento de TI pueda realizar el seguimiento de la instalación de aplicaciones o del índice de salud de un equipo. Además, el malware puede instalarse sin notificación, ya que un ejecutable administrativo no solicitará aprobación ni credenciales a los usuarios antes de ejecutarse.

Prueba de aplicaciones para el usuario estándar

Con el fin de conseguir mayor compatibilidad con el usuario estándar en un mayor número de aplicaciones, los programadores deben asegurarse de que prueban las aplicaciones como usuario estándar. Dispone de una guía acerca de cómo probar aplicaciones para su compatibilidad con Windows Vista en el documento Requisitos del desarrollo de Windows Vista para compatibilidad con el Control de cuentas de usuario (la página puede estar en inglés).

Reempaquetado de aplicaciones

Windows Installer 4.0 se diseñó para reconocer y ser completamente compatible con UAC. Los administradores de sistema que requieran personalizar y reempaquetar las aplicaciones para sus entornos de TI pueden usar FLEXnet AdminStudio 7 SMS Edition para reempaquetar el software con Windows Installer y realizar la implementación mediante SMS. FLEXnet AdminStudio 7 SMS Edition proporciona a las empresas la capacidad de preparar, publicar y distribuir paquetes de software con SMS 2003 sin ni siquiera tocar la consola de servidor SMS, de manera que mejora significativamente la eficacia de los esfuerzos de administración de aplicaciones.

FLEXnet AdminStudio 7 SMS Edition proporciona un componente de reempaquetado basado en un asistente que facilita la conversión de cualquier programa de instalación, incluso de los InstallScript de Windows Installer difíciles de empaquetar, a paquetes 100% de Windows Installer. El componente incluye: InstallMonitor para empaquetar sin instantáneas, SmartScan para extraer la máxima información de los programas de instalación InstallScript durante la conversión a Windows Installer, Setup Intent para garantizar que no falten archivos importantes en los programas Windows Installer finales y el Asistente para el proceso de empaquetado para indicar al usuario los pasos correctos del proceso.

FLEXnet AdminStudio 7 SMS Edition es una descarga gratuita del sitio SMS (http://go.microsoft.com/fwlink/?LinkId=71355) (la página puede estar en inglés).

Los siguientes recursos proporcionan información adicional acerca del reempaquetado de software:

Escenario de implementación de UAC

En esta sección se explora un escenario de implementación de UAC de Litware, Inc, una mediana empresa. El siguiente escenario está pensado para ayudar a los departamentos de TI a tratar los problemas potenciales que puedan surgir de la ejecución en Windows Vista con UAC habilitado.

Litware, Inc (mediana empresa)

Después de instalar Windows Vista en un equipo de la oficina principal de Litware, Inc, un usuario inicia sesión como administrador en Modo de aprobación de administrador y navega a una carpeta compartida en la que se almacenan las aplicaciones de línea de negocio (LOB) específicas de cada departamento. Este recurso compartido tiene una carpeta para cada aplicación y el software usa muchas tecnologías distintas para instalar aplicaciones, incluyendo Windows Installer, bootstrapper.exe y un instalador tipo xcopy.

Litware, Inc. tiene 2.500 escritorios de Windows XP y ha decidido actualizar a Windows Vista para aprovechar UAC. El departamento de TI tiene que encontrar un modo de instalar las distintas aplicaciones LOB de la empresa como un estándar, pero han identificado los siguientes problemas:

  • Nadie del departamento de TI tiene experiencia con la Directiva de grupo de Instalación de software (GPSI) o Microsoft Systems Management Server (SMS). Debido a ello, la empresa deberá invertir en aprendizaje para un miembro del personal.

  • La conversión de las aplicaciones LOB para que se pudieran instalar con Windows Installer podría resultar costosa, ya que no existen herramientas de asistencia para el proceso. Por ejemplo: “Podemos empaquetarlas todas pero no podemos establecer la configuración de instalación fácilmente.”

  • El departamento de TI ha desarrollado algunos scripts de inicio de sesión para realizar instalaciones de aplicaciones y no quiere perder el tiempo, los recursos y el esfuerzo invertidos en su creación.

Administrador de las soluciones en Modo de aprobación de administrador

Este problema no es exclusivo de Windows Vista. Las empresas han trabajado en la instalación de aplicaciones como usuarios estándar durante algún tiempo con distintos niveles de éxito. Las siguientes soluciones se presentan en niveles de preferencia ascendentes: buena, muy buena y óptima.

Buena

Permitir a los usuarios que instalen desde el recurso compartido actual y confiar en la detección heurística de instaladores para identificar las aplicaciones LOB como instaladores; a continuación, invocar el nivel de ejecución solicitado elevado. Debido a que la elevación silenciosa está desactivada, los usuarios no verán una petición de consentimiento o una petición de credenciales, sino que las ejecuciones se realizarán sin notificaciones con el token de acceso de administrador total cuando se lleven a cabo desde esos recursos compartidos.

Para obtener más información acerca de la detección heurística de instaladores en Windows Vista, consulte la sección "Tecnología de detección de instaladores" de este documento.

Desafortunadamente, este enfoque tiene ciertas limitaciones. Pueden darse varios casos en los que la detección de instaladores de Windows Vista identifique una aplicación como un instalador y la eleve automáticamente. También existen temas de compatibilidad de aplicaciones a tener en cuenta si la aplicación no se diseñó para ser instalada en el entorno Windows Vista.

Muy buena

A medida que una compañía invierte más en bloquear el entorno corporativo, una de las primeras cosas que hará el departamento de TI es catalogar todas las aplicaciones que se ejecutan en los equipos de los usuarios. En este escenario, un miembro del departamento de TI ya ha consolidado estas aplicaciones en una única ubicación: un recurso compartido de red. Una vez consolidadas estas aplicaciones, resulta sencillo superar la limitación mencionada en la sección anterior marcando de manera explícita los instaladores con el nivel de ejecución solicitado para que se ejecuten como un administrador. Esto implica agregar entradas a la base de datos de compatibilidad de aplicaciones para las aplicaciones implicadas. Las aplicaciones también pueden marcarse para ejecutarse con un nivel de ejecución solicitado inferior si se identifican incorrectamente como instaladores.

También se puede crear un script que recorra el recurso compartido y marque todas las aplicaciones con los niveles de base de datos de compatibilidad de la aplicación RunAsAdmin. Dispone de más información acerca de cómo marcar aplicaciones con los niveles de ejecución solicitados en la sección "Marcado de aplicaciones con los niveles de ejecución solicitados para la compatibilidad de aplicaciones".

Las marcas de la base de datos de aplicaciones están asociadas con un Objeto de directiva de grupo (GPO) que se implementa en toda la empresa con la Directiva de grupo. Una vez implementada esta directiva, se garantiza a cada usuario de la empresa que las aplicaciones estarán marcadas de manera consistente para ejecutarse con el nivel de ejecución solicitado especificado de forma explícita.

Óptima

Ahora que el personal de TI conoce las distintas aplicaciones que los usuarios instalan, puede empezar a controlar la instalación de estas aplicaciones y evitar que se instalen otras. El primer paso es desactivar la detección de instaladores y crear marcas explícitas de niveles de ejecución solicitados para cada aplicación que instale un producto en la empresa. Así, el departamento de TI conoce ahora todas las aplicaciones que los usuarios instalan y, al estar marcadas con un nivel de ejecución solicitado, la detección del instalador ya no es necesaria.

Dado que la instalación de aplicaciones está más controlada, los usuarios ya no necesitan instalar desde CD u otros medios de instalación externos, ya que todo está disponible en la red. Para evitar que los usuarios instalen aplicaciones que usan Windows Installer desde medios de instalación externos extraíbles, siga el siguiente procedimiento para configurar el valor Impedir la instalación de cualquier medio extraíble en el archivo de plantillas administrativas de Windows Installer:

Para impedir las instalaciones desde medios extraíbles
  1. Haga clic en Inicio, seleccione Panel de control, haga doble clic en Herramientas administrativas y, a continuación, en Usuarios y equipos de Active Directory.

