Exportar (0) Imprimir
Expandir todo

Configurar Windows 7 para una cuenta de usuario estándar

Actualizado: octubre de 2009

Se aplica a: Windows 7

noteNota
Steve Friedl (sugerencias técnicas de Unixwiz.net) escribió este blog, que se publicó originalmente en mayo de 2009. Agradece su ayuda a Susan Bradley (Microsoft MVP) y al doctor Crispin Cowan.

Ahora se ha lanzado al mercado Windows® 7 y muchos están probando este nuevo sistema operativo. Quienes no pasaron a Windows Vista® desde Windows XP se han encontrando con una nueva experiencia y un paradigma de seguridad completamente nuevo: el control de cuentas de usuario (UAC).

UAC se presentó con Windows Vista y se criticó mucho debido a su transparencia. Aunque se ha apaciguado un poco en las actualizaciones de Windows Vista, parece realmente haber llegado al máximo en Windows 7. Me gusta mucho UAC.

Pero incluso en su forma imperfecta, fue una buena idea intentar aclarar la borrosa línea entre las tareas administrativas y las tareas de usuario de la que ha adolecido Windows desde su aparición.

Gran parte de esto se debe a los primeros sistemas operativos de consumidor Windows 95, Windows 98 y Windows ME, que no mantenían ninguna distinción técnica entre estos roles: todo el mundo era siempre administrador y a los programadores de software ni siquiera se les ocurría pensar en una separación de roles.

Pero incluso con los sistemas Windows NT, Windows 2000 y Windows XP más modernos, era tan complicado trabajar como un usuario no administrador que la mayoría de las personas simplemente se rendían y trabajaban con una cuenta Administrador. Esto se debía casi por completo a los malos hábitos de los programadores de software: ellos mismos trabajaban como administradores y simplemente escribían código farragoso que suponía que todos eran administradores.

Microsoft® ha intentado oponerse a esta mentalidad de "todos son administradores" con todas sus fuerzas y UAC fue su intento de alcanzar un punto intermedio: si alguien va a trabajar como administrador, al menos podemos hacer que sea consciente de las diferencias de roles. Esto es lo que UAC intenta lograr.

TipSugerencia
Esta sugerencia técnica se escribió exclusivamente para la experiencia de Windows 7, pero la mayor parte de su contenido también se aplica a Windows Vista. Además, en este documento solo se describen las instalaciones de equipo independiente o de grupo de trabajo; no se tratan los entornos empresariales más complejos de los equipos unidos a un dominio.

noteNota
Para tener una visión completa de los recursos de Windows 7, artículos, demostraciones y guías, visite el Springboard Series para Windows 7 en el TechCenter de cliente de Windows.

Para obtener una versión descargable de este documento, vea el tema acerca de la configuración de Windows 7 para una cuenta de usuario estándar (puede estar en inglés) en el Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkId=165707).

En este documento:

Explicación del control de cuentas de usuario

Método 1: Configurar una nueva instalación

Método 2: Convertir un usuario administrador ya instalado

Deshabilitar la cuenta Administrador

Elegir una contraseña

Protegerse de su propio equipo

Explicación del control de cuentas de usuario

El control de cuentas de usuario funciona guardando el acceso a los derechos de administrador y esto implica elevaciones de privilegios: al intentar realizar las tareas administrativas, el sistema operativo se eleva automáticamente a los derechos de administrador o solicita algún tipo de consentimiento o credenciales para hacerlo.

Windows 7 reconoce tres clases amplias de usuarios:

La cuenta predefinida "Administrador"

Esta cuenta es especial por varias razones y está deshabilitada de forma predeterminada en Windows Vista y Windows 7. Dado que esta cuenta desactiva explícitamente algunas características de seguridad importantes (como el modo protegido de Internet Explorer®), así como UAC, no es conveniente usar la cuenta de administrador para nada.

Insisto encarecidamente en dejar deshabilitada la cuenta Administrador.

Mantener esta cuenta deshabilitada (lo que significa que tendrá tentaciones de usarla realmente) ayudará a mantener el equipo más seguro.

Una cuenta con derechos de administrador

Aunque un usuario tiene la capacidad de elevarse a los derechos de administrador debido a la pertenencia al grupo Administradores local, UAC se interpone en los momentos clave con indicadores que confirman sus intenciones:

Este es el modo Pedir consentimiento, en el que al hacer clic en , se eleva la tarea y se ejecuta como administrador.

Para realizar las tareas administrativas, use siempre este tipo de cuenta Administrador personalizada en lugar de la cuenta predefinida Administrador.

Windows 7 presenta un control deslizante para la configuración de UAC que permite cambiar el nivel de los avisos de UAC y que incluye una opción para deshabilitarlo por completo (el modo Aprobación de administrador).

Una cuenta de usuario estándar

En los sistemas UNIX y Linux siempre ha estado claro qué es una tarea administrativa y qué es una tarea de usuario: simplemente resultaba patente qué era qué.

Es más, el mejor ejemplo de la cultura de esta distinción de roles se encuentra en el comportamiento de los grupos de noticias de los años ochenta. Si un usuario enviaba mensajes desde su cuenta raíz (la del administrador del equipo), se le reñía: "No ejecutar como raíz"

Estas cuentas simplemente no tienen la potencia para realizar las tareas administrativas directamente, ni tienen la capacidad de elevarse con una simple confirmación. En su lugar, requieren credenciales como una contraseña o una tarjeta inteligente. Esto se solicita a través del siguiente aviso al usuario:

Esto se conoce informalmente como modo Consentimiento temporal (donde alguien se puede apoyar en el hombro del usuario para escribir una contraseña y elevar una tarea aprobada).

Creo firmemente en las cuentas de usuario estándar

Las he usado desde Windows XP Service Pack 2, tanto en mi portátil como en mi estación de trabajo de desarrollo de software principal. A veces ha sido difícil, pero ha disminuido drásticamente la superficie de ataque de mi sistema y ha contribuido a que mis equipos de Windows no hayan estado jamás en peligro.

Al empezar a trabajar con Windows 7, por supuesto, quería trabajar como usuario estándar, pero no sabía cómo funcionaba (en Windows 7 ni en Windows Vista) y esencialmente me bloquee a mí mismo en mi propio equipo (vea Protegerse de su propio equipo, más adelante en este documento).

Así después de averiguar lo que ocurría (y reinstalar un par de veces), creé esta sugerencia técnica para ayudar a un usuario mentalizado con la seguridad a hacer lo más seguro.

Este documento presenta dos procedimientos: uno para una instalación por primera vez del sistema operativo y otro para reajustar un sistema ya instalado donde el usuario principal es un administrador personalizado.

Método 1: Configurar una nueva instalación

Resulta fácil hacer bien una nueva instalación porque no hay ninguna instalación anterior que haya que solucionar. En esta ilustración se usan dos cuentas de Windows:

  • SteveAdmin: la primera cuenta creada durante la instalación; se debería usar solamente para las tareas administrativas.

  • Steve: la segunda cuenta creada como usuario estándar; esta cuenta estándar se usa para el trabajo diario.

La cuenta predefinida Administrador no se usará para nada y se mantendrá deshabilitada.

Siga estos pasos para instalar Windows 7:

Instalar Windows 7 y crear un usuario inicial denominado "SteveAdmin"

Este debería ser el proceso "instalación desde DVD" normal. Las partes iniciales tardan algún tiempo (y al menos un reinicio) antes de hacer cualquier pregunta relacionada con la configuración de los usuarios.

Cuando se le pida confirmación, asigne al primer usuario el nombre SteveAdmin. Se crea automáticamente como una cuenta Administrador.

Si decide dar una contraseña a la cuenta, asegúrese de recordarla; se requerirá para todas las tareas administrativas en el equipo.

Completar la instalación de Windows 7

Esto incluye configurar Actualizaciones automáticas, agregar los controladores necesarios, configurar la red, etc.

Todo esto se hace como el usuario administrador SteveAdmin.

Crear una nueva cuenta denominada "Steve" como usuario estándar

Mientras tenga iniciada la sesión como SteveAdmin, navegue al Panel de control:

  • Haga clic en el icono Inicio.

  • Haga clic en Panel de control.

  • Haga clic en Agregar o quitar cuentas de usuario en Cuentas de usuario y protección infantil.

  • Haga clic en Crear una nueva cuenta bajo la lista de cuentas actuales.