  2. En el panel de la consola, expanda Configuración de usuario, Plantillas administrativas, Componentes de Windows y seleccione Windows Installer.

  3. En el panel de detalles, haga clic en el botón secundario sobre Impedir la instalación de cualquier medio extraíble y seleccione Propiedades.

  4. En Propiedades, seleccione Habilitar y, a continuación, haga clic en Aceptar.

noteNota
Cuando el valor Impedir la instalación de cualquier medio extraíble está habilitado y un usuario intenta instalar un programa desde un medio extraíble (como un CD, disquete o DVD), aparece una mensaje informando de que no se encontró la característica.

noteNota
El valor Impedir la instalación de cualquier medio extraíble se aplica incluso cuando la instalación se ejecuta en el contexto de seguridad del usuario.

ImportantImportante
Como se ha mencionado previamente, cuando el usuario final se ejecuta como un administrador, no hay ninguna garantía de que la configuración implementada por el departamento de TI esté establecida realmente en ese equipo. Los usuarios administrativos pueden sortear las distintas configuraciones de varias maneras; es una cuestión de tiempo, experiencia y determinación.

Otro beneficio de la consolidación de aplicaciones en un único recurso compartido de red es la capacidad para firmar todos los binarios. Una vez completada la firma de binarios, la empresa dispone de un nivel de seguridad agregado habilitando el valor Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados.

Asimismo, pueden agregarse Directivas de restricción de software (SRP) para prohibir la ejecución de ejecutables no autorizados.

Soluciones de usuario estándar

Las siguientes soluciones se presentan en orden de preferencia inverso: buena, muy buena y óptima.

Muy buena

El departamento de TI debe asumir que normalmente los usuarios estándar no podrán instalar aplicaciones y que tendrán un conjunto de derechos de usuario mínimo agregado a su token de acceso. Los usuarios ya no podrán ejecutarse como administradores y necesitarán un servicio que se ejecute como administrador y modifique el estado del sistema en su lugar. Windows proporciona un servicio de instalación para esto: Windows Installer Server. También dispone de una extensión de la Directiva de grupo de Instalación de software, que permite distribuir aplicaciones a un equipo de usuario sin que se requiera interacción por parte del usuario durante la instalación.

Para obtener más información, consulte la documentación de la extensión de la Directiva de grupo de Instalación de software (http://go.microsoft.com/fwlink/?LinkId=71356) (la página puede estar en inglés).

Otra opción es implementar las aplicaciones con una tecnología como SMS. La idea fundamental es la misma: un usuario estándar necesita un servicio de fondo para realizar las tareas para las que no tiene privilegios o derechos de usuario.

Dispone de una guía acerca de cómo implementar aplicaciones con SMS en TechNet (http://go.microsoft.com/fwlink/?LinkId=71357) (la página puede estar en inglés).

Uno de los retos de usar la extensión de GPSI es que las aplicaciones deben distribuirse en programas de Windows Installer. Para convertir los binarios del instalador de una aplicación a Windows Installer es necesario realizar un proceso denominado "reempaquetado". Esto incluye determinar la configuración específica de la aplicación y comprender el orden de ejecución correcto de los distintos eventos. Existen herramientas que ayudan a conformar este proceso, como por ejemplo, InstallShield de DevStudio.

Reempaquetar aplicaciones puede resultar una tarea ardua y muchas empresas disponen de equipos enteros dedicados a ello. Encontrará más información acerca del reempaquetado de aplicaciones en la sección "Reempaquetado de aplicaciones" de este documento.

Óptima

Este escenario hace referencia a las muchas consideraciones de la implementación de software. Normalmente, hay un conjunto principal de aplicaciones LOB que todos los usuarios de la empresa necesitan en su equipo. Este conjunto de software es perfecto para probar la implementación global en la empresa mediante anuncio o publicación GPSI. En una empresa en la que se implementa una gran cantidad de equipos, tiene sentido crear una biblioteca de imágenes con estas aplicaciones ya instaladas.

La Herramienta de preparación del sistema (sysprep.exe), que se distribuye con Windows, permite generar una imagen para implementación masiva. Mediante la Herramienta de preparación del sistema, cree una imagen que contenga todas las aplicaciones principales requeridas y, a continuación, implemente la imagen en todos los equipos del entorno. Este tipo de implementación sortea el impacto en los recursos de red que implica la realización de múltiples instalaciones de gran volumen. Finalmente, use las unidades organizativas (OU) de cada división para anunciar los paquetes suplementarios a los usuarios con GPSI.

Configuración de UAC

Una vez explicado el funcionamiento de UAC y algunos problemas potenciales que pueden surgir durante la implementación de Windows Vista en su entorno, veremos cómo configurar UAC para optimizar la seguridad y la facilidad de uso.

En esta sección se detallan dos métodos principales para configurar UAC:

Administración de UAC con el Editor de directivas de seguridad y la Directiva de grupo locales

Anteriormente a Windows Vista, los usuarios estándar que trabajaban en equipos personales o en una configuración de red a menudo tenían la opción de instalar aplicaciones. La diferencia clave era que, aunque los administradores podían crear una configuración de Directiva de grupo para limitar la instalación de aplicaciones, no podían limitar la instalación de aplicaciones para usuarios estándar de manera predeterminada. En un entorno UAC sí pueden, y aún pueden usar la Directiva de grupo para definir una lista de dispositivos e implementaciones aprobados.

Existen nueve valores de los Objetos de directiva de grupo que pueden configurarse para UAC. En las secciones siguientes se detallan los distintos valores de GPO para UAC y se proporcionan recomendaciones.

Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada

Este valor determina si UAC se aplica a la cuenta de administrador integrada predeterminada.

noteNota
La cuenta de administrador integrada está deshabilitada de manera predeterminada para instalaciones y actualizaciones en equipos unidos a dominios.

Opciones de configuración:

  • Habilitada: el administrador integrado podrá ejecutar como un administrador en Modo de aprobación de administrador.

  • Deshabilitada: el administrador ejecuta con un token de acceso de administrador total.

Valor predeterminado:

  • Deshabilitada para instalaciones nuevas y actualizaciones en las que el administrador integrado NO es el único administrador local activo del equipo.

  • Habilitada para actualizaciones cuando Windows Vista determina que la cuenta de administrador integrada es el único administrador local activo del equipo. Si Windows Vista determina esto, la cuenta de administrador integrada también se mantiene habilitada para la siguiente actualización.

Recomendación: en una empresa, se recomienda establecer este valor como Deshabilitado, ya que los administradores de dominio seguirán teniendo acceso administrativo al equipo.

Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador

Este valor define el modo en el que UAC pide la elevación a los administradores.

Opciones de configuración:

  • No pedir: la elevación se produce automáticamente y sin notificación. Esta opción permite a un administrador en Modo de aprobación de administrador realizar una operación que requiere elevación sin consentimiento o credenciales. Nota: este escenario sólo se debería usar en los entornos más restringidos y NO está recomendado.

  • Pedir consentimiento: una operación que requiere un token de acceso de administrador total pedirá al administrador en Modo de aprobación de administrador que seleccione Continuar o Cancelar. Si el administrador hace clic en Continuar, la operación seguirá con su nivel más alto de privilegios disponibles.

  • Pedir credenciales: una operación que requiere un token de acceso de administrador total pedirá al administrador en Modo de aprobación de administrador que escriba el nombre de usuario y la contraseña de un administrador. Si el usuario escribe credenciales válidas, la operación continuará con el privilegio aplicable.

Valor predeterminado: Pedir consentimiento

Recomendación: se recomienda establecer este valor como Pedir consentimiento, ya que existe la posibilidad que un atacante pudiera imitar (suplantar) la petición de elevación. Si se suplanta la petición de elevación y el administrador proporciona su consentimiento haciendo clic en Continuar, el atacante solamente podrá elevar el proceso. Sin embargo, si se suplanta la petición de elevación cuando el valor está establecido como Pedir credenciales, el atacante podría obtener acceso al nombre de usuario y la contraseña del administrador.

Control de cuentas de usuario: comportamiento del indicador de elevación para los usuarios estándar

Este valor define el modo en el que UAC pide la elevación a los usuarios estándar.

Opciones de configuración:

  • No pedir: no aparece ninguna petición de elevación y el usuario no puede realizar tareas administrativas sin usar Ejecutar como administrador o sin iniciar sesión con una cuenta de administrador.

  • Pedir credenciales: una operación que requiere un token de acceso de administrador total pedirá al usuario que escriba un nombre de usuario y una contraseña administrativos. Si el usuario escribe credenciales válidas, la operación continuará con el privilegio aplicable.

Valor predeterminado: Pedir credenciales

Recomendación: para una empresa que usa escritorios de usuario estándar, se recomienda configurar este valor como No pedir. Esto puede ayudar a reducir las llamadas al departamento de soporte técnico.

Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación

Este valor controla si Windows Vista se sirve de la heurística para identificar aplicaciones de instalación. Cuando un usuario ejecuta un instalador, Windows identifica el programa como una aplicación de instalación y presenta al usuario una petición de elevación.

Opciones de configuración:

  • Habilitado: cuando Windows Vista detecta un instalador, pide consentimiento o credenciales al usuario.

  • Deshabilitado: la instalación de aplicaciones no se ejecutará y el problema no se notificará al usuario ni aparecerá ningún mensaje de error que confunda al usuario sobre los motivos del error de instalación.

Valor predeterminado: Habilitado

Recomendación: para empresas que ejecutan escritorios de usuario estándar y han implementado tecnologías de instalación delegada como GPSI o SMS, se recomienda configurar este valor como Deshabilitado. En caso de no tener ninguna tecnología de instalación delegada implementada, se recomienda configurar este valor como Habilitado para reducir las llamadas al departamento de soporte técnico. De forma alternativa, puede configurar este valor como Deshabilitado e indicar a los usuarios que hagan clic en el botón secundario sobre los archivos de instalación y, a continuación, clic en Ejecutar como administrador para elevar el proceso.

Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados

Este valor establece si Windows Vista debe comprobar si un programa está firmado antes de que se pueda elevar. Esta comprobación se realiza después del inicio interactivo del proceso (es decir, cuando un usuario hace doble clic sobre un archivo de instalación del escritorio). Si la aplicación no está firmada, [MENSAJE DE ERROR]. Si la aplicación está firmada, pero la firma no es válida, [MENSAJE DE ERROR].

Opciones de configuración:

  • Habilitado: sólo se ejecutarán los archivos ejecutables firmados. Esta directiva aplicará las comprobaciones de firma PKI en cualquier aplicación interactiva que requiera elevación.

    noteNota
    Los administradores de empresas pueden controlar la lista de aplicaciones administrativas permitidas a través de la población de certificados del almacén de editores de confianza del equipo local.

  • Deshabilitado: se ejecutarán tanto las aplicaciones firmadas como las no firmadas.

Valor predeterminado: Deshabilitado

Recomendación: [NEED]

Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras

Este valor controla la comunicación entre aplicaciones con pocos privilegios y aplicaciones que se ejecutan con un nivel superior de privilegios. uiAccess es un atributo del manifiesto de una aplicación, que el programador empaqueta con la aplicación.

Opciones de configuración:

  • Habilitado: Windows impedirá que las aplicaciones que se ejecutan desde los directorios Archivos de programa o Windows obtengan acceso a procesos con más privilegios a menos que sus manifiestos de aplicación tengan establecido como True el atributo uiAccess. De manera predeterminada, las ACL de los directorios Archivos de programa y Windows están configuradas para impedir que los usuarios estándar modifiquen su contenido. Si el manifiesto de una aplicación la define como una aplicación uiAccess pero no está ubicada bajo los directorios Archivos de programa o Windows, Windows no la ejecutará con el privilegio adicional para obtener acceso a procesos con privilegios más altos (por ejemplo, aunque el programador indicara que la aplicación requiere uiAccess, se instaló en una ubicación no segura que los usuarios estándar pueden modificar).

  • Deshabilitado: Windows no comprobará si el programa está instalado en los directorios Archivos de programa o Windows y la aplicación se iniciará con el token de acceso total del usuario después de su aprobación.

Valor predeterminado: Habilitado

Recomendación: se recomienda configurar este valor como Habilitado. Cuando este valor está habilitado, Windows impide que aplicaciones con privilegios bajos instaladas en ubicaciones no seguras obtengan acceso a aplicaciones con privilegios más altos.

Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador

Este valor define si Windows crea dos tokens de acceso para administradores (usuario estándar y administrador) y si los usuarios estándar podrán elevar una aplicación al nivel de administrador.

Nota: si cambia este valor, debe reiniciar el equipo.

Opciones de configuración:

  • Habilitado: tanto administradores como usuarios estándar recibirán la petición cuando se intente ejecutar una aplicación como administrador. El valor Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador determina cómo se muestra la petición al usuario.

  • Deshabilitado: cuando se intente ejecutar una aplicación como administrador, los usuarios no recibirán ninguna petición y la aplicación se ejecutará automáticamente con el token de acceso de administrador total del usuario. Así pues, UAC está prácticamente desactivado y el inicio automático del servicio AIS deshabilitado. El Centro de seguridad de Windows también notificará al usuario registrado la reducción de la seguridad global del sistema operativo y le proporcionará la opción de habilitar UAC.

Valor predeterminado: Habilitado

Recomendación: se recomienda configurar este valor como Habilitado. Si este valor está deshabilitado, los administradores no recibirán ninguna notificación cuando una aplicación se ejecute como administrador (incluyendo software malintencionado) y los usuarios estándar no podrán ejecutar aplicaciones como administrador.

Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación

Este valor define si la petición de elevación se muestra en el escritorio del usuario o en el escritorio seguro.

Opciones de configuración:

  • Habilitado: la petición de elevación de UAC se muestra en el escritorio seguro, un área que sólo puede recibir mensajes de procesos de Windows. Si este valor está habilitado y una aplicación solicita elevarse a derechos de administrador, se atenúa el fondo del escritorio y se muestra la petición de elevación al usuario. El usuario no puede interactuar con ningún otro elemento del escritorio hasta que apruebe o deniegue la elevación, ya sea con un clic en Continuar o Cancelar en el caso de una petición de consentimiento, o bien proporcionando credenciales de administrador válidas o haciendo clic en Cancelar en el caso de una petición de credenciales.

  • Deshabilitado: la petición de UAC se muestra en el escritorio interactivo (del usuario).

Valor predeterminado: Habilitado

Recomendación: se recomienda configurar este valor como Habilitado. Si la petición de elevación no se muestra en el escritorio seguro, un atacante puede imitarla para elevar software malintencionado. También se recomienda usar este valor conjuntamente con el valor Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador establecido como Pedir consentimiento. Esta configuración reduce las posibilidades de que un atacante recopile las credenciales de un administrador mostrando la imitación de una petición de credenciales.

Control de cuentas de usuario: virtualizar los errores de archivo y escritura de Registro por ubicaciones de usuario

Este valor define la configuración de la virtualización para aplicaciones de 32 bits. La virtualización no se aplica a aplicaciones de 64 bits.

Opciones de configuración:

  • Habilitado: si una aplicación de 32 bits sin archivo de manifiesto intenta escribir en una ubicación protegida, como el directorio Archivos de programa, la virtualización redirigirá estas operaciones a ubicaciones del sistema de archivos y del Registro accesibles para todos los usuarios. Este valor permite que los usuarios estándar ejecuten aplicaciones anteriores a Windows Vista que históricamente sólo podían ser ejecutadas por usuarios administradores.

  • Deshabilitado: si una aplicación de 32 bits sin archivo de manifiesto intenta escribir en una ubicación protegida, como el directorio Archivos de programa, se producirá un error de escritura y ejecución sin notificación.

Valor predeterminado: Habilitado

Recomendación: mantener este valor habilitado en entornos en los que se debe ejecutar software que no es completamente compatible con UAC. Cualquier aplicación de 32 bits no administrativa que no disponga de un manifiesto de aplicación o una entrada en la base de datos de aplicaciones no es compatible con UAC. Muchas empresas deben ejecutar software anterior a Windows Vista y, por ello, tienen que mantener este valor Habilitado.

Configuración de la Directiva de grupo de UAC

Realice el siguiente procedimiento para configurar la Directiva de grupo de UAC. Para ello, debe haber iniciado sesión como miembro del grupo de administradores locales. También puede realizar el procedimiento como usuario estándar si dispone de las credenciales válidas de una cuenta de administrador necesarias para la petición de credenciales del Control de cuentas de usuario.

Para configurar la Directiva de grupo de UAC:
  1. Haga clic en el botón Inicio, escriba secpol.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  3. En la Configuración de seguridad, expanda Directivas locales y seleccione Opciones de seguridad.

  4. En el panel de detalles (derecha), haga clic en el botón secundario sobre el valor de UAC correspondiente y seleccione Propiedades.

  5. Use la lista desplegable para elegir el valor apropiado.

noteNota
La modificación del valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador requiere reiniciar el equipo para que la configuración se haga efectiva. El resto de valores de la Directiva de grupo de UAC son dinámicos y no requieren reiniciar el equipo.

Auditoría de elevación de aplicaciones y creación de procesos

El valor de auditoría del seguimiento de procesos permite supervisar en tiempo real las elevaciones de procesos. Por ejemplo, el departamento de TI puede habilitar la auditoría de seguimiento de procesos con la Directiva de grupo y realizar el seguimiento de las veces que un administrador en Modo de aprobación de administrador o un usuario estándar eleva un proceso a proceso de administrador total.

Para auditar el seguimiento de procesos
  1. Haga clic en el botón Inicio, escriba secpol.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  3. En el panel de la consola, expanda Directivas locales y seleccione Directiva de auditoría.

  4. En el panel de detalles, haga clic en el botón secundario sobre Auditar el seguimiento de procesos y seleccione Propiedades.

  5. En las Propiedades de Auditar el seguimiento de procesos, seleccione Correcto.

El valor Auditar el uso de privilegios habilita la supervisión en tiempo real de la creación de procesos elevados.

Para auditar el uso de privilegios
  1. Haga clic en el botón Inicio, escriba secpol.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  3. En el panel de la consola, expanda Directivas locales y seleccione Directiva de auditoría.

  4. En el panel de detalles, haga clic en el botón secundario sobre Auditar el uso de privilegios y seleccione Propiedades.

  5. En las Propiedades de Auditar el uso de privilegios, seleccione Correcto y, a continuación, haga clic en Aceptar.

Servicios de UAC

Los siguientes servicios están asociados con UAC.

 

Servicio Descripción

Servicio de información de aplicaciones (AIS)

Facilita la ejecución de aplicaciones interactivas con un token de acceso de administrador total en Windows Vista.

Si este servicio se detiene, los usuarios no podrán iniciar aplicaciones con los privilegios administrativos adicionales que pueden necesitar para realizar algunas tareas. Por lo tanto, puede que las aplicaciones que requieren un token de acceso de administrador total no funcionen correctamente si el Servicio de información de aplicaciones no se está ejecutando.

Consideraciones de seguridad de UAC

Los departamentos de TI deben tener muy en cuenta las consideraciones de seguridad de UAC. Aunque la configuración de la Directiva de grupo de UAC permite a los departamentos de TI elegir cómo desean configurar UAC, existen algunas consideraciones que deben sopesar antes de crear la nueva directiva de seguridad.

Imitación de la petición de elevación

Windows Vista incluye una configuración de seguridad nueva para impedir que se imite la petición de elevación. Esta nueva configuración (Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación) cambia el escritorio del usuario activo al escritorio seguro cuando un proceso solicita elevación. El escritorio seguro sólo está accesible para los procesos principales de Windows, de manera que el malware no puede establecer una comunicación con él. Así, las aplicaciones del escritorio del usuario no pueden controlar las peticiones de elevación que se producen en el escritorio seguro. De manera predeterminada, en Windows Vista todas las elevaciones se producen en el escritorio seguro.

Configuración de una contraseña para la cuenta de administrador integrada

A continuación se detalla el estado de la cuenta de administrador integrada en Windows Vista:

  • Deshabilitada para instalaciones nuevas y actualizaciones en las que el administrador integrado NO es el único administrador local activo del equipo. La cuenta de administrador integrada está deshabilitada de manera predeterminada para instalaciones y actualizaciones en equipos unidos a dominios.

  • Habilitada para actualizaciones cuando Windows Vista determina que la cuenta de administrador integrada es el único administrador local activo del equipo. Si Windows Vista determina esto, la cuenta de administrador integrada también se mantiene habilitada para la siguiente actualización. La cuenta de administrador integrada está deshabilitada de manera predeterminada para instalaciones y actualizaciones en equipos unidos a dominios.

Si la cuenta de administrador integrada está deshabilitada, Microsoft recomienda establecer una contraseña con el fin de deshabilitar los ataques sin conexión a la cuenta.

Deshabilitación de UAC

Deshabilitar el valor Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador desactiva UAC. Los archivos y las carpetas ya no se virtualizan en ubicaciones de usuario para aplicaciones no compatibles con UAC y todos los administradores locales inician sesión automáticamente con un token de acceso administrativo total. Al deshabilitar este valor, Windows Vista revierte al modelo de usuario de Windows XP. Aunque algunas aplicaciones no compatibles con UAC recomiendan activar UAC, no es necesario hacerlo, ya que Windows Vista incluye la virtualización de carpetas y del Registro para aplicaciones anteriores a Windows Vista o no compatibles con UAC de manera predeterminada. La desactivación de UAC abre una puerta de su equipo a instalaciones de malware en todo el sistema. Si se cambia este valor, será necesario reiniciar el equipo para que el cambio surta efecto.

Deshabilitación de la configuración sin usar de la Directiva de grupo de UAC

Cuando deshabilitar la virtualización:

La virtualización está concebida como una tecnología puente que permita el correcto funcionamiento en Windows Vista de las aplicaciones no compatibles con UAC. Si el departamento de TI sabe que sólo se ejecutarán aplicaciones compatibles con UAC en la empresa, el valor UAC: virtualizar los errores de archivo y escritura de Registro por ubicaciones de usuario resulta superfluo.

Cuándo deshabilitar la detección de instaladores:

Debido a que los instaladores escriben en áreas protegidas, como por ejemplo, el directorio Archivos de programa, el modelo Win32 requiere que los instaladores se ejecuten en un contexto administrativo. El valor Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación invoca una petición de elevación cuando se detecta un instalador. En empresas con escritorios bloqueados en los que las aplicaciones disponibles se implementan con SMS u otra tecnología, la elevación de las instalaciones no es necesaria, ya que la realiza automáticamente el servicio del instalador que se ejecuta como SISTEMA.

Tareas administrativas en equipos remotos

Un usuario miembro del grupo de administradores de dominio, u otro grupo de red con privilegios similares, debe usar esa cuenta de administrador habilitada únicamente para realizar tareas administrativas. En el siguiente escenario se detalla lo anterior:

Carol Philips, una técnico de soporte de Litware, Inc, tiene dos cuentas de usuario de dominio: una cuenta de administrador de dominio y una cuenta de usuario de dominio estándar. La cuenta de administrador de dominio es un miembro del grupo de administradores locales de la estación de trabajo. Carol ha recibido instrucciones de sus supervisores para que use la cuenta de administrador de dominio únicamente para realizar tareas que requieren un token de acceso de administrador total. Por ello, Carol inicia sesión en su estación de trabajo con su cuenta y usa Ejecutar como o Terminal Services cuando necesita realizar tareas administrativas. Un día, Carol observa que desde hace algún tiempo no se realizan copias de seguridad del disco duro de su equipo. Usa Ejecutar como para abrir un símbolo del sistema, introduce las credenciales de su cuenta de administrador, escribe secedit en el símbolo del sistema y presiona Entrar. Al mismo tiempo, también está explorando el Web como usuario estándar y accidentalmente descarga malware del Web. Sin embargo, el malware no afecta a otros equipos de la red, ya que Carol exploraba Internet con una cuenta de usuario estándar.

Configuración de aplicaciones anteriores a Windows Vista para compatibilidad con UAC

El último paso, y también el más importante, en la configuración de UAC es asegurarse de que el software es compatible con UAC o de que el departamento de TI lo ha configurado para que funcione correctamente con Windows Vista.

En el caso de aplicaciones nuevas que disponen del logotipo de Windows Vista, la aplicación debe ejecutarse con una cuenta de usuario estándar, o bien, en caso de ser una aplicación administrativa, marcarse con una entrada en el manifiesto de la aplicación. Cuando un usuario intenta iniciar una aplicación con una entrada en el manifiesto de la aplicación, Windows Vista informa al usuario de que está intentando iniciar una aplicación administrativa y que necesita proporcionar su aprobación. Para obtener más información sobre el programa de logotipo de Microsoft, visite la página principal de Microsoft Windows Logo (http://go.microsoft.com/fwlink/?LinkId=71358) (la página puede estar en inglés).

Durante la implantación de Windows Vista, los departamentos de TI pueden encontrarse con el hecho de que las aplicaciones de línea de negocio (LOB) existentes no funcionen correctamente. Probablemente esto se deba a incompatibilidades de dichas aplicaciones con las mejoras incorporadas en Windows Vista. Por ello, Microsoft proporciona un Kit de herramientas de compatibilidad de aplicaciones que ayudará a los departamentos de TI a identificar los problemas de compatibilidad y crear correcciones de compatibilidad de aplicaciones (pequeñas cantidades de código usado para corregir problemas de compatibilidad).

Es posible que algunos programas necesiten realizar operaciones administrativas para funcionar correctamente en Windows Vista. Para que esto ocurra, es necesario marcar dichos programas de manera que los usuarios reciban una petición de aprobación para que la aplicación pueda ejecutarse con un token de acceso de administrador total. Este modo de marcar aplicaciones se denomina marcado de aplicaciones con un nivel de ejecución solicitado. El Kit de herramientas de compatibilidad de aplicaciones 5.0 proporciona los medios para generar e instalar las entradas de base de datos de compatibilidad de aplicaciones, que facilitan el mecanismo de marcado del nivel de ejecución solicitado.

Para obtener más información acerca de la compatibilidad de aplicaciones y el Kit de herramientas de compatibilidad de aplicaciones 5.0, visite TechNet (http://go.microsoft.com/fwlink/?LinkId=23302) (la página puede estar en inglés).

Marcado de aplicaciones con los niveles de ejecución solicitados para la compatibilidad de aplicaciones

El nivel de ejecución solicitado de una aplicación depende del tipo de operaciones de nivel de sistema que realiza. A continuación, se detallan tres niveles de ejecución solicitados distintos disponibles.

RunAsInvoker: la aplicación se debe ejecutar con los mismos privilegios y derechos de usuario de Windows que el proceso primario. Este valor es el equivalente a no tener una base de datos de compatibilidad de aplicaciones para la aplicación. La aplicación se inicia con los mismos privilegios que el proceso primario que la lanza, de manera que se reduce la exposición de la seguridad de la aplicación. Esto se debe a que el proceso primario de la mayoría de aplicaciones es Explorer.exe, que se ejecuta como una aplicación de usuario estándar. Las aplicaciones RunAsInvoker se inician desde un shell cmd.exe que se ejecuta como un administrador con un token de acceso de administrador total.

RunAsHighest:

  • la aplicación se debe ejecutar con los privilegios y derechos de usuario más altos de Windows de que disponga el usuario actual, pero no es necesario que el usuario sea un administrador. Este marcado se usa en dos clases de aplicaciones.

  • La aplicación puede ser ejecutada tanto por administradores como por usuarios estándar, y adapta su comportamiento en función de los privilegios y derechos del usuario.

  • La aplicación requiere más privilegios y derechos de usuario de los que dispone un usuario estándar, pero no necesita que el usuario sea miembro del grupo Administradores local. Un usuario miembro del grupo Operadores de copia de seguridad es un ejemplo. Este tipo de usuario no puede ejecutar aplicaciones que requieren un token de acceso de administrador total, pero sí aplicaciones de copia de seguridad. En este caso, la aplicación de copia de seguridad anterior a Windows Vista se debe marcar como RunAsHighest.

RunAsAdmin: sólo administradores deben ejecutar la aplicación, que debe iniciarse con un token de acceso de administrador total y no funcionará correctamente en un contexto de usuario estándar. Este marcado de nivel de ejecución solicitado se reserva para aplicaciones anteriores a Windows Vista que requieren que el usuario sea miembro del grupo Administradores local. Una diferencia entre Windows Vista y versiones anteriores de Windows, como Windows XP, es que el sistema operativo se asegura de que la aplicación se ejecuta con un token de administrador total si está marcada como RunAsAdmin en la base de datos de compatibilidad de la aplicación. En caso de que Windows Vista no pueda obtener un token de acceso de administrador, la aplicación no llega a iniciarse.

Marcado de virtualización

Los departamentos de TI pueden usar la siguiente configuración para controlar la virtualización de archivos y carpetas.

Sin virtualización: la aplicación se debe ejecutar sin virtualización de archivos y carpetas. El valor Sin virtualización se puede establecer por dos motivos:

  1. Reducir la superficie expuesta a ataques: las aplicaciones que permiten la virtualización son susceptibles de sufrir ataques por parte de otras aplicaciones de usuario estándar. En Windows Vista no hay ningún mecanismo para diferenciar entre aplicaciones que pueden escribir en ubicaciones virtuales específicas. Al desactivar la virtualización en aplicaciones que se ejecutan correctamente como usuario estándar, se reduce significativamente el riesgo de que la aplicación sufra un ataque de malware (como usuario estándar).

  2. Reducir el tiempo y costo de depuración de datos virtualizados por parte del departamento de soporte técnico: si se sabe que una aplicación funciona correctamente como aplicación de usuario estándar, desactivar la virtualización ayudará al personal del departamento de soporte técnico a depurar la aplicación, ya que no tendrán que mirar en ambas ubicaciones (real y virtualizada) para examinar los datos de configuración de la aplicación.

Marcado de la base de datos de compatibilidad de aplicaciones y comportamiento de inicio de aplicaciones

El hecho de que una aplicación pueda ejecutarse y obtener un token de acceso de administrador total en tiempo de ejecución depende de la combinación del nivel de ejecución solicitado de la aplicación en la base de datos de compatibilidad de aplicaciones y los privilegios y derechos de usuario disponibles en la cuenta de usuario que inicia la aplicación. Las tablas siguientes identifican los posibles comportamientos en tiempo de ejecución en función de las distintas combinaciones.

Un administrador en Modo de aprobación de administrador

 

Token de acceso del proceso primario Directiva de consentimiento Ninguna o RunAsInvoker RunAsHighest RunAsAdmin

Usuario estándar

No pedir

La aplicación se inicia como un usuario estándar

La aplicación se inicia con un token de acceso administrativo total; sin pedir

La aplicación se inicia con un token de acceso administrativo total; sin pedir

Usuario estándar

Pedir consentimiento

La aplicación se inicia como un usuario estándar

La aplicación se inicia con un token de acceso administrativo total; se pide consentimiento

La aplicación se inicia con un token de acceso administrativo total; se pide consentimiento

Usuario estándar

Pedir credenciales

La aplicación se inicia como un usuario estándar

La aplicación se inicia con un token de acceso administrativo total; se piden credenciales

La aplicación se inicia con un token de acceso administrativo total; se piden credenciales

Administrador (UAC deshabilitado)

ND

La aplicación se inicia con un token de acceso administrativo total; sin pedir

La aplicación se inicia con un token de acceso administrativo total; sin pedir

La aplicación se inicia con un token de acceso administrativo total; sin pedir

Una cuenta de usuario estándar

 

Token de acceso del proceso primario Directiva de consentimiento RunAsInvoker RunAsHighest RunAsAdmin

Usuario estándar

No pedir

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Error al iniciar la aplicación

Usuario estándar

Pedir credenciales

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Se piden las credenciales de administrador antes de ejecutar la aplicación

Usuario estándar (UAC deshabilitado)

ND

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Error al iniciar la aplicación

Un usuario estándar con privilegios adicionales (por ejemplo, operador de copias de seguridad)

 

Token de acceso del proceso primario Directiva de consentimiento RunAsInvoker RunAsHighest RunAsAdmin

Usuario estándar

No pedir

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Error al iniciar la aplicación

Usuario estándar

Pedir credenciales

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Se piden las credenciales de administrador antes de ejecutar la aplicación

Usuario estándar (UAC deshabilitado)

ND

La aplicación se inicia como un usuario estándar

La aplicación se inicia como un usuario estándar

Error al iniciar la aplicación

Uso del Kit de herramientas de compatibilidad de aplicaciones 5.0 para crear correcciones de aplicaciones

El Kit de herramientas de compatibilidad de aplicaciones 5.0 es un conjunto de aplicaciones gratuitas de Microsoft que los departamentos de TI pueden usar para crear correcciones de compatibilidad de aplicaciones. El Kit de herramientas de compatibilidad de aplicaciones se ha mejorado para Windows Vista con la capacidad de crear entradas de base de datos de corrección de compatibilidad, que se usan para marcar aplicaciones con un nivel de ejecución solicitado.

Los procedimientos de esta sección usan las dos herramientas siguientes, que se incluyen en la descarga del Kit de herramientas de compatibilidad de aplicaciones 5.0.

  • Administrador de compatibilidad: una herramienta de interfaz de usuario gráfica que ayuda a los administradores en la creación de correcciones de compatibilidad de programas para aplicaciones anteriores a Windows Vista.

  • Sdbinst.exe: una herramienta de línea de comandos que ayuda a los administradores en la instalación de correcciones de compatibilidad de aplicaciones para aplicaciones anteriores a Windows Vista.

  • Analizador de usuario estándar: una herramienta de interfaz gráfica de usuario que ayuda a los administradores en la identificación de aplicaciones que tienen problemas de compatibilidad.

Use el siguiente flujo de trabajo para identificar dependencias administrativas en aplicaciones y marcar estas últimas con los niveles de ejecución solicitados:

noteNota
Para obtener más información acerca del marcado adecuado para aplicaciones, consulte la sección "Marcado de aplicaciones con los niveles de ejecución solicitados para la compatibilidad de aplicaciones" de este documento.

Paso 1: Instalar Application Verifier.

Application Verifier es una descarga gratuita del sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=41326) (la página puede estar en inglés). Application Verifier es un requisito previo para la instalación del Analizador de usuario estándar de Microsoft, que forma parte del Kit de herramientas de compatibilidad de aplicaciones.

Paso 2: Instalar el Kit de herramientas de compatibilidad de aplicaciones 5.0.

El Kit de herramientas de compatibilidad de aplicaciones 5.0 es una descarga gratuita del sitio web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=23302) (la página puede estar en inglés).

Paso 3: Usar el Analizador de usuario estándar para identificar las aplicaciones administrativas anteriores a Windows Vista que no funcionan correctamente en Windows Vista.

El siguiente procedimiento muestra cómo usar el Analizador de usuario estándar para identificar aplicaciones administrativas anteriores a Windows Vista que no funcionan correctamente en Windows Vista.

Para identificar problemas de compatibilidad de aplicaciones anteriores a Windows Vista
  1. Inicie sesión en un equipo con Windows Vista como usuario estándar.

  2. Haga clic en Inicio, Todos los programas, Kit de herramientas de compatibilidad de aplicaciones de Microsoft 5.0, Herramientas de comprobación y programación y Analizador de usuario estándar.

  3. En el Analizador de usuario estándar, en Aplicación de destino, especifique la ruta de directorio completa de la aplicación que se va a probar, o bien haga clic en el botón Examinar para buscar el archivo del programa ejecutable con Windows Explorer.

  4. Haga clic en Iniciar y proporcione las credenciales de administrador cuando aparezca la petición de credenciales del Control de cuentas de usuario.

  5. Una vez iniciada la aplicación de prueba, realice las tareas administrativas estándar en la aplicación y ciérrela cuando haya terminado.

  6. En el Analizador de usuario estándar, examine el resultado de cada ficha. Use estos datos para identificar los problemas de compatibilidad que pueda tener el programa.

También puede ejecutar pruebas de comprobación de aplicaciones como administrador en caso de error de privilegios. Por ejemplo, si la aplicación se está ejecutando con un usuario no administrador y se produce una infracción de acceso que causa el cierre de la aplicación, sólo se habrán probado las rutas de código hasta el momento de la infracción. Si se ejecuta la misma aplicación como administrador, en algunos casos es posible evitar la infracción de acceso y probar las siguientes rutas de código. Los registros también describirán aquellas operaciones que normalmente habrían sido erróneas en caso de realizarse como usuario estándar.

Paso 4: Determinar el nivel de ejecución solicitado para cada aplicación.

Use los datos recopilados en el paso tres para determinar el nivel de ejecución solicitado adecuado para la aplicación.

noteNota
Para determinar qué nivel de ejecución solicitado es el adecuado para la aplicación, consulte la sección Marcado de aplicaciones con un nivel de ejecución solicitado.

ImportantImportante
Especifique el nivel de ejecución solicitado que permitirá que la aplicación funcione correctamente en Windows Vista y evite la solicitud de accesos administrativos superfluos con un nivel de ejecución solicitado superior.

Después de identificar los problemas de compatibilidad de una aplicación con el comprobador de aplicaciones, use el siguiente procedimiento para marcar la aplicación con un nivel de ejecución solicitado.

Paso 5: Ejecutar el Administrador de compatibilidad para crear una base de datos de corrección de compatibilidad de aplicaciones.

Este procedimiento se escribe con el valor Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador establecido como Pedir consentimiento.

Para marcar una aplicación administrativa con el Administrador de compatibilidad
  1. Inicie sesión en un equipo con Windows Vista como administrador en Modo de aprobación de administrador.

  2. Haga clic en Inicio, Todos los programas, Accesorios y, a continuación, haga clic en el botón secundario sobre Símbolo del sistema, seleccione Ejecutar como administrador y haga clic en Continuar en la petición de elevación del Control de cuentas de usuario.

  3. En el Símbolo del sistema, escriba "C:\Archivos de programa\Microsoft Application Compatibility Toolkit\Compatibility Administrator\Compatadmin.exe" y presione Entrar.

  4. En Administrador de compatibilidad, haga clic en el icono Corregir.

  5. En la página Crear nueva corrección de aplicación, en Información del programa, introduzca el nombre del programa en Nombre del programa que se va a corregir, el nombre del fabricante en Nombre del fabricante del programa y la ubicación del archivo del programa en Ubicación del archivo del programa y, a continuación, haga clic en Siguiente.

  6. En Modos de compatibilidad, seleccione Ninguno y haga clic en Siguiente.

  7. Para Correcciones de compatibilidad, seleccione el nivel de ejecución solicitado y haga clic en Siguiente.

  8. En Información coincidente, seleccione la información coincidente para la aplicación y haga clic en Finalizar.

  9. Haga clic en Archivo y, a continuación, en Guardar.

  10. Escriba un nombre para la base de datos de compatibilidad de aplicaciones y haga clic en Aceptar.

  11. En Guardar databaseName, seleccione un nombre para el archivo de base de datos y haga clic en Guardar.

noteNota
Seleccione SIZE y PE_CHECKSUM en la página Información coincidente del Asistente para Crear nueva corrección de aplicación para garantizar que la corrección no se aplique por accidente a otras aplicaciones que puedan tener el mismo nombre que la aplicación de destino.

noteNota
Elija un nombre descriptivo que identifique la corrección de compatibilidad de aplicaciones. El nombre que proporcione aquí se mostrará en Programas y características en el Panel de control una vez instalada la corrección de compatibilidad de aplicaciones con la herramienta de línea de comandos sdbinst.exe.

noteNota
Cada base de datos de compatibilidad de aplicaciones creada puede contener una o más correcciones para aplicaciones de destino.

Paso 6: Instalar la corrección de compatibilidad en un equipo de prueba con el comando sdbinst.exe.

Para instalar la corrección de compatibilidad de aplicaciones
  1. Haga clic en Inicio, Todos los programas, Accesorios y, a continuación, haga clic en el botón secundario sobre Símbolo del sistema, seleccione Ejecutar como administrador y haga clic en Continuar en la petición de consentimiento del Control de cuentas de usuario.

  2. En el Símbolo del sistema, escriba "cd %windir%" y presione Entrar.

  3. En el Símbolo del sistema, escriba "sdbinst.exe databaseName.sdb" y presione Entrar.

Eliminación de una corrección de base de datos de compatibilidad de aplicaciones

Un administrador puede quitar entradas de base de datos de compatibilidad de aplicaciones previamente instaladas desde Programas y características en el Panel de control. La desinstalación de entradas de base de datos de compatibilidad de aplicaciones resulta útil cuando una aplicación ya no se usa en el entorno pero aún dispone de la corrección, o si la propia corrección de compatibilidad necesita modificaciones.

Para quitar la corrección de compatibilidad de una aplicación
  1. Inicie sesión en un equipo con Windows Vista como administrador en Modo de aprobación de administrador.

  2. En la Ventana principal del Panel de control, en Programas, seleccione Desinstalar un programa y haga clic en Continuar en la petición de consentimiento del Control de cuentas de usuario.

  3. Haga clic en el botón secundario sobre la corrección y seleccione Quitar.

Implementación de correcciones de compatibilidad de aplicaciones con la Directiva de grupo

En esta sección se describe cómo implementar las correcciones de la base de datos de compatibilidad de aplicaciones creadas en la sección Ejecución de compatAdmin.exe mediante la Directiva de grupo. El departamento de TI puede realizar los pasos siguientes:

  1. Crear un script de instalación de Microsoft Visual Basic (VBScript) personalizado.

  2. Crear un paquete de Windows Installer para cada base de datos .sdb.

  3. Firmar con Authenticode el paquete de Windows Installer.

  4. Probar el paquete de Windows Installer.

  5. Implementar el paquete de Windows Installer con la Directiva de grupo.

Crear un script de instalación de Microsoft Visual Basic (VBScript) personalizado.

Antes de crear el paquete de Windows Installer, el departamento de TI debe crear un VBScript que realice la instalación personalizada. Este proceso sólo se debe realizar una vez y se puede usar el mismo archivo script para el resto de paquetes de Windows Installer.

A continuación, se detalla un ejemplo de script:

'-------------------------------------------------------------------------------------- '  Nombre de archivo: setsdb.vbs '  Descripción     : Instala entrada SDB en base de datos appcompat'  Versión: 1.0 '-------------------------------------------------------------------------------------- ' Historial: '   07-19-2005:  Versión 1.0 creada

dim Ws myCmdArgs = Session.Property("CustomActionData") setDir = "%ComSpec% /C sdbinst.exe -q " & chr(34) & myCmdArgs & chr(34) set Ws = CreateObject("WScript.Shell") retval = Ws.Run( setDir, 2, true )

Crear un paquete de Windows Installer para cada base de datos .sdb con Visual Studio 2005

En el siguiente ejemplo se muestra cómo crear un paquete de Windows Installer para implementar las correcciones de compatibilidad de aplicaciones con Microsoft Visual Studio 2005.

Para crear el paquete de Windows Installer
  1. Haga clic en Inicio, Todos los programas y doble clic en Visual Studio 2005.

  2. En Visual Studio, haga clic en Archivo, Nuevo proyecto.

  3. En la página Nuevo proyecto, expanda Otros proyectos y seleccione Proyecto de instalación e implementación en el panel de la izquierda. Seleccione Proyecto de instalación en el panel de la derecha, escriba un nombre para la implementación de correcciones de compatibilidad de aplicaciones y, a continuación, haga clic en Aceptar.

  4. En el Explorador de soluciones del panel de la derecha, haga clic con el botón secundario en el nombre del proyecto de implementación, seleccione Agregar y haga clic en Archivo….

  5. En Agregar archivos, busque la ubicación del archivo de base de datos .sdb y haga clic en Abrir.

  6. Repita los pasos 4 y 5, y agregue el nombre del VBScript personalizado creado previamente.

  7. En el Explorador de soluciones del panel de la derecha, haga clic con el botón secundario en el nombre del proyecto de implementación, seleccione Ver y, a continuación, haga clic en Acciones personalizadas.

  8. En la ficha Acciones personalizadas, haga clic con el botón secundario en la carpeta Confirmar y, a continuación, haga clic en Agregar acción personalizada.

  9. En Seleccionar elemento en el proyecto, haga doble clic en la carpeta Aplicación, seleccione el archivo VBScript y, a continuación, haga clic en Aceptar.

  10. Haga clic con el botón secundario en la acción Confirmar llamada setsdb.vbs en el panel de la izquierda y, a continuación, haga clic en la ventana Propiedades.

  11. Agregue la siguiente línea a la propiedad CustomActionData: [ProgramFilesFolder][Manufacturer]\[ProductName]\[FILENAME].sdb.

    noteNota
    No hay ninguna barra diagonal inversa (\) entre [ProgramFilesFolder] y [Manufacturer]

  12. En el menú Archivo, haga clic en Generar y, a continuación, en GenerarSolución. Una vez completada la generación, se agregará el paquete de Windows Installer a la carpeta de depuración.

Firmar con Authenticode el paquete de Windows Installer

Una vez que el departamento de TI ha creado el paquete de Windows Installer, Microsoft recomienda firmarlo con Authenticode antes de implementarlo con la Directiva de grupo. Este documento está escrito asumiendo que el departamento de TI ya ha creado una clave de firma para la empresa con la que se firman los paquetes de implementación de Windows Installer. Las herramientas de firma y comprobación usadas en los siguientes ejemplos están incluidas en Microsoft .NET Framework SDK (http://go.microsoft.com/fwlink/?LinkId=32131) (la página puede estar en inglés).