  • Rellene el cuadro de diálogo con el nuevo nombre de usuario (Steve) y, a continuación, haga clic en Usuario estándar.

  • Haga clic en Crear cuenta para completarlo.

Asignar una contraseña al nuevo usuario "Steve" (si lo desea)

Cuando se haya creado la cuenta, aparecerá una lista de usuarios actuales con el subtítulo "Elegir la cuenta que desee cambiar". Haga clic en el icono de la cuenta Steve creada recientemente, que se debería mostrar como Usuario estándar.

Haga clic en Crear una contraseña y escriba una contraseña (dos veces), junto con una sugerencia de contraseña si lo desea.

noteNota
Dado que está cambiando la contraseña para un usuario diferente de usted mismo (Steve frente a SteveAdmin), aparece el mensaje siguiente que se puede pasar por alto: "Si hace esto, Steve perderá todos los archivos cifrados por EFS, certificados personales y contraseñas almacenadas para sitios web o recursos de red". Dado que este usuario se acaba de crear, no se puede perder ninguna información privada, de modo que podemos no hacer caso a este mensaje y continuar.

Cierre los cuadros de diálogo del Panel de control, cierre la sesión y vuelva a iniciarla como Steve

En este momento, Steve es un usuario estándar. Ahora que somos un usuario estándar, todos los intentos de realizar las tareas administrativas reciben un aviso de UAC que pide la contraseña de SteveAdmin.

Método 2: Convertir un usuario administrador ya instalado

Este método se usa si ya se ha instalado Windows 7 y el usuario instalador (aquí, Steve) se ha creado automáticamente con derechos de administrador. Aunque se podría cambiar técnicamente el nombre de la cuenta a SteveAdmin y crear una nueva cuenta para Steve como usuario estándar, esto causaría estragos en los perfiles de usuario, el escritorio y otras configuraciones personales. Es posible copiar los perfiles, pero es más fácil crear una nueva cuenta Administrador y disminuir los permisos de la cuenta Steve.

Estos son los pasos:

Crear un nuevo usuario SteveAdmin

Inicie sesión como Steve, que todavía es un usuario administrador, y navegue al Panel de control para crear un nuevo usuario:

  • Haga clic en el icono Inicio y, a continuación, haga clic en Panel de control.

  • Haga clic en Agregar o quitar cuentas de usuario en Cuentas de usuario y protección infantil.

  • Haga clic en Crear una nueva cuenta bajo la lista de cuentas actuales.

  • Rellene el cuadro de diálogo con el nuevo nombre de usuario (SteveAdmin) y, a continuación, haga clic en Administrador.

  • Haga clic en Crear cuenta para completarlo.

Ahora tenemos una nueva cuenta SteveAdmin sin contraseña y el sistema tiene dos usuarios administradores.

Asignar una contraseña al nuevo usuario, SteveAdmin (si lo desea)

Cuando se haya creado la cuenta, aparecerá una lista de usuarios actuales con el subtítulo "Elegir la cuenta que desee cambiar". Haga clic en el icono para el nuevo usuario SteveAdmin, que debería mostrarse como Administrador.

Haga clic en Crear una contraseña y escriba una contraseña (dos veces), junto con una sugerencia de contraseña si lo desea.

noteNota
Dado que está cambiando la contraseña de un usuario diferente de usted mismo (SteveAdmin frente a Steve), aparece el mensaje siguiente que se puede pasar por alto: "Si hace esto, SteveAdmin perderá todos los archivos cifrados por EFS, certificados personales y contraseñas almacenadas para sitios web o recursos de red". Dado que este usuario se acaba de crear, no se puede perder ninguna información privada, de modo que podemos no hacer caso a este mensaje y continuar.

Esto completa la creación de la cuenta SteveAdmin y deja en el equipo dos cuentas con derechos de administrador.

No cierre el cuadro de diálogo todavía. Iremos al paso siguiente desde aquí.

Disminuir los permisos del usuario "Steve"

Con la cuenta SteveAdmin en buen estado, es el momento de disminuir los permisos del usuario original de la instalación, Steve, de administrador a usuario estándar. Dado que todavía estamos en el Panel de control, podemos empezar con facilidad donde nos quedamos:

  • Haga clic en Administrar otra cuenta.

  • Haga clic en el icono en la cuenta Steve.