En el siguiente ejemplo se muestra cómo firmar el paquete de Windows Installer con la clave de firma de la empresa:

signcode –v <path>yourkey.pvk –spc <path>yourkey.spc (paquete de implementación).msi

Para agregar una marca de tiempo a la firma, incluya el siguiente parámetro en la línea de comandos:

–t http://timestamp.verisign.com/scripts/timstamp.dll 

El departamento de TI puede comprobar la firma con el siguiente comando:

ckhtrust (paquete de implementación).msi

Si el archivo valida y el certificado de firma se encadena al certificado de un editor de confianza de su entorno, chktrust.exe simplemente devolverá un código de retorno de operación correcta.

Dispone de información adicional acerca de la tecnología Authenticode de Microsoft en MSDN (http://go.microsoft.com/fwlink/?LinkId=71361) (la página puede estar en inglés).

Probar el paquete de Windows Installer

Una vez creado el paquete de Windows Installer, el departamento de TI puede probarlo copiando el archivo de Windows Installer en un equipo de destino y haciendo doble clic para abrir el Asistente para la instalación de Microsoft Windows. El siguiente procedimiento proporciona un ejemplo de cómo probar un paquete de Windows Installer.

Para probar el paquete de Windows Installer
  1. Localice el archivo de Windows Installer (.msi) y haga doble clic en él para iniciar el programa de instalación.

  2. En la página Seleccionar la carpeta de instalación de [NameofWindowsInstallerPackage], seleccione la carpeta de instalación y haga clic en Siguiente.

  3. En la página Confirmar instalación, haga clic en Siguiente.

  4. En la página Instalación completada, haga clic en Cerrar.

  5. Haga clic en Inicio, Panel de control y, a continuación, haga doble clic en Programas y características.

  6. En el panel de control Programas y características, compruebe que existen tanto las entradas de corrección de compatibilidad de aplicaciones como las del instalador correspondiente.

Implementar el paquete de Windows Installer con la Directiva de grupo

Gracias al uso de la Directiva de grupo, el departamento de TI puede garantizar que cualquier corrección de compatibilidad de aplicaciones que se cree pueda implementarse en todos los equipos clientes de manera automática. En esta sección se detallan los pasos básicos que el departamento de TI podría usar para instalar esta implementación. Dispone de información adicional acerca de la implementación de la Directiva de grupo en TechNet (http://go.microsoft.com/fwlink/?LinkId=71349) (la página puede estar en inglés).

El primer paso es colocar el paquete de implementación de Windows Installer en un recurso compartido disponible para todos los equipos que tengan que recibir la corrección. Este recurso puede ser el dominio entero o puede estar restringido a unidades organizativas (OU). Microsoft recomienda que el departamento de TI se asegure de que el paquete de Windows Installer tenga la entrada adecuada en la Lista de control de acceso (ACL) del recurso compartido para permitir el acceso únicamente a los equipos que corresponda.

Realice el siguiente procedimiento cuando el archivo de Windows Installer ya esté en la ubicación correspondiente. Para ello, debe iniciar sesión como un administrador de dominio.

Agregar la Directiva de grupo a Active Directory
  1. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

  2. Haga clic con el botón secundario en el nombre de dominio en el panel de la consola (izquierda) y haga clic en Propiedades.

  3. En la página Propiedades, haga clic en la ficha Directiva de grupo.

  4. En la ficha Directiva de grupo, haga clic en Nueva y, a continuación, escriba un nombre para el nuevo Objeto de directiva de grupo (GPO).

  5. Resalte el GPO que ha creado y haga clic en Propiedades.

  6. Debido a que las correcciones de compatibilidad de aplicaciones se aplican a equipos del dominio y no a usuarios, active la casilla Deshabilitar los parámetros de configuración de usuario. Si aparece un cuadro de diálogo de confirmación, haga clic en .

  7. Haga clic en la ficha Seguridad y agregue las ACL necesarias para permitir el acceso de equipos del dominio. Asegúrese de que Leer y Aplicar Directiva de grupo están activadas y haga clic en Aceptar.

  8. En la página Propiedades, haga clic en Editar.

  9. En el Editor de objetos de directiva de grupo, en el panel de la consola, expanda Configuración del equipo y, a continuación, expanda Configuración de software.

  10. En el panel de detalles, haga clic con el botón secundario en Instalación de software y, a continuación, haga clic en Nuevo y Paquete.

  11. Seleccione el paquete que se va a implementar en el cuadro de diálogo Abrir y haga clic en Abrir.

  12. En Implementar software, seleccione Asignado y haga clic en Aceptar.

  13. Cierre el Editor de objetos de directiva de grupo.

  14. Cierre la página Propiedades.

  15. Salga de Usuarios y grupos de Active Directory.

noteNota
Mediante el paso 12 del procedimiento anterior, el paquete se instala en los equipos de destino sin necesidad de interacción del usuario. El paquete de Windows Installer seleccionado se mostrará en el Editor de objetos de directiva de grupo.

Prueba y comprobación de la implementación de Windows Installer

Use el siguiente procedimiento para probar la implementación de Windows Installer.

Para probar la implementación de Windows Installer
  1. Reinicie un equipo unido a un dominio.

  2. Antes de que aparezca la pantalla de inicio de sesión de usuario, la Directiva de grupo instalará automáticamente el paquete de Windows Installer en el equipo.

Use el siguiente procedimiento para comprobar la implementación de Windows Installer.

Para comprobar la implementación de Windows Installer
  1. Inicie sesión en el equipo usado en el procedimiento anterior como administrador en Modo de aprobación de administrador.

  2. Haga clic en Inicio y, a continuación, haga clic en Panel de control.

  3. En la Ventana principal del Panel de control, haga clic en Programas y, a continuación, en Programas instalados.

  4. En Cambiar o quitar un programa, compruebe que el paquete de Windows Installer y la entrada de la base de datos de compatibilidad de aplicaciones están instalados.

Resumen

UAC ofrece un nuevo enfoque para mejorar la seguridad de los equipos simplemente cambiando el modo de interacción entre las aplicaciones y un sistema operativo y sus archivos. Microsoft trabaja con programadores para seguir innovando y creando tecnologías que minimizan el impacto del malware. Con UAC y usando Windows como usuarios estándar, las organizaciones y los usuarios finales reducen considerablemente las vulnerabilidades de seguridad que comprometen el sistema. Con el lanzamiento de Windows Vista, Microsoft ha desarrollado un mecanismo para ejecutar aplicaciones en modo de usuario estándar y realizar tareas habituales de configuración del sistema operativo que normalmente requerirían un token de acceso de administrador total.

Comentarios

Dirija sus comentarios acerca de éste y otros documentos sobre UAC a la Lista de comentarios sobre la documentación del Control de cuentas de usuario. El equipo de UAC hará todo lo posible para garantizar que se atiendan sus preguntas y comentarios.

Más información acerca de UAC

  • Los programadores interesados en saber más acerca del diseño de aplicaciones para que funcionen con UAC pueden leer el documento Requisitos del desarrollo de Windows Vista para compatibilidad con el Control de cuentas de usuario en MSDN (http://go.microsoft.com/fwlink/?LinkId=66021) (la página puede estar en inglés).

  • El documento Introducción al Control de cuentas de usuario en Windows Vista de TechNet (http://go.microsoft.com/fwlink/?LinkID=66021) (la página puede estar en inglés) está pensado para proporcionar información acerca de UAC a directores de información y responsables de la toma de decisiones de TI, además de información de pruebas de laboratorio.

  • El blog del equipo de UAC (http://go.microsoft.com/fwlink/?LinkID=62676) (la página puede estar en inglés) contiene información para ISV, profesionales de TI y cualquier persona interesada en obtener más información acerca de UAC. Agradecemos sus comentarios y preguntas.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft. Reservados todos los derechos.