  • Haga clic en Cambiar el tipo de cuenta.

  • Haga clic en Usuario estándar.

  • Haga clic en Cambiar el tipo de cuenta.

  • Cierre los cuadros de diálogo del Panel de control.

La próxima vez que el usuario Steve inicie sesión, tendrá exactamente la potencia del usuario estándar.

Cerrar la sesión de "Steve" y volver a iniciarla

El cierre de sesión destruye el token de sesión que todavía posee los derechos de administrador, de modo que el próximo inicio de sesión obtiene el nuevo conjunto de derechos limitados.

Una vez iniciada la sesión como usuario estándar, los intentos de realizar las tareas administrativas reciben un aviso de UAC que pide las credenciales del usuario SteveAdmin.

Deshabilitar la cuenta Administrador

En este punto, uno de los dos procedimientos ha configurado un usuario estándar Steve y una cuenta Administrador apropiada SteveAdmin, pero algunos usuarios podrían haber habilitado también la cuenta predefinida Administrador anteriormente.

Creo que esto no es buena idea y recomiendo que se deshabilite la cuenta. Esto no será necesario si ha instalado Windows 7 por primera vez o si la cuenta de administrador no aparece en la página de inicio de sesión como un icono para un usuario que puede iniciar sesión.

Si no está seguro, los pasos para comprobarlo y deshabilitar la cuenta son casi los mismos:

Abrir el applet "Administrar usuarios"

Habilitar y deshabilitar cuentas no se hace en el mismo lugar donde creó un nuevo usuario, de modo que tendrá que navegar a un nuevo lugar.

  • Haga clic en el icono Inicio.

  • Haga clic con el botón secundario en Inicio y seleccione Administrar.

  • Navegue a Usuarios.

  • Haga doble clic en Administrador.

  • Asegúrese de que está activada la opción La cuenta está deshabilitada (si está activada, ya ha terminado).

  • Cierre los cuadros de diálogo.

En este punto, la cuenta de administrador está deshabilitada y no se puede usar para iniciar sesión ni aprobar las elevaciones de UAC. No es necesario cambiar la contraseña de la cuenta porque al deshabilitarla se invalida cualquier contraseña (incluso una en blanco).

Elegir una contraseña

Curiosamente, no siempre es necesario tener una contraseña en una cuenta. Dado que no se puede obtener acceso a través de la red a una cuenta con una contraseña en blanco, se puede reducir substancialmente la superficie de ataque de un equipo de esta manera.

Pero esto requiere que tenga un buen control de la seguridad física del equipo. Si hay usuarios en el equipo (o en el entorno) a los que no se permite realizar las tareas administrativas, sería una mala idea tener una contraseña en blanco, porque permitiría a alguien acercarse al equipo y hacer lo que quisiera.

Además, un portátil que se saca de casa probablemente no es un buen candidato para una contraseña en blanco porque la seguridad física es tremendamente problemática.

Para la mayoría de los usuarios domésticos, es posible que no importen mucho realmente los esquemas de contraseñas que se elijan, pero si tiene cualquier duda sobre esto, presente su escenario a un asesor de seguridad confiable para obtener orientación.

Protegerse de su propio equipo

Tal y como dije anteriormente, no había instalado Windows Vista antes, de modo que no sabía que la cuenta Administrador estaba deshabilitada de forma predeterminada. Por eso me llevé una incómoda sorpresa después de disminuir los permisos de la cuenta de instalación Steve.

Después de configurar el equipo, fui al Panel de control para disminuir los permisos de la cuenta Steve a una cuenta de usuario estándar. Había quitado sin querer la única cuenta Administrador que quedaba, de modo que después de cerrar la sesión y volver a iniciarla (para permitir que el cambio de la cuenta surtiera efecto en la sesión), la siguiente operación de UAC me proporcionó el siguiente aviso:

El lector meticuloso habrá observado que no hay ningún lugar para escribir una contraseña. Si dijera que me estaba volviendo loco me quedaría corto. Dependiendo de la configuración del equipo, puede aparecer una invitación para usar una tarjeta inteligente, pero eso probablemente no ayuda mucho en un equipo que no tiene las tarjetas inteligentes configuradas.

Parece una mala experiencia de usuario, aunque técnicamente todo fue culpa mía.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft